linux文件的特殊權限總結與實驗

在linux中，有一個安全上下文的概念，一個進程（運行的程序）可否訪問某個文件，取決於發起進程的用戶對被操做文件存在什麼權限。

A. 若是進程的發起者是該被訪問文件的屬主，則以文件屬主的權限來訪問

B. 不然，若是進程的發起者是屬於該被訪問文件的屬組中的用戶，則以文件屬組的權限來訪問

C. 不然，以其餘用戶來訪問此文件

而在這個權限以外，還存在着三種特殊權限

SUID：當對某一個程序文件設置了SUID置位，則該進程（程序）訪問系統上的文件時，以程序的屬主的身份來訪問該文件，而不是執行程序的用戶的權限來訪問文件。

SGID：當某目錄的屬組對目錄有寫權限，而且設置了SGID置位時，屬於屬組的這些用戶在這個目錄下建立文件時，被建立的文件的屬組默認會變成該目錄的屬組，而不是建立文件的用戶的基本組。

SBIT：當對某目錄設置了SBIT置位時，用戶只能刪除本身在該目錄下建立的文件，而不能刪除其餘用戶建立的文件，哪怕用戶對目錄存在寫權限。

操做：

1. SUID:   chmod u+s

2. SGID:  chmod g+s

3. SBIT: chmod o+t

實驗：

1、 SUID實驗

將/bin/cat複製到/test目錄，將/test/bin程序進行SUID置位。讓一個普通使用該程序來查看/etc/shadow文件。而後再用系統自帶的/bin/cat來查看該文件。

#  將/bin/cat複製到/test目錄

[root@liuqing test]# cp /bin/cat /test/

[root@liuqing test]# ll /test

總用量 60

-rwxr-xr-x. 1 root root 54080 11月 21 17:04 cat

#對/test/cat文件進行SUID置位，該文件的屬主屬組都是root

[root@liuqing test]# chmod u+s /test/cat

[root@liuqing test]# ll

總用量 60

-rwsr-xr-x. 1 root root 54080 11月 21 17:04 cat

-rw-r-----. 1 lyf  lyf     14 11月 21 16:15 file1.txt

#切換到普通用戶liuqing

[root@liuqing test]# su - liuqing

上一次登陸：四 11月 21 16:05:54 CST 2019pts/1 上

[liuqing@liuqing ~]$

#普通用戶liuqing,使用/test/cat能夠查看/etc/shadow

[liuqing@liuqing ~]$ /test/cat /etc/shadow

root:$6$gdIxmcOy$JSDVjR0tSdQfVTDrukonWIfRLdDIut63ZYiucsTmj8TPJ0Sq/wZduJhWgSUidlHeW6pmISq.B7Vx4OlGX1P1p1:18185:0:99999:7:::

#普通用戶使用系統自帶的/bin/cat，不能查看/etc/shadow

[liuqing@liuqing ~]$ ll /bin/cat

-rwxr-xr-x. 1 root root 54080 8月  20 14:25 /bin/cat

[liuqing@liuqing ~]$ cat /etc/shadow

cat: /etc/shadow: 權限不夠

2、 SGID實驗

系統上有兩個用戶，gentoo和fedora,它們的附加組爲mygrp，如今對/test目錄進行SGID置位，當咱們使用這兩個用戶在/test目錄下建立文件時，文件的屬組會自動變成mygrp。

#查看gentoo和fedora是否存在

[root@liuqing test]# id gentoo

uid=4007(gentoo) gid=4007(gentoo) 組=4007(gentoo),5000(magedu)

[root@liuqing test]# id fedora

uid=4008(fedora) gid=4008(fedora) 組=4008(fedora),5000(magedu)

# 建立組mygrp

[root@liuqing test]# groupadd mygrp

# 將用戶gentoo和fedora添加附加組mygrp

[root@liuqing test]# usermod -a -G mygrp gentoo

[root@liuqing test]# usermod -a -G mygrp fedora

[root@liuqing test]# id gentoo

uid=4007(gentoo) gid=4007(gentoo) 組=4007(gentoo),5000(magedu),5003(mygrp)

[root@liuqing test]# id fedora

uid=4008(fedora) gid=4008(fedora) 組=4008(fedora),5000(magedu),5003(mygrp)

# 修改/test的屬組爲mygrp,修改屬組權限爲rwx，對/test進行SGID置位

[root@liuqing /]# chown :mygrp /test

[root@liuqing /]# chmod g+w /test

[root@liuqing /]# chmod g+s /test

[root@liuqing /]# ls -ld  /test

drwxrwsr-x. 2 root mygrp 34 11月 21 17:23 /test

# 切換用戶到gentoo

[root@liuqing /]# su - gentoo

上一次登陸：四 11月 21 17:22:21 CST 2019pts/0 上

[gentoo@liuqing ~]$

# gentoo用戶在/test目錄下建立了gentoo.txt文件，查看文件屬性，該文件屬組爲mygrp

[gentoo@liuqing ~]$ touch /test/gentoo.txt

[gentoo@liuqing ~]$ ll /test

總用量 60

-rw-rw-r--. 1 gentoo mygrp     0 11月 21 17:25 gentoo.txt

3、 SBIT實驗

/test目錄的屬組是mygrp,對這個目錄，進行了SGID置位，mygrp組對目錄有rwx權限。那麼這個目錄下，附加組是mygrp的用戶在目錄中建立的文件的屬組是mygrp，這時，附加組是mygrp的這些用戶能夠在目錄中建立、修改刪除文件，而這樣的話，這些用戶也能夠刪除別的用戶建立的文件，爲了避免讓別人刪除某用戶建立的文件，則能夠對目錄進行stick，stick以後，只有用戶本身和管理員能夠刪除該目錄下該用戶本身建立的文件。

# 對目錄進行stick置位，查看權限，發如今o的權限位，有一個t

[root@liuqing test]# chmod o+t /test

[root@liuqing test]# ls -ld /test

drwxrwsr-t. 2 root mygrp 52 11月 21 17:25 /test

#切換到fedora用戶，建立一個fedora.txt

[root@liuqing test]# su  - fedora

[fedora@liuqing ~]$ touch /test/fedora.txt

[fedora@liuqing ~]$ echo "How are you?"  >> /test/fedora.txt

#查看目錄下的文件，對於gentoo.txt ,它的權限是屬組有rw。

[fedora@liuqing ~]$ ll /test

-rwsr-xr-x. 1 root   root  54080 11月 21 17:04 cat

-rw-rw-r--. 1 fedora mygrp    13 11月 22 08:45 fedora.txt

-rw-rw-r--. 1 gentoo mygrp     0 11月 21 17:25 gentoo.txt

#fedora用戶能夠編輯gentoo.txt這個文件

[fedora@liuqing ~]$ echo  "New line"  >> /test/gentoo.txt

[fedora@liuqing ~]$

[fedora@liuqing ~]$

[fedora@liuqing ~]$ cat /test/gentoo.txt

New line

#因爲進行了SBIT置位，fedora用戶不能刪除gentoo.txt這個文件，由於這個文件不是fedora建立的。

[fedora@liuqing ~]$ rm /test/gentoo.txt

rm: 沒法刪除"/test/gentoo.txt": 不容許的操做