由于用戶在UNIX下經(jīng)常會遇到SUID、SGID的概念,而且SUID和SGID涉及到系統(tǒng)安全,所以用戶也比較關(guān)心這個問題。關(guān)于 SUID、SGID的問題也經(jīng)常有人提問,但回答的人一般答得不夠詳細,加上曾經(jīng)回答過兩個網(wǎng)友的問題,還查了一些資料,決定整理成本文,以供大家參考。 限于本人的水平問題,文章中如果有不當之處,請廣大網(wǎng)友指正。
一、UNIX下關(guān)于文件權(quán)限的表示方法和解析
SUID 是 Set User ID, SGID 是 Set Group ID的意思。
UNIX下可以用ls -l 命令來看到文件的權(quán)限。用ls命令所得到的表示法的格式是類似這樣的:-rwxr-xr-x 。下面解析一下格式所表示的意思。這種表示方法一共有十位:
9 8 7 6 5 4 3 2 1 0
- r w x r - x r - x
第9位表示文件類型,可以為p、d、l、s、c、b和-:
p表示命名管道文件
d表示目錄文件
l表示符號連接文件
-表示普通文件
s表示socket文件
c表示字符設(shè)備文件
b表示塊設(shè)備文件
第8-6位、5-3位、2-0位分別表示文件所有者的權(quán)限,同組用戶的權(quán)限,其他用戶的權(quán)限,其形式為rwx:
r表示可讀,可以讀出文件的內(nèi)容
w表示可寫,可以修改文件的內(nèi)容
x表示可執(zhí)行,可運行這個程序
沒有權(quán)限的位置用-表示
例子:
ls -l myfile顯示為:
rwxr-x-- 1 foo staff 7734 Apr 05 17:07 myfile
表示文件myfile是普通文件,文件的所有者是foo用戶,而foo用戶屬于staff組,文件只有1個硬連接,長度是7734個字節(jié),最后修改時間4月5日17:07。
所有者foo對文件有讀寫執(zhí)行權(quán)限,staff組的成員對文件有讀和執(zhí)行權(quán)限,其他的用戶對這個文件沒有權(quán)限。
如果一個文件被設(shè)置了SUID或SGID位,會分別表現(xiàn)在所有者或同組用戶的權(quán)限的可執(zhí)行位上。例如:
1、-rwsr-xr-x 表示SUID和所有者權(quán)限中可執(zhí)行位被設(shè)置
2、rwSrr- 表示SUID被設(shè)置,但所有者權(quán)限中可執(zhí)行位沒有被設(shè)置
3、-rwxr-sr-x 表示SGID和同組用戶權(quán)限中可執(zhí)行位被設(shè)置
4、rw-r-Sr- 表示SGID被設(shè)置,但同組用戶權(quán)限中可執(zhí)行位沒有被社
其實在UNIX的實現(xiàn)中,文件權(quán)限用12個二進制位表示,如果該位置上的值是
1,表示有相應(yīng)的權(quán)限:
11 10 9 8 7 6 5 4 3 2 1 0
S G T r w x r w x r w x
第11位為SUID位,第10位為SGID位,第9位為sticky位,第8-0位對應(yīng)于上面的三組rwx位。
11 10 9 8 7 6 5 4 3 2 1 0
上面的-rwsr-xr-x的值為: 1 0 0 1 1 1 1 0 1 1 0 1
rw-r-Sr-的值為: 0 1 0 1 1 0 1 0 0 1 0 0
給文件加SUID和SUID的命令如下:
chmod u+s filename 設(shè)置SUID位
chmod u-s filename 去掉SUID設(shè)置
chmod g+s filename 設(shè)置SGID位
chmod g-s filename 去掉SGID設(shè)置
