suid/guid 的基本知识和设置方法

suid/guid


1、为什么要使用这种类型的脚本？

例如有几个着几个大型的数据库系统，对它们进行备份需要有系统管理权限。可以写几个脚本，并设置了它们的g u i d，这样就可以指定的一些用户来执行这些脚本就能够完成相应的工作，而无须以数据库管理员的身份登录，以免不小心破坏了数据库服务器。通过执行这些脚本，他们可以完成数据库备份及其他管理任务，但是在这些脚本运行结束之后，他们就又回复到他们作为普通用户的权限。


2、查找suid/guid命令

有相当一些U N I X命令也设置了s u i d和g u i d。如果想找出这些命令，可以进入/ b i n或/ s b i n目录，执行下面的命令：

$ ls -l | grep '^...s'


上面的命令是用来查找s u i d文件的；

$ ls -l | grep '^...s..s'


上面的命令是用来查找s u i d和g u i d的。


3、设置UID

设置s u i d：将相应的权限位之前的那一位设置为4；

设置g u i d：将相应的权限位之前的那一位设置为2；

两者都置位：将相应的权限位之前的那一位设置为4+2=6。



设置了这一位后x的位置将由s代替。
记住：在设置s u i d或g u i d的同时，相应的执行权限位必须要被设置。
例如，如果希望设置g u i d，那么必须要让该用户组具有执行权限。

如果想要对文件l o g i n[它当前所具有的权限为rwx rw- r-- (741)]设置s u i d，，可在使用c h m o d命令时在该权限数字的前面加上一个4，即chmod 4741，这将使该文件的权限变为r w s rw- r - -。

$ chmod 4741 login



设置suid/guid的例子

      命令          结果        含义

chmod 4755   rws r-x r- x   文件被设置了s u i d，文件属主具有读、写和执行的权限，其他用户具有读和执行的权限

chmod 6711   rws --s --x    文件被设置了s u i d和g u i d，文件属主具有读、写和执行的权限，其他用户具有执行的权限

chmod 4764   rws rw- r- -   文件被设置了s u i d，文件属主具有读、写和执行的权限，属组用户具有读和执行的权限，用户具有读权限




4、还可以使用符号方式来设置s u i d / g u i d。如果某个文件具有这样的权限： rwx r-x r- x，那么可以这样设置其s u i d：

chmod u+s <filename>;



于是该文件的权限将变为： rws r-x r-x

在查找设置了s u i d的文件时，没准会看到具有这样权限的文件：rwS r-x r- x，其中S为大写。
它表示相应的执行权限位并未被设置，这是一种没有什么用处的s u i d设置，可以忽略它的存在。

注意，c h m o d命令不进行必要的完整性检查，可以给某一个没用的文件赋予任何权限，但chmod 命令并不会对所设置的权限组合做什么检查。因此，不要看到一个文件具有执行权限，就认为它一定是一个程序或脚本。