Linux - 修訂歷史

丁志仁：/* 第1字段：節點的屬性與權限 */

2018-11-20T08:11:22Z

第1字段：節點的屬性與權限

丁志仁：/* 第1字段：節點的屬性與權限 */

2018-11-20T08:02:32Z

第1字段：節點的屬性與權限

丁志仁：/* 第1字段：節點的屬性與權限 */

2018-11-20T07:27:56Z

第1字段：節點的屬性與權限

丁志仁：/* 第1字段：節點的屬性與權限 */

2018-11-20T07:17:59Z

第1字段：節點的屬性與權限

丁志仁：/* 第1字段：節點的屬性與權限 */

2018-11-20T05:31:07Z

第1字段：節點的屬性與權限

丁志仁：/* 第1字段：節點的屬性與權限 */

2018-11-20T04:57:48Z

第1字段：節點的屬性與權限

丁志仁：/* 第1字段：節點的屬性與權限 */

2018-11-20T04:51:20Z

第1字段：節點的屬性與權限

丁志仁：/* 第1字段：節點的屬性與權限 */

2018-11-20T04:45:58Z

第1字段：節點的屬性與權限

丁志仁：/* 第1字段：節點的屬性與權限 */

2018-11-20T04:03:42Z

第1字段：節點的屬性與權限

丁志仁：/* 第1字段：節點的屬性與權限 */

2018-11-20T01:08:22Z

第1字段：節點的屬性與權限

@@ 第49行： / 第49行： @@
 #UNIX的內核對每位使用者制定了四個 ID ：user id、group id、effective user id、effective group id，即uid,gid,euid,egid。內核是依據euid和egid來確定進程對資源的訪問權限。<br/>用戶可以用id命令來查到自己的或其他用戶的uid,gid。<br/>一個程式檔如果沒有設SUID或SGID位，則euid=uid,egid=gid；如果一個程式檔設了SUID(SUID的優先級比SGID高)，則euid和egid變成被運行程式檔所有者的uid和gid；如果一個程式檔設了SGID，則egid變成被運行程式檔所有者的gid。
 #改變特殊權限也是用 chmod 指令：
-#:
+#:chmod u+s 檔案或目錄、chmod 4xxx：設SUID
+#:chmod g+s 檔案或目錄、chmod 2xxx：設SGID
+#:chmod o+t 檔案或目錄、chmod 1xxx：設sticky
+#:+換成-：消去特殊權限
 ====第2字段：檔案硬連接數====

@@ 第47行： / 第47行： @@
 #SGID(檔案)：即 set group ID ，檔案具有 SGID 時，若 others 具有可執行權限，那麼當 other 執行該程式時， other 將擁有該檔案的 group 的權限。如：<br/>cr--r----- 1 root system 2, 1&nbsp;&nbsp;&nbsp;&nbsp;May 25 1998 kmem<br/>-r-xr-sr-x 1 bin system 59346 Apr 05 1998 ps<br/>kmem是一個字符設備，裡面存儲了核心程序要訪問的數據，包括用戶的口令，所以這個文件不能給一般的用戶讀寫；但一般用戶想透過ps等程序要讀這個設備，而一般用戶不是root，所以不能訪問kmem。但大家注意了，bin和root都屬於system群組，而且ps設置了SGID，一般用戶執行ps，就會獲得system群組用戶的權限，而文件kmem的同群組用戶的權限是可讀，所以一般用戶執行ps讀就kmem沒問題了。<br/>為什麼不把ps程序設置為root用戶的程序，然後設置SUID位，不也行嗎？這的確可以解決問題，但實際中為什麼不這樣做呢？因為SGID的風險比SUID小得多，所以出於系統安全的考慮，如果可能的話應該盡量用SGID代替SUID的程序。
 #SGID(目錄)：如果一個目錄設置了SGID，那麼如果任何一個用戶對這個目錄有寫入權限的話，他在這個目錄所建立的檔案的群組都會自動轉為父目錄 owner 所在的群組，而檔案的 owner 不變，還是屬於建立這個檔案的用戶。
+#UNIX的內核對每位使用者制定了四個 ID ：user id、group id、effective user id、effective group id，即uid,gid,euid,egid。內核是依據euid和egid來確定進程對資源的訪問權限。<br/>用戶可以用id命令來查到自己的或其他用戶的uid,gid。<br/>一個程式檔如果沒有設SUID或SGID位，則euid=uid,egid=gid；如果一個程式檔設了SUID(SUID的優先級比SGID高)，則euid和egid變成被運行程式檔所有者的uid和gid；如果一個程式檔設了SGID，則egid變成被運行程式檔所有者的gid。

