三种特殊权限简介
SUID
当一个设置了SUID 位的可执行文件被执行时,该文件将以所有者的身份运行,也就是说无论谁来执行这个文件,他都有文件所有者的特权。
如果所有者是 root 的话,那么执行人就有超级用户的特权了。
SGID
当一个设置了SGID 位的可执行文件运行时,该文件将具有所属组的特权, 任意存取整个组所能使用的系统资源。
若一个目录设置了SGID,则所有被复制到这个目录下的文件, 其所属的组都会被重设为和这个目录一样,除非在复制文件时加上-p (preserve,保留文件属性)的参数,才能保留原来所属的群组设置。
sticky-bit
对一个文件设置了sticky-bit之后,尽管其他用户有写权限, 也必须由属主执行删除、移动等操作。
对一个目录设置了sticky-bit之后,存放在该目录的文件仅准许其属主执行删除、 移动等操作。
特殊权限的数值表示
三种特殊权限可以用单独的一位8进制数值表示
SUID、SGID和sticky-bit的数值表示
SUID SGID sticky 二进制 八进制 说明
- - - 000 0 不设置特殊权限
- - t 001 1 只设置sticky
- s - 010 2 只设置SGID
- s t 011 3 只设置SGID和sticky
s - - 100 4 只设置SUID
s - t 101 5 只设置SUID和sticky
s s - 110 6 只设置SUID和SGID
s s t 111 7 设置三种特殊权限
我们知道了文件的权限可以用三个八进制数字表示。其实文件的权限应该用四个八进制来表示,不过用 ls -l 命令时,只显示三个罢了。那个没有显示的八进制数字其实是第一个,它用来设定一些特殊权限。这个八进制数字的三个位是:
SUID SGID sticky-bit
它们的含义是:
SUID
当设置了SUID 位的文件被执行时,该文件将以所有者的身份运行,也就是说无论谁来执行这个文件,他都有文件所有者的特权。如果所有者是 root 的话,那么执行人就有超级用户的特权了。这时该位将变成一个安全漏洞,因此不要轻易设置该位。
SGID
与上面的内容类似。文件运行时,运行者将具有所属组的特权。
sticky-bit
sticky 位要求操作系统既是在可执行程序退出后,仍要在内存中保留该程序的映象。这样做是为了节省大型程序的启动时间。但是会占用系统资源。因此设置该位,不如把程序写好。
set uid ;set gid;sticky bit区别
每一个文件有所有者及组编号,set uid ;set gid可以改变用户对文件具有的权限:写和执行.
setuid: 在执行时具有文件所有者的权限.
setgid: 设置目录. 一个目录被标上setgid位,此目录下创建的文件继承该目录的属性.
sticky bit: 该位可以理解为防删除位. 设置sticky bit位后,就算用户对目录具有写权限,但也只能添加文件而不能删除文件。
如何设置:
操作这些标志与操作文件权限的命令是一样的, 都是 chmod. 有两种方法来操作,
1) chmod u+s temp -- 为temp文件加上setuid标志. (setuid 只对文件有效,U=用户)
chmod g+s tempdir -- 为tempdir目录加上setgid标志 (setgid 只对目录有效,g=组名)
chmod o+t temp -- 为temp文件加上sticky标志 (sticky只对文件有效)
2) 采用八进制方式. 这一组八进制数字三位的意义如下,
abc
a - setuid位, 如果该位为1, 则表示设置setuid
b - setgid位, 如果该位为1, 则表示设置setgid
c - sticky位, 如果该位为1, 则表示设置sticky
设置后, 可以用 ls -l 来查看. 如果本来在该位上有x, 则这些特殊标志显示为小写字母 (s, s, t). 否则, 显示为大写字母 (S, S, T)
如:
rwsrw-r-- 表示有setuid标志 (rwxrw-r--:rwsrw-r--)
rwxrwsrw- 表示有setgid标志 (rwxrwxrw-:rwxrwsrw-)
rwxrw-rwt 表示有sticky标志 (rwxrw-rwx:rwxrw-rwt)
理解文件权限
所谓的文件权限,是指对文件的访问权限,包括对文件的读、写、删除、执行。Linux 是一个多用户操作系统,它允许多个用户同时登录和工作。因此 Linux 将一个文件或目录与一个用户和组联系起来。请看下面的例子:
drwxr-xr-x 5 root root 1024 Sep 13 03:27 Desktop