另外一種方法是chmod命令用八進制表示方法的設(shè)置。如果明白了前面的12位權(quán)限表示法也很簡單。
二、SUID和SGID的詳細解析
由于SUID和SGID是在執(zhí)行程序(程序的可執(zhí)行位被設(shè)置)時起作用,而可執(zhí)行位只對普通文件和目錄文件有意義,所以設(shè)置其他種類文件的SUID和SGID位是沒有多大意義的。
首先講普通文件的SUID和SGID的作用。例子:
如果普通文件myfile是屬于foo用戶的,是可執(zhí)行的,現(xiàn)在沒設(shè)SUID位,ls命令顯示如下:
-rwxr-xr-x 1 foo staff 7734 Apr 05 17:07 myfile任何用戶都可以執(zhí)行這個程序。UNIX的內(nèi)核是根據(jù)什么來確定一個進程對資源的訪問權(quán)限的呢?是這個進程的運行用戶的(有效)ID,包括 user id和group id。用戶可以用id命令來查到自己的或其他用戶的user id和group id。
除了一般的user id 和group id外,還有兩個稱之為effective 的id,就是有效id,上面的四個id表示為:uid,gid,euid,egid。內(nèi)核主要是根據(jù)euid和egid來確定進程對資源的訪問權(quán)限。
一個進程如果沒有SUID或SGID位,則euid=uid egid=gid,分別是運行這個程序的用戶的uid和gid。例如kevin用戶的uid和gid分別為204和202,foo用戶的uid和gid為 200,201,kevin運行myfile程序形成的進程的euid=uid=204,egid=gid=202,內(nèi)核根據(jù)這些值來判斷進程對資源訪問 的限制,其實就是kevin用戶對資源訪問的權(quán)限,和foo沒關(guān)系。
如果一個程序設(shè)置了SUID,則euid和egid變成被運行的程序的所有者的uid和gid,例如kevin用戶運行myfile,euid=200,egid=201,uid=204,gid=202,則這個進程具有它的屬主foo的資源訪問權(quán)限。
SUID的作用就是這樣:讓本來沒有相應(yīng)權(quán)限的用戶運行這個程序時,可以訪問他沒有權(quán)限訪問的資源。passwd就是一個很鮮明的例子。
SUID的優(yōu)先級比SGID高,當一個可執(zhí)行程序設(shè)置了SUID,則SGID會自動變成相應(yīng)的egid。
下面討論一個例子:
UNIX系統(tǒng)有一個/dev/kmem的設(shè)備文件,是一個字符設(shè)備文件,里面存儲了核心程序要訪問的數(shù)據(jù),包括用戶的口令。所以這個文件不能給一般的用戶讀寫,權(quán)限設(shè)為:cr-r---- 1 root system 2, 1 May 25 1998 kmem
但ps等程序要讀這個文件,而ps的權(quán)限設(shè)置如下:
-r-xr-sr-x 1 bin system 59346 Apr 05 1998 ps
這是一個設(shè)置了SGID的程序,而ps的用戶是bin,不是root,所以不能設(shè)置SUID來訪問kmem,但大家注意了,bin和root 都屬于system組,而且ps設(shè)置了SGID,一般用戶執(zhí)行ps,就會獲得system組用戶的權(quán)限,而文件kmem的同組用戶的權(quán)限是可讀,所以一般 用戶執(zhí)行ps就沒問題了。但有些人說,為什么不把ps程序設(shè)置為root用戶的程序,然后設(shè)置SUID位,不也行嗎?這的確可以解決問題,但實際中為什么 不這樣做呢?因為SGID的風(fēng)險比SUID小得多,所以出于系統(tǒng)安全的考慮,應(yīng)該盡量用SGID代替SUID的程序,如果可能的話。下面來說明一下 SGID對目錄的影響。SUID對目錄沒有影響。如果一個目錄設(shè)置了SGID位,那么如果任何一個用戶對這個目錄有寫權(quán)限的話,他在這個目錄所建立的文件 的組都會自動轉(zhuǎn)為這個目錄的屬主所在的組,而文件所有者不變,還是屬于建立這個文件的用戶。
