Что такое липкий бит Linux

Обновлено: 21.11.2024

Бит закрепления — это бит разрешения, установленный для файла или каталога, который позволяет только владельцу файла/каталога или привилегированному пользователю удалять или переименовывать файл. Никакой другой пользователь не имеет прав на удаление файла, созданного другим пользователем.

Почему мы используем sticky bit в Linux?

Использование. Чаще всего липкий бит используется в каталогах, находящихся в файловых системах Unix-подобных операционных систем. Когда для каталога установлен бит закрепления, файловая система обрабатывает файлы в таких каталогах особым образом, поэтому только владелец файла, владелец каталога или root могут переименовывать или удалять файл.

Как вы используете липкий бит?

Установите липкий бит в каталоге

Используйте команду chmod, чтобы установить липкий бит. Если вы используете восьмеричные числа в chmod, дайте 1, прежде чем указывать другие числовые привилегии, как показано ниже. В приведенном ниже примере пользователю, группе и другим пользователям предоставляется разрешение rwx (а также добавляется липкий бит в каталог).

Что такое Sticky Bit SUID и SGID в Linux?

Когда установлен SUID, пользователь может запускать любую программу как владелец программы. SUID означает установленный идентификатор пользователя, а SGID означает установленный идентификатор группы. SUID имеют значение 4 или используйте u+s. SGID имеет значение 2 или используйте g+s, аналогичный фиксированный бит имеет значение 1 или используйте +t, чтобы применить значение.

Как узнать, установлен ли закрепляющий бит в Linux?

Sticky bit — как просмотреть и установить

Вы могли заметить, что тег t добавлен в каталог /tmp, и это означает, что для этого каталога установлен бит. В Linux липкий бит можно установить с помощью команды chmod. Вы можете использовать тег +t для добавления и тег -t для удаления липкого бита.

Что такое sgid для Linux?

SGID (установка идентификатора группы при выполнении) — это особый тип разрешений на доступ к файлам, предоставляемых файлу/папке. … SGID определяется как предоставление временных разрешений пользователю на запуск программы/файла с разрешениями разрешений файловой группы, чтобы стать членом этой группы для выполнения файла.

Как удалить липкий бит в Unix?

В Linux липкий бит можно установить с помощью команды chmod. Вы можете использовать тег +t для добавления и тег -t для удаления липкого бита.

В чем разница между маленькой буквой T и большой буквой T при применении разрешения sticky bit?

Если раздел «другие» содержит «разрешение на выполнение + закрепляемый бит», вы получите букву «t» в нижнем регистре. Если раздел «другие» не содержит разрешения на выполнение и содержит только закрепленный бит, вы получите прописную букву «T»

Что такое setuid setgid и sticky bit?

Setuid, Setgid и Sticky Bits — это специальные типы наборов разрешений для файлов Unix/Linux, которые позволяют определенным пользователям запускать определенные программы с повышенными привилегиями. В конечном счете права, установленные для файла, определяют, какие пользователи могут читать, записывать или выполнять файл.

Что такое Suid в Linux?

SUID — это специальное разрешение для исполняемых файлов, которое позволяет другим пользователям запускать файл с действующими разрешениями владельца файла. Вместо обычного x, который представляет права на выполнение, вы увидите специальное разрешение для пользователя s (для обозначения SUID).

Как установить бит SUID?

Бит SUID легко изменить с помощью chmod . Символический режим u+s устанавливает бит SUID, а символьный режим u-s очищает бит SUID.

Что означает chmod 2770?

Chmod 2770 (chmod a+rwx,o-rwx,ug+s,+t,u-s,-t) устанавливает разрешения таким образом, чтобы (U)сер/владелец мог читать, писать и выполнять. (G) группа может читать, писать и выполнять. (O)другие не умеют читать, не могут писать и не могут выполнять.

Что означает chmod 1777?

Chmod 1777 (chmod a+rwx,ug+s,+t,u-s,g-s) устанавливает разрешения таким образом, чтобы (U)сер/владелец мог читать, писать и выполнять. (

Что такое chmod gs?

chmod g+s .; Эта команда устанавливает бит режима «set group ID» (setgid) в текущем каталоге, который записывается как . . Это означает, что все новые файлы и подкаталоги, созданные в текущем каталоге, наследуют идентификатор группы каталога, а не идентификатор основной группы пользователя, создавшего файл.