←上個修訂		於 2018年11月20日 (二) 07:27 的修訂
第46行：		第46行：
	#SUID：即 set user ID ，SUID對目錄沒有影響，檔案具有 SUID 時，若 others 具有可執行權限，那麼當 other 執行該程式時， other 將擁有該檔案的 owner 的權限！如：<br/>-rw------- 1 root root   2423 Jun 25 14:29 /etc/shadow<br/>-r-s--x--x 1 root root 13476 Aug 7 2001   /usr/bin/passwd<br/>即利用此一機制，使一般使用者可以透過執行 passwd 修改 shadow 的內容，達到自己修改密碼的目的。		#SUID：即 set user ID ，SUID對目錄沒有影響，檔案具有 SUID 時，若 others 具有可執行權限，那麼當 other 執行該程式時， other 將擁有該檔案的 owner 的權限！如：<br/>-rw------- 1 root root   2423 Jun 25 14:29 /etc/shadow<br/>-r-s--x--x 1 root root 13476 Aug 7 2001   /usr/bin/passwd<br/>即利用此一機制，使一般使用者可以透過執行 passwd 修改 shadow 的內容，達到自己修改密碼的目的。
	#SGID(檔案)：即 set group ID ，檔案具有 SGID 時，若 others 具有可執行權限，那麼當 other 執行該程式時， other 將擁有該檔案的 group 的權限。如：<br/>cr--r----- 1 root system 2, 1    May 25 1998 kmem<br/>-r-xr-sr-x 1 bin system 59346 Apr 05 1998 ps<br/>kmem是一個字符設備，裡面存儲了核心程序要訪問的數據，包括用戶的口令，所以這個文件不能給一般的用戶讀寫；但一般用戶想透過ps等程序要讀這個設備，而一般用戶不是root，所以不能訪問kmem。但大家注意了，bin和root都屬於system群組，而且ps設置了SGID，一般用戶執行ps，就會獲得system群組用戶的權限，而文件kmem的同群組用戶的權限是可讀，所以一般用戶執行ps讀就kmem沒問題了。<br/>為什麼不把ps程序設置為root用戶的程序，然後設置SUID位，不也行嗎？這的確可以解決問題，但實際中為什麼不這樣做呢？因為SGID的風險比SUID小得多，所以出於系統安全的考慮，如果可能的話應該盡量用SGID代替SUID的程序。		#SGID(檔案)：即 set group ID ，檔案具有 SGID 時，若 others 具有可執行權限，那麼當 other 執行該程式時， other 將擁有該檔案的 group 的權限。如：<br/>cr--r----- 1 root system 2, 1    May 25 1998 kmem<br/>-r-xr-sr-x 1 bin system 59346 Apr 05 1998 ps<br/>kmem是一個字符設備，裡面存儲了核心程序要訪問的數據，包括用戶的口令，所以這個文件不能給一般的用戶讀寫；但一般用戶想透過ps等程序要讀這個設備，而一般用戶不是root，所以不能訪問kmem。但大家注意了，bin和root都屬於system群組，而且ps設置了SGID，一般用戶執行ps，就會獲得system群組用戶的權限，而文件kmem的同群組用戶的權限是可讀，所以一般用戶執行ps讀就kmem沒問題了。<br/>為什麼不把ps程序設置為root用戶的程序，然後設置SUID位，不也行嗎？這的確可以解決問題，但實際中為什麼不這樣做呢？因為SGID的風險比SUID小得多，所以出於系統安全的考慮，如果可能的話應該盡量用SGID代替SUID的程序。
−	#SGID(目錄)：	+	#SGID(目錄)：如果一個目錄設置了SGID，那麼如果任何一個用戶對這個目錄有寫入權限的話，他在這個目錄所建立的檔案的群組都會自動轉為父目錄 owner 所在的群組，而檔案的 owner 不變，還是屬於建立這個檔案的用戶。
−		+	#

