前言

我們有時候在操作Linux系統的時候，往往會遇到一些奇怪的字符，例如對某一個文件/目錄執行ll時，可能會出現以下情況：

[niesh@niesh~]$ ll /usr/bin/passwd

-rwsr-xr-x.1 root root 278326月102014 /usr/bin/passwd

[niesh@niesh~]$ ll -d /tmp

/drwxrwxrwt.15 root root 4096 7月3016:20 /tmp/

懵逼了，以前見到的都是?r?w?x，什么時候出來了s?t了？這倆是啥東東？

其實，上面就是Linux文件/目錄的特殊權限了 -?SetUID、SetGID?和?SBIT；

呃，這仨優勢啥鳥貨？下面我給你慢慢解釋，你們先打個照面！

SetUID

試想一個場景：

Linux普通用戶可以修改自己的密碼，這個是一個合情合理的設置；修改密碼其實修改的是?/etc/shadow?這個文件；然而不知道你有沒看過這個文件的屬性：

[niesh@niesh~]$ ll /etc/shadow

----------.1 root root 1476 7月3016:15 /etc/shadow

我去，bug啊？很明顯普通用戶對?/etc/shadow?文件沒有任何權限啊，那怎么可能修改該文件呢？

一方面我們需要修改自己的密碼（就是修改/etc/shadow)，另一方面這個文件對普通用戶沒任何權限，自相矛盾啊？這么辦呢？

其實，這里就牽扯到了?SetUID?權限：修改密碼的流程其實就是通過?/usr/bin/passwd?命令對?/etc/passwd進行修改，那么先讓我們看一下這個可執行文件的屬性：

[niesh@niesh~]$ ll /usr/bin/passwd

-rwsr-xr-x.1 root root 278326月 102014 /usr/bin/passwd

發現/usr/bin/passwd的權限為：-rwsr-xr-x. 在此“文件所有者”的第三位是s權限，也就是咱們即將要詳細講解的的setUID權限，也就是它在作怪了！

不相信，那行，我現在驗證一下（和cat命令對比）：

[niesh@niesh~]$ passwd? ?#更改用戶 niesh 的密碼 。

為 niesh 更改 STRESS 密碼。

（當前）UNIX 密碼：新的 密碼：

[niesh@niesh~]$ ll /usr/bin/cat

-rwxr-xr-x.1 root root 54048 11月202015 /usr/bin/cat

[niesh@niesh~]$ cat /etc/shadow

cat:/etc/shadow:權限不夠

SetUID(或者?s?權限）：當一個具有執行權限的文件設置SetUID權限后，用戶執行這個文件時將以文件所有者的身份執行。passwd命令具有SetUID權限，所有者為root（Linux中的命令默認所有者都是root），也就是說當普通用戶使用passwd更改自己密碼的時候，那一瞬間突然 “靈魂附體” 了，實際在以passwd命令所有者root的身份在執行，root當然可以將密碼寫入/etc/shadow文件（root是一個bug的存在，在Linux中就沒有它不能干的事），命令執行完成后該身份也隨之消失。

0. SetUID條件：

必須具備以下幾個條件（前提）：

只有可執行的二進制程序才可以設置SetUID

所有者必須對欲設置SetUID的文件具備?可執行(x)?權限

命令執行過程中，其它用戶獲取所有者的身份（靈魂附體）

SetUID具有時間限制，即完成該程序執行后就消失（不能霸占住不放吧？）

1. 設置和取消SetUID

設置SetUID

chmod 4xxx < file-name >

chmod u+s < file-name >

取消SetUID

chmod xxx < file-name >

chmod u-s < file-name >

2. 例程

首先，查看一下touch命令的屬性：

[niesh@nieshtmp]$ ll /usr/bin/touch

-rwxr-xr-x.1 root root 62432 11月202015 /usr/bin/touch

然后，用普通用戶創建一個文件：

[niesh@niesh tmp]$ touch test1

[niesh@niesh tmp]$ ll test1

-rw-rw-r--.1 niesh niesh 07月3017:40 test1

接著，更改touch的屬性，增加SetUID屬性：

[niesh@nieshtmp]$ sudo chmod u+s /usr/bin/touch

[sudo] password for niesh:

[niesh@nieshtmp]$ ll /usr/bin/touch

-rwsr-xr-x.1 root root 62432 11月202015 /usr/bin/touch

而后，用普通用戶再新建一個文件：

[niesh@niesh tmp]$ touch test2

最后，查看兩個新建文件的屬性：

[niesh@niesh tmp]$ ll test1 test2

-rw-rw-r--.1 niesh niesh 07月3017:40 test1

-rw-rw-r--.1 root? niesh 07月3017:42 test2

[niesh@niesh tmp]$

可以看到，在設置了SetUID之后，新建文件的所有者為root了，說明在執行touch的時候，用戶自動升級為了所有者，靈魂附體了！

3. 危險性

設置SetUID是具備很大危險性的，例如賦予?vim?這個權限：

首先，查找vim在哪里

[root@niesh ~]# whereis vim

vim:/usr/bin/vim /usr/bin/vim.tiny /usr/local/bin/vim /usr/local/vim /usr/share/vim

