徑物的特殊權限:
就是「SUID」、「SGID」、「SBIT」三個權限。
詳細說明如下:
(1) SUID權限:SUID為set user ID的縮寫。這個權限只對「命令執行檔」有意義。此權限的意思是:「在執行擁有SUID權限的檔案時,會獲得檔案擁有者的身分,一旦執行完畢就恢復原身分」。說明如下:
※ 通常,這個「擁有SUID權限的命令執行檔」在執行時可能會更動到系統檔,而系統檔通常又是屬於root的,且並不開放任何權限給root以外的一般用戶。這時候,若沒有SUID權限,一般用戶在執行命令時根本無法對系統檔做任何動作。所以,SUID權限的目的,是為了讓一般用戶在不能隨意存取系統檔的情況下,能夠「藉由命令更動系統檔」,既給了用戶方便,也不與安全性衝突。
比較常見的例子,是用戶藉由passwd這個命令執行檔來更改該用戶本身的密碼,而該用戶的密碼是放在/etc/shadow這個系統檔內。/etc/shadow屬於root,且對一般用戶沒有開放可寫的權限,故passwd這個命令執行檔就具有SUID權限,在一般用戶執行passwd的時候會暫時獲得root身分以對/etc/shadow這個系統檔進行操作。
※ 這個「擁有SUID權限的檔案」對於執行者來說一定要有可執行(x)的權限,否則SUID權限也無法生效。
※ 利用ls -al,所顯示的徑物權限中的第一個rwx的x:
其若為x,表示該檔案具有擁有者可執行權限,但不具有SUID權限。
其若為s,表示該檔案具有擁有者可執行權限,亦具有SUID權限。
其若為S,表示該檔案不具有擁有者可執行權限,但具有SUID權限。
例如,passwd此命令的執行檔完整路徑為/usr/bin/passwd,利用:
ls -l /usr/bin/passwd 顯示該檔案的檔案權限為:-rwsr-xr-x。
(2) SGID權限:SGID為set group ID的縮寫。對命令執行檔、二進位執行檔、目錄有意義。
※ 對執行檔來說,其功用和SUID相仿。SGID權限的意思是:「在執行擁有SGID權限的執行檔時,會獲得檔案群組的權限,一旦執行完畢就恢復原權限」。且這個「擁有SGID權限的執行檔」對於執行者來說一定要有可執行(x)的權限,否則SGID權限也無法生效。
※ 對目錄來說,如果一個用戶進入了一個「擁有SGID權限的目錄」,那麼這個用戶在進行任何動作時,會以「該目錄群組」的身分、而非「原先群組」的身分進行動作,直到離開此目錄為止。
※ 利用ls -al,所顯示的徑物權限中的第二個rwx的x:
其若為x,表示該徑物具有擁有者可執行權限,但不具有SGID權限。
其若為s,表示該徑物具有擁有者可執行權限,亦具有SGID權限。
其若為S,表示該徑物不具有擁有者可執行權限,但具有SGID權限。
如:ls -l /usr/bin/locate顯示該檔案的檔案權限為:-rwx--s--x。
(3) SBIT權限:SBIT為sticky bit的縮寫。只對目錄有意義。其意義為「當使用者在一個具有SBIT權限的目錄下,建立了屬於自己的子徑物,那麼,只有自己與root才有權利為此子徑物進行刪除、重新命名、搬移的動作」。
※ 通常,這個「具有SBIT權限的目錄」是屬於root的,而此目錄對任何用戶都提供最高權限,任何用戶都可以進入這個目錄,並在這個目錄下新增、刪除、重新命名、搬移子徑物(這些權限是來自於「具有SBIT權限的目錄」的w權限)。但用戶可能會對其他用戶所建立的子徑物進行刪除、重新命名、搬移的動作,造成其他用戶的困擾,故才以SBIT權限禁止用戶對其他用戶的子徑物進行這些操作。
※ 利用ls -al,所顯示的徑物權限中的第三個rwx的x:
其若為x,表示該目錄具有擁有者可執行權限,但不具有SBIT權限。
其若為t,表示該目錄具有擁有者可執行權限,亦具有SBIT權限。
其若為T,表示該目錄不具有擁有者可執行權限,但具有SBIT權限。
如:ls -dl /tmp顯示該檔案的檔案權限為:drwxrwxrwt。
留言列表
javascript 教學 (1)
