权限管理（二）特殊权限

　　特殊权限
　　setuid权限会标红
　　setgid会标黄
　　权限代表：s
　　绿
　　权限代表：t
　　引入：1普通用户可以修改密码吗？可以passwd命令2etcshadow的权限0000？08：41：43rootsky，10。0。0。201：lletcshadow。1rootroot711Aug2221：03etcshadow3普通用户可以查看或者修改etcshadow吗？改不了。普通用户vim进去显示etcshadow〔PermissionDenied〕那为何普通用户能改密码？归功于passwd命令的特殊权限SetUID（s）这使得你只要执行这个命令，就是在按照binpasswd的属主权限去执行
　　一、SetUID权限
　　可以这样理解：当一个具有执行权限的文件设置了SetUID权限后，用户在执行这个文件时，将以文件所有者身份来执行SetUID：无论是谁操作都是按照其属主（root）的权限例子llbinpasswd〔rootsky〕llbinsurwsrxrx。1rootroot32208Oct312018binsu哪些命令默认设置了suid位〔rootsky〕findbintypefperm4755xargslslrwsrxrx。1rootroot64328Oct312018binchagerwsrxrx。1rootroot57576Apr112018bincrontabrwsrxrx。1rootroot32096Oct312018binfusermountrwsrxrx。1rootroot78272Oct312018bingpasswdrwsrxrx。1rootroot44320Oct312018binmountrwsrxrx。1rootroot41872Oct312018binnewgrprwsrxrx。1rootroot27832Jun102014binpasswdrwsrxrx。1rootroot23656Oct312018binpkexecrwsrxrx。1rootroot32208Oct312018binsurwsrxrx。1rootroot32048Oct312018binumountSetUID的作用1。让普通用户对可执行的二进制文件，临时拥有二进制文件的所属权限2。如果设置的二进制文件没有执行权限，那么suid的权限显示就是S3。特殊权限suid仅对二进制可执行程序有效，其他文件或目录则无效注意：suid极其危险，不信可以尝试对vim或者rm命令进行设定suid如何授权：chmodus文件名或者chmod4XXX文件名例如：〔rootdb04〕chmodusbincat〔rootdb04〕chmod4755bincat给cat一个SetUID权限的话，普通用户就也可以看etcshadow了给cat命令授权SetUID权限〔rootdb04〕chmod4755bincat查看cat权限〔rootdb04〕llbincatrwsrxrx。1rootroot4856811月222013bincat切换用户〔rootdb04〕suxxx再次查看etcshadow就能看了在有执行权限的情况下是s，没有执行权限的情况下是S原本属主位上有x权限，s显示s原本属主位上有x权限，s显示S他的特殊权限4000（可以statpasswd看一下）
　　例如：先改成000加s权限显示大S
　　再改777加s权限显示小s
　　大S和小s单纯只是用来提示原来位置上有没有x权限
　　二、SetGID
　　对于二进制命令或者程序来说，sgid的功能与suid基本相同，唯一的区别是，suid是获得命令所属用户的身份和权限，而sgid是获得命令所属用户组的身份和权限sgid核心知识小结1）与suid不同的是，sgid既可以针对文件，也可以针对目录进行设置。2）sgid的权限是针对用户组权限位的。对于文件来说，sgid的功能具体如下。1）sgid仅对二进制命令及程序有效。2）二进制命令或程序，也需要有可执行权限x的配合。3）执行命令的任意用户可以获得该命令在程序执行期间所属组的身份和权限。对于目录（继承目录所属的组）来说，sgid的功能具体如下。1）Linux里默认情況下所有用户创建文件，默认用户和组都是自身。2）sgid可以让用户在此目录下创建的文件和目录具有与此目录相同的用户组设置（作用：组内文件共享。）setgid位主要用于目录中，在为某个目录设置了setgid位以后，在该目录中新创建的文件具有该目录的所属组权限，而不是创建该文件的用户的默认所有者。这就使得在多个用户之间共享一个目录中的文件变得简单。sgid实际应用很少例子llbinwrites在属组位如何授权：chmodgs文件名或者chmod2XXX文件名2000就是只授这个权变成S
　　例如：rootsky，10。0。0。201：mkdirtmptest创建test目录rootsky，10。0。0。201：chmodgstmptest授权rootsky，10。0。0。201：lltmptestd看一下drwxrsrx。2rootroot6Aug2310：47tmptestrs已经有了srootsky，10。0。0。201：touchtmptesttoot。file在test下创建toot文件rootsky，10。0。0。201：sua01切到a01用户Lastlogin：TueAug2309：29：22CST2022onpts0〔a01sky〕touchtmptestxxx。file在test下创建xxx。file提示无权限touch：cannottouch‘tmptestxxx。file’：Permissiondenied
　　rootsky，10。0。0。201：chmod777tmptest777授权下rootsky，10。0。0。201：sua01切到a01用户〔a01sky〕touchtmptestxxx。file就可以创建了。在test下创建xxx。file〔a01sky〕lltmptest查看total0rwrr。1rootroot0Aug2310：56toot。filerwrwr。1a01root0Aug2311：08xxx。file属组变跟root了不加权限正常是跟a01那只要我是root组下的，我test下面的都能操作
　　三、sbit
　　StickyBIT，简称SBIT特殊权限，可意为粘着位、粘滞位、防删除位等。
　　SBIT权限仅对目录有效，一旦目录设定了SBIT权限，则用户在此目录下创建的文件或目录，就只有自己和root才有权利修改或删除该文件。
　　也就是说，当甲用户以目录所属组或其他人的身份进入A目录时，如果甲对该目录有w权限，则表示对于A目录中任何用户创建的文件或子目录，甲都可以进行修改甚至删除等操作。但是，如果A目录设定有SBIT权限，那就大不一样啦，甲用户只能操作自己创建的文件或目录，而无法修改或删除其他用户创建的文件或目录。
　　举个例子，Linux系统中，存储临时文件的tmp目录就设定有SBIT权限：17：43：23rootsky，10。0。0。201：tmptouchrootfileroot下创建rootfile17：43：37rootsky，10。0。0。201：tmpsuxxx切到xxx〔xxxskytmp〕touchxxx。file用户xxx创建xxx。filerootsky，10。0。0。201：sua01切到a01切到tmp下创建a01。file〔a01sky〕cdtmp这时用a01用户删rootfile和xxx。file均提示无法删除〔a01skytmp〕rmfrxxx。filerm：cannotremove‘xxx。file’：Operationnotpermitted〔a01skytmp〕rmfrrootfilerm：cannotremove‘rootfile’：Operationnotpermitted但若是移除tmp目录的SBIT权限，则可以嗨删017：46：22rootsky，10。0。0。201：tmpchmodottmp去除tmp目录的SBIT权限017：46：32rootsky，10。0。0。201：tmplldtmp看一眼drwxrwxrwx。19rootroot4096Aug2317：44tmp已经没有t了017：46：35rootsky，10。0。0。201：tmpsuxxx换xxx用户〔xxxskytmp〕rmfrrootfile嗨删〔xxxskytmp〕rmfra01。file〔xxxskytmp〕ll删完看一眼都没了
　　lldtmpdrwxrwxrwt。19rootroot4096Aug2318：21tmp原本权限位上没有x那T原本权限位上没有x那t授权命令：chmodot默认权限1000