然后，查看vim的屬性

[root@niesh ~]# ll /usr/bin/vim

lrwxrwxrwx.1 root root 18 5月12 1:02 /usr/bin/vim ->/usr/local/bin/vim

再次，給vim增加SetUID權限

[root@niesh ~]# chmod u+s /usr/bin/vim

[root@niesh ~]# ll /usr/bin/vim

lrwxrwxrwx.1 root root 18 5月12 1:02 /usr/bin/vim ->/usr/local/bin/vim

最后，使用vim編輯/etc/shadow

[niesh@niesh ~]# vim /etc/shadow

明顯，我可以打開并進行編輯了，那萬一，一個不懂的人或者而已破壞的人將自己的權限提升到了root或者干脆刪除這里的內容，那后果將是災難性的！

所以，我們需要定時查看系統中有哪些設置了SetUID權限，對不明物體進行實時打擊！

SetGID

其實，SetGID基本與SetUID相同，無非也就是一個設置所有者的權限，GID為設置所屬組的特殊權限！

區別點在于：SetGID也可以設置目錄的相關SetGID權限！

0. SetGID條件：

針對文件：

可執行的二進制文件

命令執行者（即所屬組）對該文件具備?x?權限

執行時，執行者被所屬組靈魂附體

權限只在執行過程中有效

針對目錄：

普通用戶對目錄具備r和x權限，才可以進入到該目錄

普通用戶在此目錄中的有效組會變成此目錄的所屬組

如普通用戶對該目錄具備w權限，新建文件的所屬組為該目錄的所屬組

1. 設置和取消SetGID

設置SetGID

chmod 2xxx

取消SetGID

chmod xxx

2. 例程：

我們此處以locate命令進行討論：

locate查詢命令，比find要快很多，為什么？因為其實搜索的數據庫而非整個硬盤：

[root@niesh ~]# ll /usr/bin/locate

-rwx--s--x.1 root slocate 40496 6月10 2014 /usr/bin/locate

[root@niesh ~]# ll /var/lib/mlocate/mlocate.db

-rw-r-----.1 root slocate 6306909 7月30 19:15 /var/lib/mlocate/mlocate.db

我用普通用戶進行locate查看：

[niesh@nieshroot]$ locate mlocate.db/usr/share/man/man5/mlocate.db.5.gz

去掉locate的s權限：

[root@niesh ~]# chmod g-s /usr/bin/locate

[root@niesh ~]# ll /usr/bin/locate

-rwx--x--x. 1 root slocate 40496 6月 10 2014 /usr/bin/locate

[niesh@nieshroot]$ locate mlocate.dblocate:無法執行 stat () `/var/lib/mlocate/mlocate.db': 權限不夠

也就是：當執行locate命令時，普通用戶niesh自動升級為slocate的組成員。

SBIT

Stick Bit，粘滯位。

0.作用：

只對目錄有效

普通用戶對該目錄有w和x權限

若沒有粘滯位，則普通用戶可以對目錄下的文件/子目錄進行刪除操作（因為普通用戶對目錄具有w權限），包括其它用戶建立的目錄/文件；但若賦了SBIT,則普通用戶只能刪除自己創建的文件/目錄，而不能刪除不屬于自己的文件/目錄！

1. 設置和取消SBIT

設置SBIT

chmod 1xxx < dir-name >

chmod o+t < dir-name >

取消SBIT

chmod xxx < dir-name >

chmod o-t < dir-name >

2. 例程

以/tmp為例：

查看/tmp的權限：

[niesh@niesh tmp]$ ll -d /tmp/

drwxrwxrwt. 8 root root 4096 7月 30 19:40 /tmp/

會看到，/tmp目錄的權限other部分為rwt,這個t就是我們設置的粘滯位

接下來，我們用其它用戶創建兩個文件：

[Jimmy@niesh tmp]$ touch test-file

[Jimmy@niesh tmp]$ mkdir test-dir

[Jimmy@niesh tmp]$ ll

總用量0

drwxrwxr-x.2 Jimmy Jimmy 6 7月 30 19:44 test-dir

-rw-rw-r--.1 root? Jimmy 07月30 19:44 test-file

切換到另外一個用戶niesh:

[niesh@niesh tmp]$ ll

總用量 0

drwxrwxr-x. 2 Jimmy Jimmy 6 7月? 30 19:44 test-dir

-rw-rw-r--. 1 root? Jimmy 0 7月? 30 19:44 test-file

在?niesh用戶下，刪除/tmp目錄下的文件：

[niesh@nieshtmp]$ rm -rf test-dir/ test-file

rm:無法刪除"test-dir/": 不允許的操作

無法刪除！

然后，我們切換到root，去掉/tmp的粘滯位：

[niesh@niesh tmp]$ su -

密碼：

上一次登錄：日7月3019:43:21CST2017pts/0上

[root@niesh ~]# chmod o-t /tmp/

[root@niesh ~]# ll -d /tmp/

drwxrwxrwx.9 root root 4096 7月30 19:48 /tmp/

最后，切換到普通用戶niesh，再次刪除/tmp下的文件：

[niesh@nieshroot]$ rm -rf/tmp/test-dir/ /tmp/test-file

[niesh@nieshroot]$ ll/tmp/

總用量0