|
|
51CTO旗下网站
|
|
移动端

更深入地了解Linux权限

在Linux上查看文件权限时,有时你看到的不仅仅是普通的r、w、x和-这些名称。如何更清楚地了解不常见的字符试图告诉你什么以及这些权限如何运作?

作者:布加迪编译来源:51CTO|2019-05-31 08:00

更深入地了解Linux权限

【51CTO.com快译】在Linux上查看文件权限时,有时你看到的不仅仅是普通的r、w、x和-这些名称。你可能看到的不是rwx,而是s或t,如下例所示:

  1. drwxrwsrwt 

进一步明确这点的一种方法是使用stat命令来查看权限。stat的输出结果中第四行显示了八进制和字符串格式的文件权限:

  1. $ stat /var/mail  
  2. File: /var/mail  
  3. Size: 4096 Blocks: 8 IO Block: 4096 directory  
  4. Device: 801h/2049d Inode: 1048833 Links: 2  
  5. Access: (3777/drwxrwsrwt) Uid: ( 0/ root) Gid: ( 8/ mail)  
  6. Access: 2019-05-21 19:23:15.769746004 -0400  
  7. Modify: 2019-05-21 19:03:48.226656344 -0400  
  8. Change: 2019-05-21 19:03:48.226656344 -0400  
  9. Birth: -  

该输出提醒我们,分配给文件权限的位数超过9个,实际上有12个。这多出来的3位为分配平常的读取、写入和执行之外的权限提供了一种方法;比如说,3777(二进制011111111111)表示在使用两个额外的设置。

这个特定值中的***个1(第2位)表示SGID(设置组ID),并分配运行文件的临时权限,或使用拥有关联组权限的目录。

011111111111  

SGID为使用该文件充当该组成员的人员赋予了临时权限。

第二个1(第3位)是“粘性”位。它确保只有文件的所有者才能删除或重命名文件或目录。

011111111111  

如果权限是7777而不是3777,我们已知道SUID(设置UID)字段也已被设置。

111111111111  

SUID为使用该文件充当文件所有者的用户赋予了临时权限。

至于我们在上面看到的/var/mail目录,所有用户都需要一定的访问权限,因此需要一些特殊值来提供它。

但现在让我们更进一步。

特殊权限位的一个常见用途是用于passwd命令之类的命令。如果你看一下/usr/bin/passwd文件,会注意到SUID位已设置,允许你更改密码(因而更新/etc/shadow文件的内容),即使你以普通(非特权)用户的身份来运行,对该文件没有读取或写入权限。当然,passwd命令很聪明,不允许你更改其他人的密码,除非你实际上以root的身份运行或使用sudo。

  1. $ ls -l /usr/bin/passwd  
  2. -rwsr-xr-x 1 root root 63736 Mar 22 14:32 /usr/bin/passwd  
  3. $ ls -l /etc/shadow  
  4. -rw-r----- 1 root shadow 2195 Apr 22 10:46 /etc/shadow  

现在,不妨看一下可以用这些特殊权限做什么。

如何分配特殊文件权限 ?

与Linux命令行上的许多内容一样,你在如何发出请求方面有一些选择。chmod命令让你可以以数字方式或使用字符表达式来更改权限。

想以数字方式更改文件权限,可以使用这样的命令来设置setuid位和setgid位:

  1. $ chmod 6775 tryme 

或者可以使用这样的命令:

  1. $ chmod ug+s tryme <== for SUID and SGID permissions 

如果添加特殊权限的文件是脚本,你可能会惊讶于它未符合你的期望。这是个很简单的例子:

  1. $ cat tryme  
  2. #!/bin/bash  
  3. echo I am $USER  

即使SUID位和SGID位已设置,这个文件是root拥有的文件,运行这样的脚本也不会带来你可能预计的“我是root”响应。为什么?因为Linux忽略脚本上的set-user-ID位和set-group-ID位。

  1. $ ls -l tryme  
  2. -rwsrwsrwt 1 root root 29 May 26 12:22 tryme  
  3. $ ./tryme  
  4. I am jdoe  

另一方面,如果你使用编译的程序尝试类似的操作,就像这个简单的C程序一样,会看到不同的效果。在该示例程序中,我们提示用户输入文件并为其创建文件,并将写入权限赋予文件。

  1. #include  
  2. int main()  
  3.  
  4. FILE *fp; /* file pointer*/  
  5. char fName[20];  
  6. printf("Enter the name of file to be created: ");  
  7. scanf("%s",fName);  
  8. /* create the file with write permission */  
  9. fp=fopen(fName,"w");  
  10. /* check if file was created */  
  11. if(fp==NULL 
  12.  
  13. printf("File not created");  
  14. exit(0);  
  15.  
  16. printf("File created successfully\n");  
  17. return 0;  
  18.  

一旦你编译程序,运行命令使root成为所有者并设置所需的权限后,你会看到它以预期的root权限运行,留下新创建的root拥有的文件。当然,你必须拥有sudo权限才能运行一些所需的命令。

  1. $ cc -o mkfile mkfile.c <== compile the program  
  2. $ sudo chown root:root mkfile <== change owner and group to “root”  
  3. $ sudo chmod ug+s mkfile <== add SUID and SGID permissions  
  4. $ ./mkfile <== run the program  
  5. Enter name of file to be create: empty  
  6. File created successfully  
  7. $ ls -l empty  
  8. -rw-rw-r-- 1 root root 0 May 26 13:15 empty  

请注意,该文件由root拥有――如果程序未以root权限运行,不会发生这种情况。

权限字符串(比如rwsrwsrwt)中不常见设置的位置可以帮助提醒我们每个位的含义。至少***个“s”(SUID)位于所有者权限区域,第二个(SGID)位于组权限区域。为什么粘性位是“t”而不是“s”不在本文的探讨范围。无论如何,额外的权限设置为Linux及其他Unix系统提供了许多附加功能。

原文标题:A deeper dive into Linux permissions,作者:Sandra Henry-Stocker

【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】

【编辑推荐】

  1. 一篇文章搞懂Linux运行级别,恭喜你!离大佬又近了一步
  2. 越来越像Linux了!Windows系统5月更新让Python开箱即用
  3. 如何在Linux上创建和管理计划任务?
  4. 开源社区慌不慌?又一个Linux发行版宣告死亡
  5. 分享10大白帽黑客专用的 Linux 操作系统
【责任编辑:庞桂玉 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

订阅专栏+更多

16招轻松掌握PPT技巧

16招轻松掌握PPT技巧

GET职场加薪技能
共16章 | 晒书包

289人订阅学习

20个局域网建设改造案例

20个局域网建设改造案例

网络搭建技巧
共20章 | 捷哥CCIE

645人订阅学习

WOT2019全球人工智能技术峰会

WOT2019全球人工智能技术峰会

通用技术、应用领域、企业赋能三大章节,13大技术专场,60+国内外一线人工智能精英大咖站台,分享人工智能的平台工具、算法模型、语音视觉等技术主题,助力人工智能落地。
共50章 | WOT峰会

0人订阅学习

读 书 +更多

网管员必读——网络安全(第2版)

本书是在《网管员必读—网络安全》第1版的基础上修改而成的。新版在保留第1版实用内容的基础上增加了大量新的实用内容,同时删除了一些过时...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊

51CTO服务号

51CTO播客