与 文件权限相关联的是第一、第三、第四个域。第三个域是文件的所有者,第四个域是文件的所属组,而第一个域则限制了文件的访问权限。在这个例子中,文件的所 有者是 root,所属的组是 root,文件的访问权限是 drwxr-xr-x。对于文件和目录讲,每个文件和目录都有一组权限标志和它们结合在一起,在上例中就是第一个域中的内容。下面来仔细分析这个域中各个 符号的意义:
该域由 10 个字符组成,可以把它们分为四组,具体含义分别是:
d rwx r-x r-x
文件类型 所有者权限标志 组权限标志 其他用户权限标志
其中:
文件类型:第一个字符。由于 Linux 系统对与设备、目录、文件都当作是文件来处理,因此该字符表明此文件的类型,字符与对应的意义如下表: 文件标志
文件类型
例子
-
普通文件
数据文件、
ASCII 纯文本文件、程序
d
目录
/bin
b
块设备
/dev/hda(第一个 IDE 硬盘)
c
字符设备
/dev/ttyS1(与 DOS 种的串口 2 等同)
s
套接字
/dev/log
p
命名管道
/dev/initctl(与“|”等同)
l
符号链接
/dev/modem->/dev/ttyS1
权限标志:
对每个文件或目录都有 4 类不同的用户。每类用户各有一组读、写和执行(搜索)文件的访问权限,这 4 类用户是:
root:系统特权用户类,既 UID = 0 的用户。
owner:拥有文件的用户。
group:共享文件的组访问权限的用户类的用户组名称。
world:不属于上面 3 类的所有其他用户。
作为 root,他们自动拥有了所有文件和目录的全面的读、写和搜索的权限,所以没有必要明确指定他们的权限。其他三类用户则可以在耽搁文件或者目录的基础上别 授权或撤消权限。因此对另外三类用户,一共 9 个权限位与之对应,分为 3 组,每组 3 个,分别用 r、w、x 来表示,分别对应 owner、group、world。
权限位对于文件和目录的含义有些许不同。每组 3 个字符对应的含义从左至右的顺序,对于文件来说是:读文件的内容(r)、写数据到文件(w)、做为命令执行该文件(x)。对于目录来说是:读包含在目录中 的文件名称(r)、写信息到目录中去(增加和删除索引点的连接)、搜索目录(能用该目录名称作为路径名去访问它所包含的文件或子目录)。具体来说就是:
1. 有只读权限的用户不能用 cd 进入该目录;还必须有执行权限才能进入。
2. 有执行权限的用户只有在知道文件名并拥有该文件的读权限的情况下才可以访问目录下的文件。
3. 必须有读和执行权限才可以使用 ls 列出目录清单,或使用 cd 进入目录。
4. 如用户有目录的写权限,则可以创建、删除或修改目录下的任何文件或子目录,既是该文件或子目录属于其他用户。
修改文件权限
首先讲修改文件的所有权,使用 chown 和 chgrp 命令:
chown new_user file or directory:修改文件或目录的所有者。
chgrp new_group file or directory:修改文件或目录的所属组。
这里需要注意的是:普通用户不能将文件或目录的所有权交与他人,只有 root 有这一权限。但是普通用户有权改变文件或目录的所属组。
由 于每类用户的权限都是由 rwx 三位组成,因此可以用三个八进制数字表示文件的访问权。一个八进制数字可以用三个二进制数字表示,那么与其对应,权值为 4 的位对应 r,权值为 2 的位对应 w,权值为 1 的位对应 x。对于一类用户,将这三位与其对应的权值相乘求和,就可以得出对该类用户的访问权限。
改变文件访问权限的命令是 chmod,格式是:
chmod permission file_name
比如 chmod 764 a.txt,它表示对于文件的所有者,具有对该文件读、写、执行的权限。对于文件所属组的用户,拥有读、写的权限。对于其他用户,只有读权限。
这里需要注意的是:文件的创建者是唯一可以修改该文件访问权限的普通用户,另外一个可以修改文件访问权限的用户是 root。
还有一种表示方法,就是用字符串来设定文件访问权限。其中读用 r 表示,写用 w 表示,执行用 x 表示;所有者用 u 表示,组用户用 g 表示,其他用户用 o 表示,所有用户用 a 表示。
相关推荐
### Linux 文件特殊权限 SGID/SUID/Sticky Bit 详析 #### 一、引言 在 Linux 操作系统中,为了实现更为灵活和安全的权限管理机制,除了基本的读(r)、写(w)、执行(x)权限外,还引入了一些特殊的权限控制方式,包括 ...
- `chmod o+t [文件名]`: 设置Sticky Bit权限。 - **示例**: 为文件`file`设置SUID权限: ```bash chmod u+s file ``` 通过以上命令的学习与实践,我们可以有效地管理Linux系统中的进程,实现任务的自动化调度,...