@@ 第43行： / 第43行： @@
 '''特殊權限'''的具體作用
 #sticky：區分寫入權限與刪檔權限，只對目錄有效，此目錄下的檔案或目錄只有擁有者及 root 才有權力刪除。「/tmp」一般為sticky，該目錄裡面雖然你可以建立與修改任何檔案，但是卻僅能刪除自己建立的檔案呢！除非你是 root ！
-#SUID：即 set user ID ，SUID對目錄沒有影響，但能局部提升一般用戶讀檔權限，檔案具有 SUID 時，若 others 具有可執行權限，那麼當 other 執行該程式時， other 將擁有該檔案的 owner 的權限！如：<br/>-r-s--x--x 1 root root 13476 Aug 7 2001&nbsp;&nbsp;&nbsp;/usr/bin/passwd<br/>-rw------- 1 root root&nbsp;&nbsp;&nbsp;2423 Jun 25 14:29 /etc/shadow<br/>即利用此一機制，使一般使用者可以透過執行 passwd 修改 shadow 的內容，達到自己修改密碼的目的。
+#SUID與SGID的意義與作用：都是對一般用戶(others)不開放敏感檔案的讀取權限，但對指定的程式檔，允許一般用戶透過程式檔局部提升讀檔權限，讀取與該程式相關的敏感檔部分資訊。
-#SGID(檔案)：即 set group ID ，局部提升讀檔權限，檔案具有 SGID 時，若 others 具有可執行權限，那麼當 other 執行該程式時， other 將擁有該檔案的 group 的權限。如：<br/>cr--r----- 1 root system 2, 1&nbsp;&nbsp;&nbsp;&nbsp;May 25 1998 kmem<br/>-r-xr-sr-x 1 bin system 59346 Apr 05 1998 ps<br/>kmem是一個字符設備，裡面存儲了核心程序要訪問的數據，包括用戶的口令，所以這個文件不能給一般的用戶讀寫；但一般用戶想透過ps等程序要讀這個設備，而一般用戶不是root，所以不能訪問kmem。但大家注意了，bin和root都屬於system群組，而且ps設置了SGID，一般用戶執行ps，就會獲得system群組用戶的權限，而文件kmem的同群組用戶的權限是可讀，所以一般用戶執行ps讀就kmem沒問題了。<br/>為什麼不把ps程序設置為root用戶的程序，然後設置SUID位，不也行嗎？這的確可以解決問題，但實際中為什麼不這樣做呢？因為SGID的風險比SUID小得多，所以出於系統安全的考慮，如果可能的話應該盡量用SGID代替SUID的程序。
+#SUID：即 set user ID ，SUID對目錄沒有影響，檔案具有 SUID 時，若 others 具有可執行權限，那麼當 other 執行該程式時， other 將擁有該檔案的 owner 的權限！如：<br/>-rw------- 1 root root&nbsp;&nbsp;&nbsp;2423 Jun 25 14:29 /etc/shadow<br/>-r-s--x--x 1 root root 13476 Aug 7 2001&nbsp;&nbsp;&nbsp;/usr/bin/passwd<br/>即利用此一機制，使一般使用者可以透過執行 passwd 修改 shadow 的內容，達到自己修改密碼的目的。
 #SGID(目錄)：

@@ 第43行： / 第43行： @@
 '''特殊權限'''的具體作用
 #sticky：區分寫入權限與刪檔權限，只對目錄有效，此目錄下的檔案或目錄只有擁有者及 root 才有權力刪除。「/tmp」一般為sticky，該目錄裡面雖然你可以建立與修改任何檔案，但是卻僅能刪除自己建立的檔案呢！除非你是 root ！
-#SUID：即 set user ID ，局部提升讀檔權限，檔案具有 SUID 時，若 others 具有可執行權限，那麼當 other 執行該程式時， other 將擁有該檔案的 owner 的權限！如：<br/>-r-s--x--x 1 root root 13476 Aug 7 2001&nbsp;&nbsp;&nbsp;/usr/bin/passwd<br/>-rw------- 1 root root&nbsp;&nbsp;&nbsp;2423 Jun 25 14:29 /etc/shadow<br/>即利用此一機制，使一般使用者可以透過執行 passwd 修改 shadow 的內容，達到自己修改密碼的目的。
+#SUID：即 set user ID ，SUID對目錄沒有影響，但能局部提升一般用戶讀檔權限，檔案具有 SUID 時，若 others 具有可執行權限，那麼當 other 執行該程式時， other 將擁有該檔案的 owner 的權限！如：<br/>-r-s--x--x 1 root root 13476 Aug 7 2001&nbsp;&nbsp;&nbsp;/usr/bin/passwd<br/>-rw------- 1 root root&nbsp;&nbsp;&nbsp;2423 Jun 25 14:29 /etc/shadow<br/>即利用此一機制，使一般使用者可以透過執行 passwd 修改 shadow 的內容，達到自己修改密碼的目的。
-#SGID：即 set group ID ，局部提升讀檔權限。如：<br/>cr--r----- 1 root system 2, 1&nbsp;&nbsp;&nbsp;&nbsp;May 25 1998 kmem<br/>-r-xr-sr-x 1 bin system 59346 Apr 05 1998 ps<br/><br/>
+#SGID(檔案)：即 set group ID ，局部提升讀檔權限，檔案具有 SGID 時，若 others 具有可執行權限，那麼當 other 執行該程式時， other 將擁有該檔案的 group 的權限。如：<br/>cr--r----- 1 root system 2, 1&nbsp;&nbsp;&nbsp;&nbsp;May 25 1998 kmem<br/>-r-xr-sr-x 1 bin system 59346 Apr 05 1998 ps<br/>kmem是一個字符設備，裡面存儲了核心程序要訪問的數據，包括用戶的口令，所以這個文件不能給一般的用戶讀寫；但一般用戶想透過ps等程序要讀這個設備，而一般用戶不是root，所以不能訪問kmem。但大家注意了，bin和root都屬於system群組，而且ps設置了SGID，一般用戶執行ps，就會獲得system群組用戶的權限，而文件kmem的同群組用戶的權限是可讀，所以一般用戶執行ps讀就kmem沒問題了。<br/>為什麼不把ps程序設置為root用戶的程序，然後設置SUID位，不也行嗎？這的確可以解決問題，但實際中為什麼不這樣做呢？因為SGID的風險比SUID小得多，所以出於系統安全的考慮，如果可能的話應該盡量用SGID代替SUID的程序。
 和GUID解析：數值寫在最左一位