Какое использование ACL в Linux?

Список управления доступом (ACL) предоставляет дополнительный, более гибкий механизм разрешений для файловых систем. Он разработан, чтобы помочь с правами доступа к файлам UNIX. ACL позволяет предоставить права доступа любому пользователю или группе к любому дисковому ресурсу.

Setuid, setgid и липкий бит могут быть сложными для понимания новичками и начинающими администраторами Linux. Достаточно просто выполнить поиск в Интернете по основным определениям:

setuid: бит, который запускает исполняемый файл с привилегиями владельца файла
setgid: бит, запускающий исполняемый файл с привилегиями группы файла
липкий бит: установленный для каталогов бит, позволяющий удалять файлы и подкаталоги только владельцу или привилегированному пользователю.

Но это чрезмерное упрощение, и действительное понимание концепций достаточно хорошо, чтобы сдать экзамен или эффективно использовать их в реальном мире, требует более глубокого понимания. Здесь мы собираемся помочь вам сделать именно это. Мы рассмотрим, как работают setuid, setgid и sticky bit, и предоставим список общих команд, которые помогут вам начать работу. Четкое понимание этих концепций имеет решающее значение для прохождения любой сертификации Linux.

Прежде чем погрузиться в мир umask, setuid и setgid, мы рекомендуем прочитать о правах доступа к файлам, chmod и chown. Если вы уже знакомы с chmod и chown, давайте приступим!

Что такое Setuid и Setgid?

Setuid и setgid позволяют пользователям запускать исполняемый файл с разрешениями пользователя (setuid) или группы (setgid), которым принадлежит файл. Например, если вы хотите, чтобы пользователь мог выполнять определенную задачу, требующую привилегий root/superuser, но не хотите предоставлять ему доступ sudo или root.

Обучение кибербезопасности от CBT Nuggets

Чтобы понять, зачем нужны setuid и setgid, начнем с того, как все работает без них.

Как работают команды без Setuid или Setgid

Обычно, когда процесс в системе Linux запускается, он запускается с использованием uid/gid того пользователя, который его вызвал. Это означает, что он имеет те же привилегии, что и связанный с ним uid/gid. Если ни ваш пользователь, ни какая-либо из ваших реальных или действующих групп не имеют доступа, вы тоже не будете.

Давайте рассмотрим простой пример с использованием команды ls. В нашей папке /topsecret есть два подкаталога: secret1 и secret2. Оба подкаталога принадлежат пользователю root. Подкаталог secret1 разрешает чтение и выполнение всем остальным. Подкаталог secret2 не предоставляет привилегий всем остальным.

Когда мы пытаемся составить список файлов в /topsecretfolder/secret1, система предоставляет доступ ls на основе привилегий, связанных с нашим uid/gid "cooleruser".

Однако, когда мы пытаемся сделать то же самое с topsecretfolder/secret2, мы получаем сообщение об отказе в доступе. Это связано с тем, что при работе с привилегиями нашей учетной записи "cooluser" система запрещает ls доступ к подкаталогу secret2.

Если мы переключимся на учетную запись root (или используем sudo), ls будет нормально работать в подкаталоге secret2. Это имеет смысл, потому что теперь у ls есть привилегии, связанные с пользователем root.

Как работает Setuid/Setgid

Мы видели, как все работает без setuid/setgid, и в большинстве случаев все именно так и должно работать. Привилегии пользователя должны определять, что могут и чего не могут делать выполняемые им команды.

Однако в некоторых случаях вам может понадобиться пользователь для запуска программы с большими привилегиями — обычно привилегиями суперпользователя, — чем они имеют по умолчанию. Учебным случаем для этого является команда passwd, которая позволяет пользователям изменять свой собственный пароль. Изменение вашего пароля по своей сути требует изменения файла /etc/shadow. Однако только пользователь root имеет доступ для записи в /etc/shadow

В обычных обстоятельствах это предполагает, что нам нужно быть root или иметь привилегии sudo, чтобы изменить наш пароль. Однако обычные пользователи могут выполнить команду passwd, чтобы изменить свой пароль без прав sudo или root.