三、關(guān)于SUID和SGID的編程
和SUID和SGID編程比較密切相關(guān)的有以下的頭文件和函數(shù):
#include
#include
uid_t getuid(void);
uid_t geteuid(void);
gid_t getgid (void);
gid_t getegid (void);
int setuid (uid_t UID);
int setruid (uid_t RUID);
int seteuid (uid_t EUID);
int setreuid (uid_t RUID,uid_t EUID);
int setgid (gid_t GID);
int setrgid (gid_t RGID);
int setegid (git_t EGID);
int setregid (gid_t RGID, gid_t EGID);
具體這些函數(shù)的說明在這里就不詳細列出來了,要用到的可以用man查。
SUID/SGID :
假如你有文件a.txt
#ls -l a.txt
-rwxrwxrwx
#chmod 4777 a.txt
-rwsrwxrwx ======>注意s位置
#chmod 2777 a.txt
-rwxrwsrwx ======>注意s位置
#chmod 7777 a.txt
-rwsrwxswt ======>出現(xiàn)了t,t的作用在內(nèi)存中盡量保存a.txt,節(jié)省系統(tǒng)再加載的時間.
現(xiàn)在再看前面設(shè)置 SUID/SGID作用:
#cd /sbin
#./lsusb
...
#su aaa(普通用戶)
$./lsusb
...
是不是現(xiàn)在顯示出錯?
$su
#chmod 4755 lsusb
#su aaa
$./lsusb
... 現(xiàn)在明白了嗎?本來是只有root用戶才能執(zhí)行的命令,加了SUID后,普通用戶就可以像root一樣的用,權(quán)限提升了。上面是對于文件來說的,對于目錄也差不多!
目錄的S屬性使得在該目錄下創(chuàng)建的任何文件及子目錄屬于該目錄所擁有的組,目錄的T屬性使得該目錄的所有者及root才能刪除該目錄。還有對 于s與S,設(shè)置SUID/SGID需要有運行權(quán)限,否則用ls -l后就會看到S,證明你所設(shè)置的SUID/SGID沒有起作用。
Why we need suid,how do we use suid?
r -- 讀訪問
w -- 寫訪問
x -- 執(zhí)行許可
s -- SUID/SGID
t -- sticky位
那么 suid/sgid是做什么的? 為什么會有suid位呢?
要想明白這個,先讓我們看個問題:如果讓每個用戶更改自己的密碼?
用戶修改密碼,是通過運行命令passwd來實現(xiàn)的。最終必須要修改/etc/passwd文件,而passwd的文件的屬性是:
#ls -l /etc/passwd
rw-rr- 1 root root 2520 Jul 12 18:25 passwd
我們可以看到passwd文件只有對于root用戶是可寫的,而對于所有的他用戶來說都是沒有寫權(quán)限的。 那么一個普通的用戶如何能夠通過運行passwd命令修改這個passwd文件呢?
為了解決這個問題,SUID/SGID便應(yīng)運而生。而且AT&T對它申請了專利。 呵呵。
SUID和SGID是如何解決這個問題呢?