- `[rwxXstugo…]` 表示读 (r)、写 (w)、执行 (x)、SUID (S)、SGID (s)、sticky bit (t) 和特殊文件类型 (X)。 - **说明**: - 文件模式控制了与该文件相关的访问权限。 - 对于标准文件,读权限允许查看文件内容;...
SBIT(Sticky Bit)是一种特殊权限,只针对目录有效,对于文件已经没有效果了。SBIT 的主要功能是: * 当用户对于此目录具有 w,x 权限,即具有写入的权限 * 当用户在该目录下创建文件或目录时,仅有自己与 root 才...
### Linux必学的60个命令详解 #### 一、登录与系统操作 **1. login** - **功能**: `login` 命令用于用户登录到Linux系统。 - **用法**: `login [name] [参数]` - `[name]`: 指定用户名,默认为当前终端登录的...
- **Sticky Bit (T)**:用于目录时,即使用户对目录有写权限,也只能删除自己创建的文件。 ##### 4. 权限修改命令 - **chown**:更改文件或目录的所有者。 - **chgrp**:更改文件或目录的用户组。 - **chmod**:...
- 黏滞位(Sticky Bit):在目录上设置,防止非所有者删除目录内的文件,常用于`/tmp`目录。 3. 文件权限: - r:代表可读。 - w:代表可写。 - x:代表可执行,对于目录来说,意味着可以进入该目录。 4. 脚本...
- 黏滞位(Sticky Bit):仅用于目录,保留文件所有者的删除权,防止其他用户删除该目录下的文件,常见于`/tmp`目录。 3. **脚本执行**: - `/etc/rc.local`:在启动过程的最后执行,用于系统自定义初始化操作。 ...
- 特殊权限位(如SUID、SGID、Sticky Bit)的作用及设置方法。 **5. 用户权限管理** - **知识点:** - Linux用户账户与组账户的基本概念。 - 用户账户的添加、删除与修改。 - 组账户的管理方法。 - sudo命令的...
- **Sticky Bit (粘滞位)**:保护目录,即使设置了w权限,用户也只能删除自己创建的文件。 5. **文件访问控制列表(ACL)** - ACL提供了一种更灵活的权限控制方式,可以为单个用户或组设置特定的权限。 以上就是...
- **SBIT (Sticky Bit)**: 通常用于目录,确保即使拥有者权限不够,也只有文件创建者可以删除自己的文件。 #### 三、文件类型与压缩 - **脚本文件** (`.sh`): 可执行脚本文件。 - **压缩文件** (`.tar`, `.tar.gz...
- **Sticky Bit**:只允许文件所有者删除自己的文件。 - 符号形式:`t`。 - 数字形式:1000 或 1000。 #### 六、权限数值表 - `-rw------- (600)`: 文件所有者具有读写权限。 - `-rw-r--r-- (644)`: 文件所有者...
- `chmod o+t 文件名`:为文件添加sticky bit。 - **权限优先级**:文件权限的检查顺序为:所有者权限 > ACL > 特殊权限 > 所属组权限 > 其他人权限。 - **系统权限** - `lsattr 文件名`:显示文件的系统权限。 ...
SUID、SGID和SBIT是Linux文件权限中三个特殊的位,它们提供了超出常规权限的特定功能,使得非所有者用户能够在某些情况下以拥有者或特定组的权限执行文件。 **SUID(Set-User-ID)** 是Linux权限系统中的一个重要...
- ** Sticky Bit**:在目录上设置,使得即使文件所有者删除了目录内的文件,其他用户也不能删除。 5. **文件所有权**: - **改变所有者**:`chown`命令,如`chown user:group filename`。 - **改变所属组**:`...
- **sticky-bit**:对文件,限制其他用户删除;对目录,限制非属主用户删除目录中的文件。 11. **常用命令**: - `exit`:退出当前登录用户。 - `Ctrl+Alt+F1~F6`:切换到文本终端tty1~tty6。 - `Ctrl+Alt+F7`...
普通用户和管理员通常了解基础的读(r)、写(w)和执行(x)权限,但Linux还提供了三种特殊的权限:SUID (Set User ID)、SGID (Set Group ID) 和SBIT (Sticky Bit)。这些特殊权限在特定情况下能赋予用户超出他们原本权限...
在 Linux 中,还有三种特殊权限:SUID、SGID 和 Sticky Bit。 * SUID(Set User ID):如果设置了 SUID 的可执行文件被执行,文件将以所有者的身份来运行。 * SGID(Set Group ID):意思同 SUID,设置了 SGID 的可...