Linux 特權 SUID/SGID 的詳解

来源:https://www.cnblogs.com/kqdssheng/p/18279458
-Advertisement-
Play Games

導航 0 前言 1 許可權匹配流程 2 五種身份變化 3 有效用戶/組 4 特權對 Shell 腳本無效 5 Sudo 與 SUID/SGID 的優先順序 6 SUID、SGID、Sticky 各自的功能 0、前言 Linux最優秀的地方之一,就在於他的多人多工環境。而為了讓各個使用者具有較保密的檔案資 ...


導航


0、前言

Linux最優秀的地方之一,就在於他的多人多工環境。而為了讓各個使用者具有較保密的檔案資料,因此檔案的許可權管理就變的很重要了。
Linux一般將檔案可存取的身份分為三個類別,分別是 owner/group/others,且三種身份各有 read/write/execute 等許可權。
image

故對於"靜態"的檔案來說,其中的許可權屬性即確定了“哪些身份的人擁有什麼樣的許可權可以去做什麼動作”,如上圖所示。

而對於"動態"的進程來說,操作系統又為進程分配了它們的用戶身份,即有效用戶身份euid、有效群組身份egid、群組身份groups、還有繼承uid、繼承gid。【註:不管進程是否有SUID/SGID加持,進程都將擁有這5個身份,只不過無差異時 id 命令預設不顯示euid/egid而已,預設euid=uid、egid=gid】

註:以下實驗中涉及的 id、cat、touch 命令均是通過 cp $(which id) /tmp 從系統命令拷貝而來,通過對 id 命令賦予特權以觀察同樣被賦予特權的cat、touch 命令在此情景之下進程內部發生的變化,以及實際會產生什麼樣的效果。

1、許可權匹配流程

於是,當一個進程想要操作某個檔案文件時,操作系統便會根據進程擁有的身份檔案擁有的許可權標記去做判斷。判斷流程如下(示例以讀許可權 r 舉例):

  1. 如果進程的 euid 等於檔案的 owner-id,則繼續開始判斷檔案擁有者對應的許可權位中是否包含 r 許可權,若包含則文件被進程順利讀取,若不包含則提示進程無許可權,此時不管 r 許可權包含與否判斷流程都將不再繼續;如果進程的 euid 不等於檔案的 owner-id,則開始步驟 2 的判斷。
  2. 如果進程的 groups 包含檔案的 group-id,則繼續開始判斷檔案所屬群組對應的許可權位中是否包含 r 許可權,若包含則文件被進程順利讀取,若不包含則提示進程無許可權,此時不管 r 許可權包含與否判斷流程都將不再繼續;如果進程的 groups 不包含檔案的 group-id,則開始步驟 3 的判斷。
  3. 此時直接開始判斷檔案其它人對應的許可權位中是否包含 r 許可權,若包含則文件被進程順利讀取,若不包含則提示進程無許可權。至此,流程不再遞歸判斷,直接結束。

image

image

image

2、五種身份變化

當一個二進位命令被授予 SUID/SGID 特權時,命令進程中 5 種身份的變化。

  • 當無特殊許可權時,uid=繼承shell的uid,gid=繼承shell的gid,euid=uid,egid=gid,groups=uid所加入的群組。
  • 當授予suid特殊許可權時,uid=繼承shell的uid,gid=繼承shell的gid,euid=suid的值,egid=gid,groups=uid所加入的群組。
  • 當授予sgid特殊許可權時,uid=繼承shell的uid,gid=繼承shell的gid,euid=uid,egid=sgid的值,groups=uid所加入的群組+sgid。
  • 當授予suid和sgid特殊許可權時,uid=繼承shell的uid,gid=繼承shell的gid,euid=suid的值,egid=sgid的值,groups=uid所加入的組+sgid。

image

image

image

image

3、有效用戶/組

不管實驗2中進程的5種身份如何變化,當進程產生新檔案時,檔案的擁有者和所屬群組都是以euid和egid的值去賦予的。

image

4、特權對 Shell 腳本無效

特殊許可權 SUID/SGID 對於 shell 腳本不起作用,授予和不授予的狀態一樣。

image

5、Sudo 與 SUID/SGID 的優先順序

當 Sudo 和 SUID/SGID 同時作用二進位命令時,優先以SUID/SGID的許可權為主,這其實就相當於在root shell下執行特殊授權的命令一樣,命令進程的5種身份依舊按照小節(2)描述的過程一樣,root也不例外。

