读The How and Why of User Private Groups in Unix
2016-05-18 16:58
731 查看
原文:https://security.ias.edu/how-and-why-user-private-groups-unix
UPG为使用是为了解决不同用户共享目录工作的问题的。为了在Unix 机器上安全的工作,通常需要设置一个包含必须成员的组,并且令目录中的文件对组成员是可写可读的。
作者举了一个多人共享一个目录来编辑web页面的例子:
在使用UPG之前,users是staff组(a staff group)的主要成员,是的辅助组中的次要成员(auxillary groups)次要成员,本例中为“Web组”
用户的umask 是022,所以新文件权限为644,新目录权限为755。管理员必须创建一个供成员工作的目录并设置属组为web且可写。
因此,管理员应该要求每个用户在修改完文件后修改属组和权限。
但是一旦其中一个用户写入文件后忘记修改权限,就会造成其他非管理员用户无法修改此文件。
在UPG设置中,每个用户被放置在每一个以他们username命名的own private group中。这样做的原因是我们因此可以将umask 由022更改为002( owner read/write, group read/write, other readonly). )
通过使用UPG,我们不会使Bob的文件被Alice覆写。如果Bob的默认组仍为staff并且umask为002,Alice就可以修改Bob home目录中的文件。
另一个问题是,set_gid bit。当设置了set_gid bit:
"On most systems, if a directory's set-group-ID bit is set, newly created subfiles inherit the same group as the directory, and newly created subdirectories inherit the set-group-ID bit of the parent directory."
即,设置了set_gid的目录的新的子文件将继承目录的组,新字目录将继承父目录的set_gid。
这样上例中的/var/www/html设置了set_gid的话,新文件新目录将以目录的组为组创建。
这样在Bob and Alice 拥有默认组Bob Alice的情况下,管理员需要进行以下设置。
进行以下操作去除以往用户操作的影响。
这样做的结果:
Bob进行操作:
当Alice修改时:
这样多用户可以在同一目录友爱和谐地工作了。
UPG 不允许用户自己动态地创建组(groups),需要系统管理员来创建组、目录和设置组可写与set_gid。
=================================================================================
WillsonZhang@http://bbs.chinaunix.net/thread-1324-1-1.html
关于set uid ,set gid,sticky bit的三个权限的详细说明
每个文件都有一个所有者, 表示该文件是谁创建的. 同时, 该文件还有一个组编号, 表示该文件所属的组, 一般为文件所有者所属的组.
如果是一个可执行文件, 那么在执行时, 一般该文件只拥有调用该文件的用户具有的权限. 而 setuid, setgid 可以来改变这种设置.
setuid: 设置使文件在执行阶段具有文件所有者的权限. 典型的文件是 /usr/bin/passwd. 如果一般用户执行该文件, 则在执行过程中, 该文件可以获得root权限, 从而可以更改用户的密码.
setgid: 该权限只对目录有效. 目录被设置该位后, 任何用户在此目录下创建的文件都具有和该目录所属的组相同的组.
sticky bit: 该位可以理解为防删除位. 一个文件是否可以被某用户删除, 主要取决于该文件所属的组是否对该用户具有写权限. 如果没有写权限, 则这个目录下的所有文件都不能被删除, 同时也不能添加新的文件. 如果希望用户能够添加文件但同时不能删除文件, 则可以对文件使用sticky bit位. 设置该位后, 就算用户对目录具有写权限, 也不能删除该文件.
下面说一下如何操作这些标志:
操作这些标志与操作文件权限的命令是一样的, 都是 chmod. 有两种方法来操作,
1) chmod u+s temp -- 为temp文件加上setuid标志. (setuid 只对文件有效)
chmod g+s tempdir -- 为tempdir目录加上setgid标志 (setgid 只对目录有效)
chmod o+t temp -- 为temp文件加上sticky标志 (sticky只对文件有效) ???
