Linux-Grundlagen-Tutorial: Sonderberechtigungen SUID, SGID und SBIT

Vorwort

Für Datei- oder Verzeichnisberechtigungen in Linux sollten Sie alle gängigen rwx-Berechtigungen kennen. Linux-Berechtigungen sind nicht sehr detailliert, es gibt nur drei Typen: RWX

• r (Lesen): Bei Dateien hat es die Berechtigung, den Dateiinhalt zu lesen. Bei Verzeichnissen hat es die Berechtigung, das Verzeichnis zu durchsuchen.
• w (Schreiben): Für Dateien hat es die Berechtigung, Dateiinhalte hinzuzufügen, zu ändern und zu löschen. Für Verzeichnisse hat es die Berechtigung, Dateien innerhalb des Verzeichnisses zu erstellen, zu löschen, zu ändern und zu verschieben.
• x (eXecute, execute): Bei Dateien hat der Benutzer die Berechtigung die Datei auszuführen, bei Verzeichnissen hat der Benutzer die Berechtigung das Verzeichnis zu betreten.

1. Der schreibgeschützte Zugriff auf ein Verzeichnis erlaubt nicht die Verwendung von cd zum Aufrufen des Verzeichnisses. Sie müssen über Ausführungsberechtigungen verfügen, um darauf zuzugreifen.

2. Nur mit Ausführungsberechtigung kann das Verzeichnis betreten werden, aber der Inhalt des Verzeichnisses kann nicht angezeigt werden. Um die Dateinamen und Verzeichnisnamen unter dem Verzeichnis anzuzeigen, ist eine Leseberechtigung erforderlich.

3. Ob eine Datei gelöscht werden kann, hängt hauptsächlich davon ab, ob das Verzeichnis, in dem sich die Datei befindet, über Schreibberechtigungen für den Benutzer verfügt. Wenn das Verzeichnis keine Schreibberechtigungen für den Benutzer hat, können alle Dateien im Verzeichnis außer dem Dateieigentümer nicht gelöscht werden.

4. Das w-Bit des Verzeichnisses ist nicht gesetzt. Auch wenn Sie die w-Berechtigung für eine Datei im Verzeichnis haben, können Sie die Datei nicht schreiben.

Schauen wir uns zunächst an, was die folgenden beiden Berechtigungen sind

Es ist sehr seltsam, dass die Berechtigungen des Verzeichnisses /tmp und der Datei passwd so seltsam sind. Warum gibt es s- und t-Berechtigungen? Sie werden es verstehen, nachdem Sie den folgenden Inhalt gelesen haben.

1 SUID

Wenn s in der x-Berechtigung des Dateieigentümers erscheint, wie etwa die Berechtigung der Datei /usr/bin/passwd, die wir oben gesehen haben -rwsr-xr-x, wird dies SET UID genannt, abgekürzt als SUID. Welche Einschränkungen und Funktionen hat SUID für eine Datei?

SUID-Berechtigungen gelten nur für binäre ausführbare Dateien

Der Ausführende hat die Berechtigung x für die Datei

Diese Berechtigung ist nur während der Ausführung dieser Datei gültig

Der Ausführende verfügt über die Berechtigungen des Dateieigentümers.

Wenn beispielsweise ein normaler Benutzer den Befehl passwd verwendet, um seinen eigenen Befehl zu ändern, ist die tatsächlich geänderte Datei die Datei /etc/passwd. Diese Datei ist eine Konfigurationsdatei zur Benutzerverwaltung und kann nur mit Root-Berechtigungen geändert werden.

Da nur der Root-Benutzer diese Berechtigung hat, warum können wir das Passwort dann über den Befehl passwd ändern? Dies liegt daran, dass das Suid-Berechtigungsbit für passwd gesetzt ist.

Derzeit können normale Benutzer vorübergehend Root-Berechtigungen erhalten, indem sie den Befehl passwd ausführen und /etc/passwd indirekt ändern, um die Berechtigung zum Ändern ihrer eigenen Passwörter zu erhalten.

2 SGID

Wenn s in der x-Berechtigung der Gruppe erscheint, zu der ein Verzeichnis oder eine Datei gehört, nennt man das SET GID oder kurz SGID. Welche Funktionen hat SGID für die Datei- und Verzeichnisaufteilung?

2.1 SGID-Verzeichnis

Wenn der Benutzer über die Berechtigungen r und x für dieses Verzeichnis verfügt, kann er dieses Verzeichnis betreten.