Чтобы понять, почему passwd, по-видимому, предоставляет доступ на уровне root, а ls — нет, давайте взглянем на разрешения для этих двух исполняемых файлов.

Оба исполняемых файла принадлежат привилегированному пользователю и группе, и есть только одно различие в разрешениях. Как видите, исполняемый файл passwd имеет «s» вместо «x» для разрешений владельца файла. Этот «s» говорит нам, что бит setuid установлен.

Поскольку бит setuid установлен, когда мы запускаем команду passwd, она автоматически выполняется как владелец файла. Поскольку владельцем является root, изменение пароля и обязательное редактирование /etc/shadow работают.

Бит setgid также имеет значение "s", но находится в позиции выполнения для группы, которой принадлежит файл. Например, как то, что мы видим здесь на стене исполняемого файла в Ubuntu:

Учитывая эти разрешения, мы знаем, что когда мы запускаем команду стены, она будет работать с привилегиями группы tty.

А как насчет Sticky Bit?

Одна из наиболее запутанных концепций, когда речь заходит о правах доступа к файлам в Linux, — это закрепленный бит. В ранних системах Unix липкий бит использовался для сохранения части программы в пространстве подкачки после завершения процесса. Это привело к ускорению загрузки программ. Однако это не то, что делает sticky bit в современных системах Linux.

Сегодня липкий бит ограничивает, кто может удалять файлы в каталоге в системах Linux. В частности, когда установлен липкий бит, только пользователь-владелец, пользователь-владелец каталога или пользователь root могут удалять файлы в каталоге.В некоторых случаях закрепленный бит более интуитивно называется «флагом ограниченного удаления» или «битом ограниченного удаления».

Каталог /tmp является одним из наиболее распространенных вариантов использования бита закрепления. Файлы часто создаются в /tmp для разных учетных записей пользователей во время нормальной работы многих многопользовательских систем. Если бы пользователи могли удалять файлы /tmp друг друга, это могло бы нанести ущерб работе разных приложений.

Давайте рассмотрим простой пример того, как работает закрепленный бит.

Во-первых, мы начнем с каталога /recipes, принадлежащего пользователю и группе "cooluser".

Подумайте о сценарии, в котором вы создаете каталог Linux, который может использоваться всеми пользователями системы Linux для создания файлов. Пользователи могут создавать, удалять или переименовывать файлы в соответствии с их удобством в этом каталоге. Для всех тех, кто думает, зачем создавать такой каталог? Например, в системе Linux существует каталог /tmp, который может использоваться разными пользователями Linux для создания временных файлов.

А что, если пользователь случайно или преднамеренно удалит (или переименует) файл, созданный другим пользователем в этом каталоге?

Ну, чтобы избежать подобных проблем, используется концепция закрепленного бита.

История Sticky Bit

Прежде чем объяснять липкий бит, давайте обсудим историю липкого бита, поскольку эта информация заслуживает обсуждения.

Концепция закрепления битов не нова. Фактически, он был впервые представлен в 1974 году в операционной системе Unix. Назначение липких бит тогда было другим. Он был введен, чтобы свести к минимуму временную задержку, возникающую при каждом выполнении программы.

Когда программа выполняется, требуется время, чтобы загрузить программу в память, прежде чем пользователь сможет начать ее использовать. Если программа, например редактор, часто используется пользователями, задержка запуска тогда была накладными расходами.

Чтобы улучшить эту временную задержку, был введен липкий бит. ОС проверила, что если бит sticky на исполняемом файле включен, то текстовый сегмент исполняемого файла сохраняется в пространстве подкачки. Это упростило загрузку исполняемого файла в оперативную память при повторном запуске программы, что свело к минимуму временную задержку.

Хотя этот метод доказал свою эффективность в минимизации задержки запуска, из-за этой операции возникла серьезная проблема. Проблема заключалась в том, что если к исполняемому файлу был применен какой-либо патч в качестве исправления ошибки или новой функции, то для его устранения необходимо было выполнить следующие шаги:

Сначала удалите липкий бит из исполняемого файла
Теперь запустите исполняемый файл и выйдите из него, чтобы сбросить существующий текстовый сегмент из свопа
Теперь снова установите липкий бит для исполняемого файла и повторно запустите исполняемый файл, чтобы новый текстовый сегмент был сохранен в памяти подкачки.