2) 采用八进制方式. 对一般文件通过三组八进制数字来置标志, 如 666, 777, 644等. 如果设置这些特殊标志, 则在这组数字之外外加一组八进制数字. 如 4666, 2777等. 这一组八进制数字三位的意义如下,
abc
a - setuid位, 如果该位为1, 则表示设置setuid
b - setgid位, 如果该位为1, 则表示设置setgid
c - sticky位, 如果该位为1, 则表示设置sticky
设置完这些标志后, 可以用 ls -l 来查看. 如果有这些标志, 则会在原来的执行标志位置上显示. 如
rwsrw-r-- 表示有setuid标志
rwxrwsrw- 表示有setgid标志
rwxrw-rwt 表示有sticky标志
那么原来的执行标志x到哪里去了呢? 系统是这样规定的, 如果本来在该位上有x, 则这些特殊标志显示为小写字母 (s, s, t). 否则, 显示为大写字母 (S, S, T)
eagerlinuxer@http://bbs.chinaunix.net/thread-1324-1-1.html
这两天一直为为什么设了sticky位而还能删文件而苦恼,今天去问了一下我们的RHCE老师才对sticky位有了一个较好的了解。
要删除一个文件,你不一定要有这个文件的写权限,但你一定要有这个文件的上级目录的写权限。也就是说,你即使没有一个文件的写权限,但你有这个文件的上级目录的写权限,你也可以把这个文件给删除,而如果没有一个目录的写权限,也就不能在这个目录下创建文件。
如何才能使一个目录既可以让任何用户写入文件,又不让用户删除这个目录下他人的文件,sticky就是能起到这个作用。stciky一般只用在目录上,用在文件上起不到什么作用。
在一个目录上设了sticky位后,(如/tmp,权限为1777)所有的用户都可以在这个目录下创建文件,但只能删除自己创建的文件,这就对所有用户能写的目录下的用户文件启到了保护的作用。(我当时/tmp没有设sticky位,而在文件上设了,这也就是为什么我为什么设了sticky位,还能删除自己创建的文件的原因了)
我实验了一下:
user1 建立temp目录,权限1777,user2可以在此目录下写入但是无法删除user1的文件a和目录b。
权限为775 ,user1的文件a为1777,目录b为1777,user2 同样无法删除a和b。
权限为777, user1的文件a为17770,目录b为17770,user2可以删除a和b。
(另外,发现root用户默认umask为022,新建的普通用户为002,没研究)
UPG为使用是为了解决不同用户共享目录工作的问题的。为了在Unix 机器上安全的工作,通常需要设置一个包含必须成员的组,并且令目录中的文件对组成员是可写可读的。
作者举了一个多人共享一个目录来编辑web页面的例子:
在使用UPG之前,users是staff组(a staff group)的主要成员,是的辅助组中的次要成员(auxillary groups)次要成员,本例中为“Web组”
用户的umask 是022,所以新文件权限为644,新目录权限为755。管理员必须创建一个供成员工作的目录并设置属组为web且可写。
# mkdir /var/www/html # ls -ld /var/www/html drwxr-xr-x. 5 root root 4096 1997-12-07 17:00 /var/www/html/ # chown root:web /var/www/html # chmod 775 /var/www/html # ls -lad /var/www/html drwxrwxr-x. 5 root web 4096 1997-12-07 17:00 /var/www/html/
因此,管理员应该要求每个用户在修改完文件后修改属组和权限。
但是一旦其中一个用户写入文件后忘记修改权限,就会造成其他非管理员用户无法修改此文件。
bob:~$ cd /var/www/html bob:/var/www/html$ vi index.html alice:/var/www/html$ vi index.html "/var/www/html/index.html" E212: Can't open file for writing alice:/var/www/html$ ls -l index.html -rw-r--r--. 1 bob staff 2614 2009-10-05 11:46 index.html
在UPG设置中,每个用户被放置在每一个以他们username命名的own private group中。这样做的原因是我们因此可以将umask 由022更改为002( owner read/write, group read/write, other readonly). )
通过使用UPG,我们不会使Bob的文件被Alice覆写。如果Bob的默认组仍为staff并且umask为002,Alice就可以修改Bob home目录中的文件。
另一个问题是,set_gid bit。当设置了set_gid bit:
"On most systems, if a directory's set-group-ID bit is set, newly created subfiles inherit the same group as the directory, and newly created subdirectories inherit the set-group-ID bit of the parent directory."
即,设置了set_gid的目录的新的子文件将继承目录的组,新字目录将继承父目录的set_gid。
这样上例中的/var/www/html设置了set_gid的话,新文件新目录将以目录的组为组创建。
这样在Bob and Alice 拥有默认组Bob Alice的情况下,管理员需要进行以下设置。
# ls -ld /var/www/html drwxrwxr-x. 5 root web 4096 1997-12-07 17:00 /var/www/html # chmod g+s /var/www/html # ls -ld /var/www/html drwxrwsr-x. 5 root web 4096 1997-12-07 17:00 /var/www/html/
进行以下操作去除以往用户操作的影响。
# chgrp -R web /var/www/html # chmod -R g+w /var/www/html
这样做的结果:
Bob进行操作:
bob:~$ id uid=523(bob) gid=523(bob) groups=101(web) bob:~$ umask 0002 bob:~$ cd /var/www/html bob:/var/www/html$ vi index.html bob:/var/www/html$ ls -l index.html -rw-rw-r--. 1 bob web 2614 2009-10-05 11:46 index.html
当Alice修改时:
alice:~$ id uid=524(alice) gid=524(alice) groups=101(web) alice:~$ umask 0002 alice:~$ cd /var/www/html alice:/var/www/html$ vi index.html
这样多用户可以在同一目录友爱和谐地工作了。
UPG 不允许用户自己动态地创建组(groups),需要系统管理员来创建组、目录和设置组可写与set_gid。
=================================================================================
WillsonZhang@http://bbs.chinaunix.net/thread-1324-1-1.html
关于set uid ,set gid,sticky bit的三个权限的详细说明
每个文件都有一个所有者, 表示该文件是谁创建的. 同时, 该文件还有一个组编号, 表示该文件所属的组, 一般为文件所有者所属的组.
