SGID
僅僅作用與二進制執行文件,會在屬性中創建出s與t的權限,讓一般使用者具有該程序擁有這的權限。
比如 /user/bin/passwd 的用戶權限爲 -rwsr-xr-x root root 具有這個s,那麼普通用戶執行 passwd 過程中就等同於獲得了root的權限。
SGID
s 權限在group上,可以用在2個部分:
文件:如果設置在二進制執行文件上,使用者不論是誰,在執行該程序的時候,有效羣組會變成該程序的羣組
目錄:作用在目錄上,那麼在這個目錄中建立的文件或者目錄,羣組都會是A的羣組
SBIT:
在具有SBIT的目錄下,即使使用者若具有該目錄下wr權限,也只能管理自己建立的文件
另外有一篇好文章
一個文件都有一個所有者, 表示該文件是誰創建的. 同時, 該文件還有一個組編號, 表示該文件所屬的組, 一般爲文件所有者所屬的組.
如果是一個可執行文件, 那麼在執行時, 一般該文件只擁有調用該文件的用戶具有的權限. 而setuid, setgid 可以來改變這種設置.
setuid: 設置使文件在執行階段具有文件所有者的權限. 典型的文件是 /usr/bin/passwd. 如果一般用戶執行該文件, 則在執行過程中, 該文件可以獲得root權限, 從而可以更改用戶的密碼.
setgid: 該權限只對目錄有效. 目錄被設置該位後, 任何用戶在此目錄下創建的文件都具有和該目錄所屬的組相同的組.
sticky bit: 該位可以理解爲防刪除位. 一個文件是否可以被某用戶刪除, 主要取決於該文件所屬的組是否對該用戶具有寫權限. 如果沒有寫權限, 則這個目錄下的所有文件都不能被刪除, 同時也不能添加新的文件. 如果希望用戶能夠添加文件但同時不能刪除文件, 則可以對文件使用sticky bit位. 設置該位後, 就算用戶對目錄具有寫權限, 也不能刪除該文件.
下面說一下如何操作這些標誌:
操作這些標誌與操作文件權限的命令是一樣的, 都是 chmod. 有兩種方法來操作,
1) chmod u+s temp -- 爲temp文件加上setuid標誌. (setuid 只對文件有效)
chmod g+s tempdir -- 爲tempdir目錄加上setgid標誌 (setgid 只對目錄有效)
chmod o+t temp -- 爲temp文件加上sticky標誌 (sticky只對文件有效)
2) 採用八進制方式. 對一般文件通過三組八進制數字來置標誌, 如 666, 777, 644等. 如果設置這些特殊標誌, 則在這組數字之外外加一組八進制數字. 如 4666, 2777等. 這一組八進制數字三位的意義如下,
abc
a - setuid位, 如果該位爲1, 則表示設置setuid
b - setgid位, 如果該位爲1, 則表示設置setgid
c - sticky位, 如果該位爲1, 則表示設置sticky
設置完這些標誌後, 可以用 ls -l 來查看. 如果有這些標誌, 則會在原來的執行標誌位置上顯示. 如
rwsrw-r-- 表示有setuid標誌
rwxrwsrw- 表示有setgid標誌
rwxrw-rwt 表示有sticky標誌
那麼原來的執行標誌x到哪裏去了呢? 系統是這樣規定的, 如果本來在該位上有x, 則這些特殊標誌顯示爲小寫字母 (s, s, t). 否則, 顯示爲大寫字母 (S, S, T)