Вышеуказанные шаги были необходимы, чтобы программа отражала новые функции или исправления ошибок, которые были добавлены в исполняемый файл.

Итак, это была одна из главных проблем. Кроме того, с развитием технологий развились методы быстрого доступа к памяти, которые устарели для этой цели.

Примеры липких битов

В этом разделе мы обсудим, как устанавливать и сбрасывать липкие биты, используя несколько примеров.

Базовый пример

Создайте каталог и предоставьте всем пользователям доступ к нему для чтения, записи и выполнения:

Итак, мы видим, что каталог с именем allAccess создан, и доступ для чтения, записи и выполнения к этому каталогу предоставляется всем пользователям с помощью команды chmod.

Теперь создайте несколько файлов в этом каталоге (с разными пользователями), чтобы у всех пользователей был доступ к ним для чтения, записи и выполнения.

Файлы user_file_0 и user_file_1 созданы разными пользователями, но имеют доступ для чтения, записи и выполнения для всех пользователей. Это означает, что пользователь «гость» может удалить или переименовать файл, созданный пользователем «гость-2».

Чтобы избежать этого, для каталога allAccess можно установить бит закрепления.

Теперь включите липкий бит в каталоге с помощью флага +t команды chmod.

Как видно, в биты разрешений каталога вводится бит разрешения «t».

Теперь, если пользователь «гость» попытается переименовать файл «user_file_1», произойдет следующее:

Итак, мы видим, что операция не разрешена.

Удалить липкий бит с помощью параметра -t

Закрепленный бит можно удалить из разрешений каталога с помощью параметра -t команды chmod.

Вот пример:

Итак, мы видим, что бит разрешения ‘t’ удален из каталога.

Разные ОС ведут себя по-разному с закрепленными битами, как описано в этой статье в Википедии.Например, Linux ищет липкий бит, только если пользователь пытается переименовать файл. Он не будет проверять липкий бит, если файл удаляется.

Каждое из этих специальных разрешений имеет свои преимущества, и вы можете выбрать их в зависимости от ваших требований. Я приведу различные примеры, чтобы понять каждое специальное разрешение в отдельности.

Давайте узнаем о специальном разрешении sticky bit в Linux и Unix.

Почему мы больше не используем sticky bit для файлов?

Из справочной страницы chmod,
Для обычных файлов в старых системах Linux и Unix бит сохраняет текстовое изображение программы на устройстве подкачки, поэтому раньше оно загружалось быстрее при выполнении; это называется липким битом. Название sticky появилось из-за того, что текстовая часть файла оставалась в области подкачки до перезагрузки системы.

В старых версиях систем Linux и UNIX, предшествовавших подкачке по запросу, этот бит назывался закрепленным битом.
Если он был установлен для исполняемого файла программы, то при первом выполнении программы копия текста программы сохранялась в области подкачки при завершении процесса.
Затем программа будет загружаться в память быстрее при следующем выполнении, поскольку область подкачки обрабатывается как непрерывный файл по сравнению с возможным случайным расположением блоков данных в обычной файловой системе UNIX.
Бит закрепления Unix часто устанавливался для обычных прикладных программ, таких как текстовый редактор и проходы компилятора C.
Естественно, существовало ограничение на количество прикрепленных файлов, которые могли содержаться в области подкачки, прежде чем место подкачки закончилось, но это был полезный прием.
Название sticky появилось потому, что текстовая часть файла оставалась в области подкачки до перезагрузки системы.
С сегодняшними новыми системами Linux и UNIX, большинство из которых имеют систему виртуальной памяти и более быструю файловую систему, потребность в этом методе отпала.
Поэтому сегодня мы используем sticky bit в основном для каталогов, а не для файлов.

Что такое особое разрешение sticky bit?

Закрепляющий бит Linux для каталогов, он не позволяет непривилегированным пользователям удалять или переименовывать файл в каталоге, если они не владеют файлом или каталогом. Это называется флагом ограниченного удаления каталога.

Каталоги /tmp и /var/tmp являются типичными кандидатами для закрепления бита linux — это каталоги, в которых любой пользователь обычно может создавать файлы. Разрешения для этих двух каталогов часто доступны для чтения, записи и выполнения для всех (пользователя, группы и других). Но пользователи не должны иметь возможности удалять или переименовывать файлы, принадлежащие другим.