首先,我們要知道一點:進程在運行的時候,有一些屬性,其中包括 實際用戶ID,實際組ID,有效用戶ID,有效組ID等。 實際用戶ID和實際組ID標識我們是誰,誰在運行這個程序,一般這2個字段在登陸時決定,在一個登陸會話期間, 這些值基本上不改變。
而有效用戶ID和有效組ID則決定了進程在運行時的權(quán)限。內(nèi)核在決定進程是否有文件存取權(quán)限時,是采用了進程的有效用戶ID來進行判斷的。
知道了這點,我們來看看SUID的解決途徑:
當一個程序設(shè)置了為SUID位時,內(nèi)核就知道了運行這個程序的時候,應(yīng)該認為是文件的所有者在運行這個程序。即該程序運行的時候,有效用戶ID是該程序的所有者。舉個例子:
[root@sgrid5 bin]# ls -l passwd
-r-s-s-x 1 root root 16336 Feb 14 2003 passwd
雖然你以test登陸系統(tǒng),但是當你輸入passwd命令來更改密碼的時候,由于passwd設(shè)置了SUID位,因此雖然進程的實際用戶ID 是test對應(yīng)的ID,但是進程的有效用戶ID則是passwd文件的所有者root的ID,因此可以修改/etc/passwd文件。
讓我們看另外一個例子。
ping命令應(yīng)用廣泛,可以測試網(wǎng)絡(luò)是否連接正常。ping在運行中是采用了ICMP協(xié)議,需要發(fā)送ICMP報文。但是只有root用戶才能建立ICMP報文,如何解決這個問題呢?同樣,也是通過SUID位來解決。
[root@sgrid5 bin]# ls -l /bin/ping
-rwsr-sr-x 1 root root 28628 Jan 25 2003 /bin/ping
我們可以測試一下,如果去掉ping的SUID位,再用普通用戶去運行命令,看會怎么樣。
[root@sgrid5 bin]#chmod u-s /bin/ping
[root@sgrid5 bin]# ls -l ping
-rwxr-xr-x 1 root root 28628 Jan 25 2003 ping
[root@sgrid5 bin]#su test
[test@sgrid5 bin]$ ping byhh.net
ping: icmp open socket: Operation not permitted
SUID雖然很好了解決了一些問題,但是同時也會帶來一些安全隱患。
因為設(shè)置了 SUID 位的程序如果被攻擊(通過緩沖區(qū)溢出等方面),那么hacker就可以拿到root權(quán)限。
因此在安全方面特別要注意那些設(shè)置了SUID的程序。
通過以下的命令可以找到系統(tǒng)上所有的設(shè)置了suid的文件:
[root@sgrid5 /]# find / -perm -04000 -type f -ls
對于這里為什么是4000,大家可以看一下前面的st_mode的各bit的意義就明白了。
在這些設(shè)置了suid的程序里,如果用不上的,就最好取消該程序的suid位。
總結(jié):
1.Set UID:當文件系統(tǒng)的"所有者權(quán)限組合"的可執(zhí)行位被s(即rws------)取代時,構(gòu)成特殊權(quán)限規(guī)定Set UID,簡稱SUID。僅對系統(tǒng)中的二進制可執(zhí)行文件設(shè)置有效,而且不可對Shell Script施加設(shè)置。
2.Set GID:當所有者所在的用戶組(group)的權(quán)限組合中可執(zhí)行位被s所取代時(例如--
rws--),便構(gòu)成Set GID的權(quán)限設(shè)置。SGID可以針對二進制文件或目錄進行設(shè)置。
3.Sticky Bit:當文件系統(tǒng)"其他(others)"的權(quán)限組合中可執(zhí)行位被t所取代時(例如------rwt),便構(gòu)成Sticky Bit的權(quán)限設(shè)置。它只對目錄有效。
SUID和SGID,主要作用是用于當非某個文件的所有者(或組)執(zhí)行(或操作目錄)文件時,可以暫時獲得該文件所有者的權(quán)限。
SBIT的作用在于訪問控制,當它對某個目錄設(shè)置此屬性后,該目錄下的所有文件,即使其它人有w屬性,都不得對其更名、移動、刪除。
設(shè)置方法:
如果你已經(jīng)掌握了用(八進制)數(shù)字來表示權(quán)限的規(guī)則,再結(jié)合chmod命令進行設(shè)置就很簡單了。以下是SUID/SGID/Sticky Bit約定對應(yīng)的八進制數(shù)值:
SUID = 4
SGID = 2
SBIT = 1
設(shè)置時我們把表示特殊權(quán)限的數(shù)字放在其他三位數(shù)字權(quán)限的前面。