@@ 第42行： / 第42行： @@
 '''特殊權限'''的具體作用
-#sticky：此目錄下的檔案或目錄只有擁有者及 root 才有權力刪除。「/tmp」一般為sticky，該目錄裡面雖然你可以建立與修改任何檔案，但是卻僅能刪除自己建立的檔案呢！除非你是 root ！
+#sticky：區分寫入權限與刪檔權限，此目錄下的檔案或目錄只有擁有者及 root 才有權力刪除。「/tmp」一般為sticky，該目錄裡面雖然你可以建立與修改任何檔案，但是卻僅能刪除自己建立的檔案呢！除非你是 root ！
-#SUID：即 set user ID ，檔案具有 SUID 時，若 others 具有可執行權限，那麼當 other 執行該程式時， other 將擁有該檔案的 owner 的權限！如<br/>-r-s--x--x 1 root root 13476 Aug 7 2001&nbsp;&nbsp;&nbsp;/usr/bin/passwd<br/>-rw------- 1 root root&nbsp;&nbsp;&nbsp;2423 Jun 25 14:29 /etc/shadow<br/>即利用此一機制，使一般使用者可以透過執行 passwd 修改 shadow 的內容，達到自己修改密碼的目的。
+#SUID：即 set user ID ，局部提升讀檔權限，檔案具有 SUID 時，若 others 具有可執行權限，那麼當 other 執行該程式時， other 將擁有該檔案的 owner 的權限！如<br/>-r-s--x--x 1 root root 13476 Aug 7 2001&nbsp;&nbsp;&nbsp;/usr/bin/passwd<br/>-rw------- 1 root root&nbsp;&nbsp;&nbsp;2423 Jun 25 14:29 /etc/shadow<br/>即利用此一機制，使一般使用者可以透過執行 passwd 修改 shadow 的內容，達到自己修改密碼的目的。
 和GUID解析：數值寫在最左一位

Linux - 修訂歷史

丁志仁：​/* 第1字段：節點的屬性與權限 */

丁志仁：​/* 第1字段：節點的屬性與權限 */

丁志仁：​/* 第1字段：節點的屬性與權限 */

丁志仁：​/* 第1字段：節點的屬性與權限 */

丁志仁：​/* 第1字段：節點的屬性與權限 */

丁志仁：​/* 第1字段：節點的屬性與權限 */

丁志仁：​/* 第1字段：節點的屬性與權限 */

丁志仁：​/* 第1字段：節點的屬性與權限 */

丁志仁：​/* 第1字段：節點的屬性與權限 */

丁志仁：​/* 第1字段：節點的屬性與權限 */

丁志仁：/* 第1字段：節點的屬性與權限 */

丁志仁：/* 第1字段：節點的屬性與權限 */

丁志仁：/* 第1字段：節點的屬性與權限 */

丁志仁：/* 第1字段：節點的屬性與權限 */

丁志仁：/* 第1字段：節點的屬性與權限 */

丁志仁：/* 第1字段：節點的屬性與權限 */

丁志仁：/* 第1字段：節點的屬性與權限 */

丁志仁：/* 第1字段：節點的屬性與權限 */

丁志仁：/* 第1字段：節點的屬性與權限 */

丁志仁：/* 第1字段：節點的屬性與權限 */