Linux 特權 SUID/SGID 的詳解

導航

• 0 前言
• 1 許可權匹配流程
• 2 五種身份變化
• 3 有效用戶/組
• 4 特權對 Shell 腳本無效
• 5 Sudo 與 SUID/SGID 的優先順序
• 6 SUID、SGID、Sticky 各自的功能

0、前言

Linux最優秀的地方之一，就在於他的多人多工環境。而為了讓各個使用者具有較保密的檔案資料，因此檔案的許可權管理就變的很重要了。
Linux一般將檔案可存取的身份分為三個類別，分別是 owner/group/others，且三種身份各有 read/write/execute 等許可權。

故對於"靜態"的檔案來說，其中的許可權屬性即確定了“哪些身份的人擁有什麼樣的許可權可以去做什麼動作”，如上圖所示。

而對於"動態"的進程來說，操作系統又為進程分配了它們的用戶身份，即有效用戶身份euid、有效群組身份egid、群組身份groups、還有繼承uid、繼承gid。【註：不管進程是否有SUID/SGID加持，進程都將擁有這5個身份，只不過無差異時 id 命令預設不顯示euid/egid而已，預設euid=uid、egid=gid】

註：以下實驗中涉及的 id、cat、touch 命令均是通過 cp $(which id) /tmp 從系統命令拷貝而來，通過對 id 命令賦予特權以觀察同樣被賦予特權的cat、touch 命令在此情景之下進程內部發生的變化，以及實際會產生什麼樣的效果。

1、許可權匹配流程

於是，當一個進程想要操作某個檔案文件時，操作系統便會根據進程擁有的身份和檔案擁有的許可權標記去做判斷。判斷流程如下（示例以讀許可權 r 舉例）：

1. 如果進程的 euid 等於檔案的 owner-id，則繼續開始判斷檔案擁有者對應的許可權位中是否包含 r 許可權，若包含則文件被進程順利讀取，若不包含則提示進程無許可權，此時不管 r 許可權包含與否判斷流程都將不再繼續；如果進程的 euid 不等於檔案的 owner-id，則開始步驟 2 的判斷。
2. 如果進程的 groups 包含檔案的 group-id，則繼續開始判斷檔案所屬群組對應的許可權位中是否包含 r 許可權，若包含則文件被進程順利讀取，若不包含則提示進程無許可權，此時不管 r 許可權包含與否判斷流程都將不再繼續；如果進程的 groups 不包含檔案的 group-id，則開始步驟 3 的判斷。
3. 此時直接開始判斷檔案其它人對應的許可權位中是否包含 r 許可權，若包含則文件被進程順利讀取，若不包含則提示進程無許可權。至此，流程不再遞歸判斷，直接結束。

2、五種身份變化

當一個二進位命令被授予 SUID/SGID 特權時，命令進程中 5 種身份的變化。

• 當無特殊許可權時，uid=繼承shell的uid，gid=繼承shell的gid，euid=uid，egid=gid，groups=uid所加入的群組。
• 當授予suid特殊許可權時，uid=繼承shell的uid，gid=繼承shell的gid，euid=suid的值，egid=gid，groups=uid所加入的群組。
• 當授予sgid特殊許可權時，uid=繼承shell的uid，gid=繼承shell的gid，euid=uid，egid=sgid的值，groups=uid所加入的群組+sgid。
• 當授予suid和sgid特殊許可權時，uid=繼承shell的uid，gid=繼承shell的gid，euid=suid的值，egid=sgid的值，groups=uid所加入的組+sgid。

3、有效用戶/組

不管實驗2中進程的5種身份如何變化，當進程產生新檔案時，檔案的擁有者和所屬群組都是以euid和egid的值去賦予的。

4、特權對 Shell 腳本無效

特殊許可權 SUID/SGID 對於 shell 腳本不起作用，授予和不授予的狀態一樣。

5、Sudo 與 SUID/SGID 的優先順序

當 Sudo 和 SUID/SGID 同時作用二進位命令時，優先以SUID/SGID的許可權為主，這其實就相當於在root shell下執行特殊授權的命令一樣，命令進程的5種身份依舊按照小節（2）描述的過程一樣，root也不例外。

6、SUID、SGID、Sticky 各自的功能。

• SUID：只作用於二進位文件，當命令被執行時，命令會以命令擁有者的身份走完進程的整個生命周期，而非以當前 shell 的用戶身份運行。
• SGID：當作用於二進位文件時，效果與 SUID 類似，只是在命令進程的整個整個生命周期中又多了一個群組的援助（註意：只是多了一個群組的援助，並不是說進程就會以群組的身份去運行。）；當作用於目錄時，使用者進入此目錄下時他的有效群組將會變成該目錄的群組，此時新建的任何文件目錄，他們的 群組id 都將和該目錄的 群組id 一樣。
• Sticky：只作用於目錄，使用者在該目錄下新建的任何文件目錄，都將只有自己與 root 才有權力刪除。如 /tmp 目錄。