При добавлении закрепленного бита в Linux значение разрешения на запись для каталогов меняется.

Вместо "добавлять и удалять все файлы в каталоге" единственными пользователями, которые теперь могут удалять файлы в этом каталоге, являются

Владелец файла или
Владелец каталога (обычно это пользователь root) или
Пользователь root

Как видите, /tmp и /var/tmp по умолчанию имеют разрешение sticky bit

Solaris 10 придает особое значение фиксированному биту Unix, если он установлен в обычном файле. В этом случае, если ни один из битов выполнения не установлен, операционная система не будет кэшировать содержимое файла.

Как применить липкий бит в Linux или Unix

Существует два способа применения специальных разрешений для фиксированных битов Linux или Unix с помощью chmod
1. Восьмеричный метод (1)
2. Символьный метод (t)

Для этой статьи я предполагаю, что вы знакомы с различными полями разрешений пользователя, группы и других.

Установить закрепляющий бит с помощью восьмеричного метода (1)

Ниже приведены несколько примеров применения липкого бита Linux с использованием метода Octal с chmod в Linux и Unix. Я создал каталог /tmp/marketing, к которому я применю специальное разрешение linux sticky bit

Чтобы применить липкий бит с разрешением 755

Как вы видите, у нас есть буква "t", показанная в "поле выполнения других"

Далее примените липкий бит с разрешением 750

Если вы подтвердите разрешение, вы увидите букву «T» в верхнем регистре, а не «t» в нижнем регистре, которую мы видели выше

Сброс фиксированного бита с помощью восьмеричного метода (1)

Итак, как теперь удалить разрешение " t " с помощью восьмеричного метода? Подобно приведенным выше командам, мы также можем удалить или отключить специальное разрешение linux sticky bit с помощью chmod . Чтобы удалить липкое битовое разрешение с помощью восьмеричного метода, вам просто нужно избегать использования «1» при применении разрешения к каталогу или файлу. Например, здесь липкий бит linux установлен в каталоге «marketing»:

Поэтому, чтобы отключить липкий бит, мы просто применяем новое разрешение, не указывая восьмеричное значение липкого бита:

Проверьте разрешение, поскольку вы видите, что разрешение linux или unix sticky bit удалено

Кроме того, вы можете использовать восьмеричное значение "0", чтобы удалить специальное разрешение закрепленного бита, как показано ниже:

Далее вы можете проверить права доступа к вашему каталогу:

Как видите, мы успешно удалили специальное разрешение linux или unix sticky bit

Вы должны использовать восьмеричный метод для применения закрепляемого бита, только если вы также планируете изменить или модифицировать права доступа к каталогу, или я предлагаю вам использовать символический метод для установки закрепляющего бита в Linux или Unix.

Я уверен, что на этом этапе вам будет интересно, в чем разница между маленькой "т" и заглавной "Т". Я отвечу на этот вопрос позже в этой статье.

Установить закрепленный бит с помощью символьного метода (t)

Ниже приведены несколько примеров установки фиксированного бита Linux с использованием символьного метода с chmod в Linux и Unix. Я создал каталог /tmp/marketing, к которому я применю специальное разрешение unix sticky bit

Чтобы установить специальное разрешение для фиксированного бита с помощью символьного метода, используйте следующую команду:

Далее проверьте разрешение:

Как и ожидалось, у нас есть маленькая буква "t" в разделе выполнения разрешения

В качестве альтернативы вы также можете использовать " o+t " с chmod, чтобы установить разрешение на фиксированный бит. Здесь "o" означает поле "другие"

Вы не можете использовать " u+t " или " g+t ", т.е. вы не можете применить бит закрепления для раздела пользователей и групп, бит закрепления можно применить только к разделу разрешений "другие"

Сброс закрепленного бита с помощью символьного метода (t)

Итак, как теперь удалить разрешение " t " с помощью символьного метода? Подобно приведенным выше командам, мы также можем удалить или отменить разрешение фиксированного бита Unix, используя символический метод ( t ). Чтобы удалить липкий бит, вам просто нужно использовать ( -t ) вместо ( +t ), как мы использовали ранее:

Например, для того же каталога вы можете выполнить приведенную ниже команду, чтобы отменить специальное разрешение для фиксированного бита:

Проверьте разрешение:

В качестве альтернативы вы также можете использовать ( o-t ), т. е. удалить разрешение закрепленного бита для «других»

Преимущество использования символьного метода заключается в том, что вы не изменяете существующее разрешение каталога, а только применяете или удаляете закрепленное битовое разрешение

В чем разница между прописной буквой «T» и строчной буквой «t» в разрешениях Sticky Bit для Unix и Linux?

