http://www.jb51.net/LINUXjishu/81436.html
1、setuid与setgid讲解
看一下系统中用到它的地方,以/etc/passwd和/usr/bin/passwd为例:
[root@Salve1 school]# ll /etc/passwd /usr/bin/passwd
-rw-r--r-- 1 root root 2005 Apr 23 01:25 /etc/passwd
-rwsr-xr-x 1 root root 23420 Aug 11 2010 /usr/bin/passwd
[root@Salve1 school]#
分
析一下,/etc/passwd的权限为 -rw-r--r--
也就是说:该文件的所有者拥有读写的权限,而用户组成员和其它成员只有查看的权限。我们知道,在系统中我们要修改一个用户的密码,root用户和普通用户
均可以用/usr/bin/passwd
someuser这个命令来修改这个/etc/passwd这个文件,root用户本身拥有对/etc/passwd的写权限,无可厚非;那普通用户呢,
这里就用到了setuid,setuid的作用是“让执行该命令的用户以该命令拥有者的权限去执行”,就是普通用户执行passwd时会拥有root的权
限,这样就可以修改/etc/passwd这个文件了。它的标志为:s,会出现在x的地方,例:-rwsr-xr-x
。而setgid的意思和它是一样的,即让执行文件的用户以该文件所属组的权限去执行。
2、stick bit(粘滞位)
看一下系统中用到它的地方,以/tmp为例:
[root@Salve1 /]# ll -d /tmp
drwxrwxrwt 13 root root 4096 Apr 23 02:06 /tmp
[root@Salve1 /]#
我
们知道/tmp是系统的临时文件目录,所有的用户在该目录下拥有所有的权限,也就是说在该目录下可以任意创建、修改、删除文件,那如果用户A在该目录下创
建了一个文件,用户B将该文件删除了,这种情况我们是不能允许的。为了达到该目的,就出现了stick
bit(粘滞位)的概念。它是针对目录来说的,如果该目录设置了stick
bit(粘滞位),则该目录下的文件除了该文件的创建者和root用户可以删除和修改/tmp目录下的stuff,别的用户均不能动别人的,这就是粘滞位
的作用。
3、如何设置上述特殊权限
chmod u+s xxx # 设置setuid权限
chmod g+s xxx # 设置setgid权限
chmod o+t xxx # 设置stick bit权限,针对目录
chmod 4775 xxx # 设置setuid权限
chmod 2775 xxx # 设置setgid权限
chmod 1775 xxx # 设置stick bit权限,针对目录
4、注意:有时你设置了s或t 权限,你会发现它变成了S或T,这是因为在那个位置上你没有给它x(可执行)的权限,这样的话这样的设置是不会有效的,你可以先给它赋上x的权限,然后再给s或t 的权限。
=====================================================
http://blog.sina.com.cn/s/blog_4cc16fc50100edkn.html
linux 支持强制位(setuid 和setgid)与冒险位(sticky)的特别权限。针对u,g,o,分别有set uid,set gid,及sticky。
强制位与冒险位添加在执行权限的位置上:如果该位置上原已有执行权限,则强制位与冒险位以小写字母的方式表示;否则,以大写字母表示。set uid与set gid在u和g的x位置上各采用一个s,sticky使用一个t。
在可执行文件上,用户可以添加set uid和set gid。默认情况下,用户执行一个可执行文件,会以该用户的身份来运行进程。在可执行性文件上添加强制位后,可以让用户执行的指令,以指令文件的拥有者或所属组的身份运行进程。
默认情况下,用户建立的文件属于用户当前所在的组。目录上设置了setgid:任何人在此目录中建立的文件都会属于该目录所属的用户组。
默认情况下,如果一个目录上有w和x权限,则任何人可以在此目录中建立与删除文件。一旦目录上设置了冒险位,则表示在此目录中,只有文件的拥有者、及root才可以删除文件。
用户可以用chmod指令来为文件设置强制位与冒险位。
set uid:chmod u+s 文件名
set gid:chmod g+s 文件名
sticky:chmod o+t 文件名
强制位与冒险位也可以通过一个数字加和,放在读写执行的三位数字前来指定。
4(set uid)
2(set gid)
1(sticky)
====================================
http://wuhaoshu.blog.51cto.com/845270/390104
目录权限及粘贴位 (suid sgid t位 sticky)
目录也是一种文档
目录上的读写执行权限和普通文档有所不同:
读:用户能够读取目录内的文档
写:单独使用没有作用。和执行权限连用能够在目录内添加和删除文档。
执行:用户能够进入目录,调用目录内的资料
除了读写执行权限以外,ext2,ext3文档系统还支持强制位(setuid 和setgid)和冒险位(sticky)的特别权限。
配置s u i d / g u i d
命令 结果 含义
chmod 4755 -rwsr-xr-x suid、文档属主具备读、写和执行的权限,任何其他用户具备读和执行的权限
chmod 6711 -rws--s--x suid、sgid、文档属主具备读、写和执行的权限,任何其他用户具备执行的权限
chmod 4511 -rwS--x?x suid、文档属主具备读、写的权限,任何其他用户具备执行的权限
上面的表中有具备这样权限的文档:rwS --x -- x,其中S为大写。他表示相应的执行权限位并未被配置,这是一种没有什么用处的suid配置能够忽略他的存在。
注意,chmod命令不进行必要的完整性检查,能够给某一个没用的文档赋予任何权限,但 chmod 命令并不会对所配置的权限组合做什么检查。因此,不要看到一个文档具备执行权限,就认为他一定是个程式或脚本。
关于linux下粘贴位(sticky位):
要删除一个文档,您不一定要有这个文档的写权限,但您一定要有这个文档的上级目录的写权限。也就是说,您即使没有一个文档的写权限,但您有这个文档的上级目录的写权限,您 也能够把这个文档给删除,而假如没有一个目录的写权限,也就不能在这个目录下创建文档。
怎样才能使一个目录既能够让任何用户写入文档,又不让用户删除这个目录下他人的文档,sticky就是能起到这个作用。stciky一般只用在目录上,用在文档上起不到什么作用。
在一个目录上设了sticky位后,(如/home,权限为1777)任何的用户都能够在这个目录下创建文档,但只能删除自己创建的文档(root除外),这就对任何用户能写的目录下的用户文档 启到了保护的作用。
===================================
http://blog.csdn.net/ctthuangcheng/article/details/25634379
- UID:实际用户ID
- EUID:有效用户ID
- GID:实际组ID
- EGID:有效组ID
- #include <sys/types.h>
- #include <unistd.h>
- uid_t getuid(); //获取实际用户ID
- uid_t geteuid(); //获取有效用户ID
- gid_t getgid(); // 获取实际组ID
- gid_t getegid(); // 获取有效组ID
- int setuid( uid_t uid ); //设置实际用户ID
- int seteuid( uid_t uid ); //设置有效用户ID
- int setgid( gid_t gid ); // 设置实际组ID
- int setegid( gid_t gid ); // 设置有效组ID
- #include <stdio.h>
- #include <stdlib.h>
- #include <unistd.h>
- int main()
- {
- uid_t uid = getuid();
- uid_t euid = geteuid();
- printf("userid is %d,effective userid is %d\n",uid,euid);
- return 0;
- }
- @ubuntu:~$ sudo chown root:root test_uid // 修改目标文件的所有者为root
- @ubuntu:~$ sudo chmod +s test_uid // 设置目标文件的set-user-id 标志 注意这段很重要
- @ubuntu:~$ ./test_uid // 运行程序
- userid is 1000,effective userid is 0
浙公网安备 33010602011771号