如果是一个可执行文件, 那么在执行时, 一般该文件只拥有调用该文件的用户具有的权限. 而 setuid, setgid 可以来改变这种设置.
setuid: 设置使文件在执行阶段具有文件所有者的权限. 典型的文件是 /usr/bin/passwd. 如果一般用户执行该文件, 则在执行过程中, 该文件可以获得root权限, 从而可以更改用户的密码.
setgid: 该权限只对目录有效. 目录被设置该位后, 任何用户在此目录下创建的文件都具有和该目录所属的组相同的组.
sticky bit: 该位可以理解为防删除位. 一个文件是否可以被某用户删除, 主要取决于该文件所属的组是否对该用户具有写权限. 如果没有写权限, 则这个目录下的所有文件都不能被删除, 同时也不能添加新的文件. 如果希望用户能够添加文件但同时不能删除文件, 则可以对文件使用sticky bit位. 设置该位后, 就算用户对目录具有写权限, 也不能删除该文件.
下面说一下如何操作这些标志:
操作这些标志与操作文件权限的命令是一样的, 都是 chmod. 有两种方法来操作,
1) chmod u+s temp -- 为temp文件加上setuid标志. (setuid 只对文件有效)
chmod g+s tempdir -- 为tempdir目录加上setgid标志 (setgid 只对目录有效)
chmod o+t temp -- 为temp文件加上sticky标志 (sticky只对文件有效) ???
2) 采用八进制方式. 对一般文件通过三组八进制数字来置标志, 如 666, 777, 644等. 如果设置这些特殊标志, 则在这组数字之外外加一组八进制数字. 如 4666, 2777等. 这一组八进制数字三位的意义如下,
abc
a - setuid位, 如果该位为1, 则表示设置setuid
b - setgid位, 如果该位为1, 则表示设置setgid
c - sticky位, 如果该位为1, 则表示设置sticky
设置完这些标志后, 可以用 ls -l 来查看. 如果有这些标志, 则会在原来的执行标志位置上显示. 如
rwsrw-r-- 表示有setuid标志
rwxrwsrw- 表示有setgid标志
rwxrw-rwt 表示有sticky标志
那么原来的执行标志x到哪里去了呢? 系统是这样规定的, 如果本来在该位上有x, 则这些特殊标志显示为小写字母 (s, s, t). 否则, 显示为大写字母 (S, S, T)
eagerlinuxer@http://bbs.chinaunix.net/thread-1324-1-1.html
这两天一直为为什么设了sticky位而还能删文件而苦恼,今天去问了一下我们的RHCE老师才对sticky位有了一个较好的了解。
要删除一个文件,你不一定要有这个文件的写权限,但你一定要有这个文件的上级目录的写权限。也就是说,你即使没有一个文件的写权限,但你有这个文件的上级目录的写权限,你也可以把这个文件给删除,而如果没有一个目录的写权限,也就不能在这个目录下创建文件。
如何才能使一个目录既可以让任何用户写入文件,又不让用户删除这个目录下他人的文件,sticky就是能起到这个作用。stciky一般只用在目录上,用在文件上起不到什么作用。
在一个目录上设了sticky位后,(如/tmp,权限为1777)所有的用户都可以在这个目录下创建文件,但只能删除自己创建的文件,这就对所有用户能写的目录下的用户文件启到了保护的作用。(我当时/tmp没有设sticky位,而在文件上设了,这也就是为什么我为什么设了sticky位,还能删除自己创建的文件的原因了)
我实验了一下:
user1 建立temp目录,权限1777,user2可以在此目录下写入但是无法删除user1的文件a和目录b。
权限为775 ,user1的文件a为1777,目录b为1777,user2 同样无法删除a和b。
权限为777, user1的文件a为17770,目录b为17770,user2可以删除a和b。
(另外,发现root用户默认umask为022,新建的普通用户为002,没研究)
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- Unix 即将迎来 50 岁
- Linux VS Unix:Linux欲一统天下 Unix不死
- 使用Sticky组件实现带sticky效果的tab导航和滚动导航的方法
- 浅谈Sticky组件的改进实现
- 看UNIX高手的10个习惯第1/2页
- 通过PHP修改Linux或Unix口令的方法分享
- mysql unix准换时间格式查找指定日期数据代码
- php strtotime 函数UNIX时间戳
- 安全检测Unix和Linux服务器安全设置入门精讲
- 使用getBoundingClientRect方法实现简洁的sticky组件的方法
- 分享20个Unix/Linux 命令技巧
- PHP使用gmdate实现将一个UNIX 时间格式化成GMT文本的方法
- Linux/UNIX和Window平台上安装Mysql
- Mac OS下配置远程Linux 服务器SSH密钥认证自动登录
- C的温故知新
- 使用golang和docker守护进程交互
- 在Linux和Unix中使用chmod命令改变文件权限的用法
- python UNIX_TIMESTAMP时间处理方法分析
- Linux/UNIX和Window平台上安装Mysql
- Alice梦游UNIX仙境