SUID含義:文件的該位被設 置爲1,在該文件被執行時,該文件將以所有者的身份運行,也就是說無論誰來執行這個文件,他都有文件所有者的特權,如果所有者是root的話,那麼執行人就有超級用戶 的特權了,這是該位將變成一個安全漏洞,因此不要輕易設置該位。
SGID含義:運行者將具有文件所有組的權限。
STICKY粘合位: 要求操作系統既是在可執行程序退出後,仍要在內存中保留該程序的映像,這樣做是爲了節省大型程序的啓動時間,但是會佔用系統資源,因此設置該位,不如把程序寫好。
set uid ;set gid;sticky bit區別
每一個文件有所有者及組編號,set uid ;set gid可以改變用戶對文件具有的權限:寫和執行.
setuid: 在執行時具有文件所有者的權限.
setgid: 設置目錄. 一個目錄被標上setgid位,此目錄下創建的文件繼承該目錄的屬性.
sticky bit: 該位可以理解爲防刪除位. 設置sticky bit位後,就算用戶對目錄具有寫權限,但也只能添加文件而不能刪除文件。
如何設置:
操作這些標誌與操作文件權限的命令是一樣的, 都是 chmod. 有兩種方法來操作,
1) chmod u+s temp -- 爲temp文件加上setuid標誌. (setuid 只對文件有效,U=用戶)
chmod g+s tempdir -- 爲tempdir目錄加上setgid標誌 (setgid 只對目錄有效,g=組名)
chmod o+t temp -- 爲temp文件加上sticky標誌 (sticky只對文件有效)
2) 採用八進制方式. 這一組八進制數字三位的意義如下,
abc
a - setuid位, 如果該位爲1, 則表示設置setuid
b - setgid位, 如果該位爲1, 則表示設置setgid
c - sticky位, 如果該位爲1, 則表示設置sticky
設置後, 可以用 ls -l 來查看. 如果本來在該位上有x, 則這些特殊標誌顯示爲小寫字母 (s, s, t). 否則, 顯示爲大寫字母 (S, S, T)
如:
rwsrw-r-- 表示有setuid標誌 (rwxrw-r--:rwsrw-r--)
rwxrwsrw- 表示有setgid標誌 (rwxrwxrw-:rwxrwsrw-)
rwxrw-rwt 表示有sticky標誌 (rwxrw-rwx:rwxrw-rwt)
理解文件權限
所謂的文件權限,是指對文件的訪問權限,包括對文件的讀、寫、刪除、執行。Linux 是一個多用戶操作系統,它允許多個用戶同時登錄和工作。因此 Linux 將一個文件或目錄與一個用戶和組聯繫起來。請看下面的例子:
drwxr-xr-x 5 root root 1024 Sep 13 03:27 Desktop
與文件權限相關聯的是第一、第三、第四個域。第三個域是文件的所有者,第四個域是文件的所屬組,而第一個域則限制了文件的訪問權限。在這個例子中,文件的 所有者是 root,所屬的組是 root,文件的訪問權限是 drwxr-xr-x。對於文件和目錄講,每個文件和目錄都有一組權限標誌和它們結合在一起,在上例中就是第一個域中的內容。下面來仔細分析這個域中各個 符號的意義:
該域由 10 個字符組成,可以把它們分爲四組,具體含義分別是:
d rwx r-x r-x
文件類型 所有者權限標誌 組權限標誌 其他用戶權限標誌
其中:
文件類型:第一個字符。由於 Linux 系統對與設備、目錄、文件都當作是文件來處理,因此該字符表明此文件的類型,字符與對應的意義如下表:
文件標誌 文件類型 例子
- 普通文件 數據文件、ASCII 純文本 文件、程序
d 目錄 /bin
b 塊設備 /dev/hda(第一個 IDE 硬盤)
c 字符設備 /dev/ttyS1(與 DOS 種的串口 2 等同)
s 套接字 /dev/log
p 命名管道 /dev/initctl(與“|”等同)
l 符號鏈接 /dev/modem->/dev/ttyS1
權限標誌:
對每個文件或目錄都有 4 類不同的用戶。每類用戶各有一組讀、寫和執行(搜索)文件的訪問權限,這 4 類用戶是:
root:系統特權用戶類,既 UID = 0 的用戶。
owner:擁有文件的用戶。
group:共享文件的組訪問權限的用戶類的用戶組名稱。
world:不屬於上面 3 類的所有其他用戶。
作爲 root,他們自動擁有了所有文件和目錄的全面的讀、寫和搜索的權限,所以沒有必要明確指定他們的權限。其他三類用戶則可以在耽擱文件或者目錄的基礎上別 授權或撤消權限。因此對另外三類用戶,一共 9 個權限位與之對應,分爲 3 組,每組 3 個,分別用 r、w、x 來表示,分別對應 owner、group、world。
權限位對於文件和目錄的含義有些許不同。每組 3 個字符對應的含義從左至右的順序,對於文件來說是:讀文件的內容(r)、寫數據到文件(w)、做爲命令執行該文件(x)。對於目錄來說是:讀包含在目錄中 的文件名稱(r)、寫信息到目錄中去(增加和刪除索引點的連接)、搜索目錄(能用該目錄名稱作爲路徑名去訪問它所包含的文件或子目錄)。具體來說就是:
1. 有隻讀權限的用戶不能用 cd 進入該目錄;還必須有執行權限才能進入。
2. 有執行權限的用戶只有在知道文件名並擁有該文件的讀權限的情況下纔可以訪問目錄下的文件。
3. 必須有讀和執行權限纔可以使用 ls 列出目錄清單,或使用 cd 進入目錄。
4. 如用戶有目錄的寫權限,則可以創建、刪除或修改目錄下的任何文件或子目錄,既是該文件或子目錄屬於其他用戶。
修改文件權限
首先講修改文件的所有權,使用 chown 和 chgrp 命令:
chown new_user file or directory:修改文件或目錄的所有者。
chgrp new_group file or directory:修改文件或目錄的所屬組。
這裏需要注意的是:普通用戶不能將文件或目錄的所有權交與他人,只有 root 有這一權限。但是普通用戶有權改變文件或目錄的所屬組。
由於每類用戶的權限都是由 rwx 三位組成,因此可以用三個八進制數字表示文件的訪問權。一個八進制數字可以用三個二進制數字表示,那麼與其對應,權值爲 4 的位對應 r,權值爲 2 的位對應 w,權值爲 1 的位對應 x。對於一類用戶,將這三位與其對應的權值相乘求和,就可以得出對該類用戶的訪問權限。
改變文件訪問權限的命令是 chmod,格式是:
chmod permission file_name
比如 chmod 764 a.txt,它表示對於文件的所有者,具有對該文件讀、寫、執行的權限。對於文件所屬組的用戶,擁有讀、寫的權限。對於其他用戶,只有讀權限。
這裏需要注意的是:文件的創建者是唯一可以修改該文件訪問權限的普通用戶,另外一個可以修改文件訪問權限的用戶是 root。
還有一種表示方法,就是用字符串來設定文件訪問權限。其中讀用 r 表示,寫用 w 表示,執行用 x 表示;所有者用 u 表示,組用戶用 g 表示,其他用戶用 o 表示,所有用戶用 a 表示。那麼上面例子就寫成西面的模樣:
chmod a+r,u+w,u+x,g+w a.txt
==================================================
chmod是Linux下設置文件權限的命令,後面的數字表示不同用戶或用戶組的權限。
一般是三個數字:
第一個數字表示文件所有者的權限
第二個數字表示與文件所有者同屬一個用戶組的其他用戶的權限
第三個數字表示其它用戶組的權限。
權限分爲三種:讀(r=4),寫(w=2),執行(x=1) 。 綜合起來還有可讀可執行(rx=5=4+1)、可讀可寫(rw=6=4+2)、可讀可寫可執行(rwx=7=4+2+1)。
所以,chmod 755 設置用戶的權限爲:
1.文件所有者可讀可寫可執行
2.與文件所有者同屬一個用戶組的其他用戶可讀可執行
3.其它用戶組可讀可執行
chmod 4755與chmod 755 的區別在於開頭多了一位,這個4表示其他用戶執行文件時,具有與所有者相當的權限。
例如:root用戶創建了一個上網認證程序netlogin,如果其他用戶要上網也要用到這個程序,那就需要root用戶運行chmod 755 netlogin命令使其他用戶也能運行netlogin。
但是netlogin執行時可能需要訪問一些只有root用戶纔有權訪問的文件,那麼其他用戶執行netlogin時可能因爲權限不夠還是不能上網。
這種情況下,就可以用 chmod 4755 netlogin 設置其他用戶在執行netlogin也有root用戶的權限,從而順利上網。
ps:對shell腳本設置無效!只對應用程序有效!
=============================================
linux/unix 下的可執行文件:
被設置了setuid, 當一個程序一旦設置了該標記以後, 使用該可執行程序的進程將擁有該執行文件的所有者的權限,可提升使用者的權限,普通用戶可以執行改命令,使自己升級爲root權限。
setuid的用法是: chmod 4755 program 或 chmod u+s program (setuid 只對文件有效)
被設置了setgid, 同理使用該程序的進程將擁有該程序所有組的權限,單獨setGid的文件非常少用,通常都是即setUid又setGid,同時setuid,setgid 是爲了綁定某個特殊用戶及其組的特殊權限。
setgid的用法是:chmod 2755 dir 或 chmod g+s dir (setgid 只對目錄有效)
同時設置setuid,setgid的用法:chmod 6755 program
被設置粘着位,設置的用法是: chmod 1777 file 或 chmod o+t file (sticky只對文件有效)
當一個目錄被設置爲"粘着位"(用chmod a+t),則該目錄下的文件只能由
一、超級管理員刪除
二、該目錄的所有者刪除
三、該文件的所有者刪除
也就是說,即便該目錄是任何人都可以寫,但也只有文件的屬主纔可以刪除文件 。
原文鏈接:http://www.cnblogs.com/dkblog/archive/2011/03/09/1980635.html