相信各位看官老爷,对于文件的 r , w 和 x 这种三种基本权限已经非常熟悉,但是在查询系统文件时会发现有一些其他权限的字母:
- 比如:/usr/bin/paswd文件,属主应该是x的权限位出现了s。
- 比如:/usr/bin/write文件,属组应该是x权限位出现了s。
- 比如:/tmp目录下文件,其他人权限位应该是x出现了t。
我们把这种称为特殊权限,那么特殊权限有什么作用?或者说能干啥?
特殊权限SUID
1、SUID产生的背景
在Linux系统中,每个普通用户都可以改变自己的密码,这是合理的设置。但是用户的密码信息存储在/etc/shadow文件中,也就是说,普通用户在更改自己的密码时,会更改/etc/shadow文件的内容,但是/etc/shadow文件不允许别人(普通用户)修改,那么普通用户为什么可以修改自己的密码呢?可以查看/etc/shadow文件的权限如下:
结果示意图
其实,普通用户可以修改自己的密码在于passwd命令本身,该命令拥有特殊权限的SetUID也就是属主权限位上的执行权限时s,那么如何理解特殊权限SetUID:当一个可执行文件设置SetUID之后,用户在执行这个文件之时将以文件的所有者身份来执行这个文件。
当我们使用普通用户htym命令执行passwd命令时会发生什么呢?
- 由于passwd命令拥有suid特殊权限位;(在命令属主权限位有一个s)
- 所以命令passwd在执行过程中,会以命令属主的身份运行该命令;(也就是root身份运行)
总结:htym ----> 运行passwd ---> 转换位命令属主身份root执行 ----> 操作/etc/shadow 信息变更;
2、SUID设置语法
chmod u+s /usr/bin/cat
chmod 4775 /usr/bin/cat测试结果
3、SUID的作用
- 让普通用户对可执行二进制文件,临时拥有二进制文件属主权限
- 如果二进制文件没有执行权限,那么suid的权限位显示为S
- 特殊权限suid权限位仅对二进制可执行文件有效,其他文件目录则无效
- 注意:suid相对较危险,不见对vim或rm进行suid设定操作
特殊权限SGID
1、什么SGID
SGID有两种功能:
- SGID设置二进制可执行文件,命令在执行过程中,会以命令的属组身份运行该命令(效果不大)
- SGID设置目录上,那么在该目录下创建的目录和文件会自动继承父目录的属组
2、SGID设置语法
chmod g+s /dir
chmod 2775 /dir结果示意图
3、SUID场景说明
需求说明:系统有两个用户ex1和ex2,这个用户都拥有example附加组
- 1、这两个用户共同拥有/data/code目录的开发权限(读写执行权限)
- 2、互相之间能够修改彼此的文件,但是该目录不允许其他人进入查询
操作过程如下:
测试结果
用户ex1,ex2可以正常操作目录/data/code下的文件:test1.txt
测试结果
其他用户操作目录/data/code下的文件test1.txt失败:
测试结果
特殊权限SBIT
1、什么时SBIT
一旦目录被赋予了粘滞位Sticky,除了root可以删除目录中的所有文件之外,普通用户就算对该文件具有w权限,也只能删除自己建立的文件,而不能删除其他用户建立的文件。
2、SBIT配置示例
## 默认情况下/mnt目录不具备粘滞位权限,如何将此目录设置位粘滞位权限呢?
chmod 1755 /mnt
chmod o+t /mnt3、SBIT使用场景
当我们初始化MySQL服务时,服务会创建一些临时文件存储至/tmp目录下,当初始化完成之后,自己会清理掉里面的数据,别人无法清理。(如果这个目录不具有粘滞位,那么MySQL初始化会报错)
案例:通过shell模拟MySQL服务初始化过程应对过程
- 1、模拟MySQL服务初始化创建文件至/tmp目录下
- 2、模拟普通用户登陆系统删除MySQL服务的初始化文件
- 3、如果普通用户删除删除成功,则MySQL初始化失败(因为MySQL服务创建的初始化文件需要自行销毁)
- 4、如果普通用户删除失败,则MySQL服务尝试删除,删除成功,则初始化成功
shell脚本如下:
#!/usr/bin/bash
mysql_tmp_file=mysql.init
User=htym
#1、初始化MySQL服务文件
touch ${mysql_tmp_file}
#2、模拟用户删除
useradd ${User}
su - ${User} -c "rm -f ${mysql_tmp_file} &> /dev/null"
#3、检查是否删除成功
if [ $? eq 0 ]; then
echo "${mysql_tmp_file}文件被${User}删除成功,该目录不是sbit,MySQL初始化失败"
else
echo "${mysql_tmp_file}文件被${User}删除失败,该目录是sbit,MySQL初始化成功"
fi4、SBIT的作用
- 让所有用户对目录具有写入权限,并且能实现每个用户只能删除自己的文件
- 粘滞位目录表现在others的x位,用t表示,如果没有执行权限则位T
- 粘滞位的属主及root用有权限删除目录中的内容,其他用户无权删除
文件特殊属性
1、什么是文件特殊属性
这些属性凌驾于rwx基础权限之上,是一种高级属性
2、特殊属性的作用
- 创建一个文件不允许被修改,移动,删除,包root用户也不行,适合/etc/passwd;
- 创建一个文件允许往文件中追加数据,不允许移动,修改,删除,适合sudo审计日志
3、特殊属性如何设置
Linux通过chattr来实现对文件特殊属性的设置
命令格式:chattr [+-=] [选项] 文件名
- a:可对文件追加内容
- i:锁定文件,不允许其他操作
设置/etc/passwd文件不能删除,修改,增加
chattr +i /etc/passwd
chattr +a /var/log/secure测试结果:
测试结果
取消特殊权限,需使用root身份:
chattr -i /etc/passwd
chattr -a /var/log/secure4、特殊属性场景示例
模拟病毒串改站点,然后使用chattr锁住文件,让病毒程序无法串改,然后追踪并杀死病毒程序;
- 安装并启动http服务
- 模拟病毒脚本并篡改网页内容
- 锁定串改文件,然后找出病毒,将其杀死
4.1、安装http服务,并对外启动
yum install httpd -y
systemctl start httpd4.2、编写病毒脚本,尝试篡改网页内容
#!/usr/bin/bash
web_site=/var/www/html/index.html
while true
do
#1、模拟入侵
echo "我是病毒的Code">${web_site}
sleep 10
#2、将这个脚本放入定时任务
echo "*/1 * * * * /bin/bash -x /usr/bin/virus &> /tmp/virus.log" > /var/spool/cron/root
#3、将脚本锁住
chattr +i /usr/bin/virus
done4.3、锁定文件,然后杀死病毒