Когда фиксированный бит Unix или Linux сочетается с полем разрешения на выполнение для других, вы увидите букву "t" в нижнем регистре, например drwxr-xr-t, и если для других не установлено разрешение на выполнение тогда вы увидите прописную букву "T", т.е. drwxr-x--T

Надеюсь, вы знаете о другом разделе поля разрешений.

Например, для прописной буквы "T" будет "drwxr-x--T"

< td >d для каталога
- для файла

Первое поле	Второе поле	Третье поле	Четвертое поле
d/-	rwx	rx	--T
r → чтение w → запись x → выполнение	r→ чтение - → Нет разрешения на запись x → выполнить	- → Нет разрешения на чтение - → Нет разрешения на запись T → Нет разрешения на выполнение + Sticky Bit
Первое поле предназначено для идентификации файла или каталога	Разрешения для владельца пользователя	Разрешения для владельца группы	Разрешения для других

Аналогично для строчной буквы "t", т.е. "drwxr-x--t"

< td >d для каталога
- для файла

Первое поле	Второе поле	Третье поле	Четвертое поле
d/-	rwx	rx	--t
r → чтение w → запись x → выполнение	r→ чтение - → Нет разрешения на запись x → выполнение	- → Нет разрешения на чтение - → Нет разрешения на запись t → разрешение на выполнение + Sticky Bit
Первое поле предназначено для идентификации файла или каталога	Разрешения для владельца пользователя	Разрешения для владельца группы	Разрешения для других

Подводя итог:

Если раздел "другие" содержит "разрешение на выполнение + закрепляющий бит", вы получите строчную букву "t"
Если раздел "другие" не содержит разрешения на выполнениеи содержит толькозакрепленный бит, вы получите заглавную букву "T"

Как работает липкий бит? Почему мы используем sticky bit в Linux или Unix?

Теперь мы узнали, что такое липкий бит в теории, давайте посмотрим на некоторые практические примеры липкого бита в Linux/Unix в действии.
Я применю липкий бит к своему каталогу " /tmp/marketing "< /p>

У меня есть два пользователя в этой системе, user1 и user2. Теперь оба пользователя должны поместить свои файлы в папку "/tmp/marketing"

Итак, оба пользователя создали файл в каталоге /tmp/marketing.

Но что, если пользователь1 планирует удалить файл пользователя2?

Как видите, поскольку у нас есть разрешение sticky bit для родительского каталога, непривилегированный пользователь может удалять или изменять файлы, которые принадлежат только ему самому.

Как найти файлы и каталоги с фиксированным битом?

Мы знаем, что каталоги /tmp и /var/tmp по умолчанию содержат специальные права доступа. Теперь, чтобы найти другие файлы и каталоги с разрешением sticky bit, вы можете использовать команду «find» с параметром -perm -1000

Если аргумент -perm имеет знак минус, проверяются все биты разрешений, включая установленный идентификатор пользователя, установленный идентификатор группы и закрепленные биты.

Например: чтобы найти все каталоги в разделе "/" с липким битом Linux, используйте команду ниже

Наконец, я надеюсь, что шаги из этой статьи, чтобы понять, что такое липкий бит, как применить и удалить разрешение липкого бита в Linux или Unix, понять разницу между маленькой «t» и заглавной «T» в Linux и Unix, были полезны. Итак, дайте мне знать ваши предложения и отзывы, используя раздел комментариев.

Похожие запросы:
chmod sticky bit. понимание специального разрешения Linux. что такое липкий бит linux и объясните на примере. права доступа к файлам Unix. Что такое буква «t» в выводе «ls -ld /tmp»? В чем разница между маленькой «t» и большой «T» в разрешениях Linux?