Die Gruppe des Benutzers in diesem Verzeichnis wird zur Gruppe des Verzeichnisses

Wenn der Benutzer in diesem Verzeichnis über die Berechtigung „w“ verfügt (neue Dateien erstellen kann), entspricht die Gruppe der vom Benutzer erstellten neuen Datei der Gruppe dieses Verzeichnisses.

2.2 SGID-Paardatei

SGID ist gültig für binäre ausführbare Dateien

Der Programmausführer muss über die Berechtigung x für die Datei verfügen.

Der Executor erhält während des Ausführungsprozesses die Unterstützung der Dateigruppe (wird zum Ändern der Berechtigungen der Dateigruppe verwendet).

3 SBIT

Wenn s in der x-Berechtigung anderer Benutzer im Verzeichnis erscheint, wird es Sticky Bit oder kurz SBIT genannt. Was sind die Einschränkungen und Funktionen von SBIT?

Gilt nur für Verzeichnisse, nicht für Dateien.

Wenn ein Benutzer (mit Berechtigung) eine Datei oder ein Verzeichnis in diesem Verzeichnis erstellt, sind nur der Benutzer und der Root dazu befugt, das neu erstellte Verzeichnis oder die neu erstellte Datei zu löschen.

Wir wissen, dass das Verzeichnis /tmp über solche Berechtigungen verfügt.

Lassen Sie uns das jetzt überprüfen. Erstellen Sie zunächst mit dem Root-Konto eine Testdatei in der temporären Datei. Rufen Sie dann mit OpenStack (andere Konten) das Verzeichnis auf, löschen Sie die Testdatei und sehen Sie, was passiert.

Wir sehen, dass die Datei auf diese Weise nicht gelöscht werden kann. Weil das /temp-Verzeichnis SBIT-Berechtigungen hat.

4 So bedienen Sie SUID, SBID, SBIT

Die Befehle zum Bearbeiten dieser Flags sind dieselben wie die zum Bearbeiten von Dateiberechtigungen, die beide chmod lauten. Es gibt zwei Möglichkeiten, dies zu tun:

(1) Berechtigung zur Änderung des Symboltyps

chmod u+s testbin – fügt der Testbin-Datei das Setuid-Flag hinzu.

chmod g+s testdir – fügt das Flag setgid zum Verzeichnis testdir hinzu

chmod o+t testdir -- Fügt dem Testdir-Verzeichnis ein Sticky-Flag hinzu

(2) Digitaler Typ ändert Dateiberechtigungen

Verwenden Sie das Oktalsystem. Verwenden Sie für allgemeine Dateien drei Gruppen von Oktalzahlen, um Flags zu setzen, z. B. 666, 777, 644 usw. Wenn Sie diese speziellen Flags setzen, fügen Sie dieser Zahlengruppe eine weitere Gruppe von Oktalzahlen hinzu. Beispielsweise 4666, 2777 usw. Die Bedeutung der drei Oktalzahlen ist wie folgt:

ABC

a - Setuid-Bit, wenn dieses Bit 1 ist, bedeutet es Setuid 4---

b - Setgid-Bit, wenn dieses Bit 1 ist, bedeutet es Setgid 2---

c - Sticky Bit, wenn dieses Bit 1 ist, bedeutet dies, dass Sticky 1 gesetzt wird---

Nachdem Sie diese Flags gesetzt haben, können Sie sie mit ls -l anzeigen. Wenn diese Flags vorhanden sind, werden sie an der ursprünglichen Position des Ausführungsflags angezeigt. Beispiel:

rwsrw-r-- zeigt ein Setuid-Flag an

rwxrwsrw- zeigt an, dass ein Setgid-Flag vorhanden ist

rwxrw-rwt zeigt eine Sticky-Flagge an

Wo ist also das ursprüngliche Ausführungsflag x geblieben? Das System legt fest, dass diese Sonderflags als Kleinbuchstaben (s, s, t) angezeigt werden, wenn sich an dieser Stelle ein x befand. Andernfalls werden sie als Großbuchstaben (S, S, T) angezeigt.

Zusammenfassen

Das Obige ist der vollständige Inhalt dieses Artikels. Ich hoffe, dass der Inhalt dieses Artikels einen gewissen Lernwert für Ihr Studium oder Ihre Arbeit hat. Wenn Sie Fragen haben, können Sie eine Nachricht hinterlassen. Vielen Dank für Ihre Unterstützung von 123WORDPRESS.COM.