image

6、SUID、SGID、Sticky 各自的功能。

  • SUID:只作用於二進位文件,當命令被執行時,命令會以命令擁有者的身份走完進程的整個生命周期,而非以當前 shell 的用戶身份運行。
  • SGID:當作用於二進位文件時,效果與 SUID 類似,只是在命令進程的整個整個生命周期中又多了一個群組的援助(註意:只是多了一個群組的援助,並不是說進程就會以群組的身份去運行。);當作用於目錄時,使用者進入此目錄下時他的有效群組將會變成該目錄的群組,此時新建的任何文件目錄,他們的 群組id 都將和該目錄的 群組id 一樣。
  • Sticky:只作用於目錄,使用者在該目錄下新建的任何文件目錄,都將只有自己與 root 才有權力刪除。如 /tmp 目錄。

您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 大家好,我是痞子衡,是正經搞技術的痞子。今天痞子衡給大家介紹的是恩智浦i.MXRT官方SDK里關於串列Flash相關的驅動與常式資源。 經常有同事以及 i.MXRT 客戶咨詢痞子衡,咱們恩智浦官方 SDK 里有哪些串列 Flash 相關的示例,每一次痞子衡都是按照詢問需求將 SDK 里相應資源路徑發 ...
  • @目錄一. 編譯系統1.設置交叉編譯工具鏈2.編譯系統二. QT下載1.安裝 Qtcreator2.創建第一個程式3.配置 QtCreator 開發環境4.移植QT程式到開發板 一. 編譯系統 1.設置交叉編譯工具鏈 export ARCH=arm export CROSS_COMPILE=arm- ...
  • 本文詳細介紹瞭如何在 CentOS 伺服器上通過 Docker 安裝和配置迅雷NAS,實現高效的遠程下載功能,並提供了詳細的命令和配置步驟。 ...
  • 第九章 列印輸出實驗 1)實驗平臺:正點原子DNK210開發板 2)章節摘自【正點原子】DNK210使用指南 - CanMV版 V1.0 3)購買鏈接:https://detail.tmall.com/item.htm?&id=782801398750 4)全套實驗源碼+手冊+視頻下載地址:http ...
  • 作者:小牛呼嚕嚕 大家好,我是呼嚕嚕,由於x86保護模式是比較複雜晦澀的,所以特地單拉出來,實模式和保護模式一個重要的更新就是對記憶體的管理與保護,並且隨著軟體的發展,為了極致地壓榨CPU的性能,硬體和軟體都做出了許多努力,為了更好的管理記憶體,引入分段,分頁,段頁等等。本文會沿著記憶體的主線,穿插於實模 ...
  • 第八章 CanMV IDE初體驗 1)實驗平臺:正點原子DNK210開發板 2) 章節摘自【正點原子】DNK210使用指南 - CanMV版 V1.0 3)購買鏈接:https://detail.tmall.com/item.htm?&id=782801398750 4)全套實驗源碼+手冊+視頻下載 ...
  • 最近有個項目需要遠距離讀uart 串口列印出來的數據, 但是淘寶的調試助手太貴了, 開源平臺找了圈也許是因為功能太簡單, 好像沒怎麼找到或者說連接配置的方式很麻煩, 所以我花了半天時間寫了一個.如果有同樣需求的小白可以直接用這個程式跑 本方案主要是 把esp32配置成AP模式. 並且通過TCP/UD ...
  • vim的三種模式 一般模式 以vim打開一個文件就直接進入一般模式了。在這個模式中,你可以使用h,j,k,l按鍵移動游標,也可以使用刪除字元或刪除整行來處理文件內容,也可以使用複製粘貼處理文件內容。 編輯模式 在一般模式中按下A,a,I,i,O,o,R,r任何一個按鍵,就可以進入編輯模式,在界面左下 ...
一周排行
    -Advertisement-
    Play Games
  • 通過WPF的按鈕、文本輸入框實現了一個簡單的SpinBox數字輸入用戶組件並可以通過數據綁定數值和步長。本文中介紹了通過Xaml代碼實現自定義組件的佈局,依賴屬性的定義和使用等知識點。 ...
  • 以前,我看到一個朋友在對一個系統做初始化的時候,通過一組魔幻般的按鍵,調出來一個隱藏的系統設置界面,這個界面在常規的菜單或者工具欄是看不到的,因為它是一個後臺設置的關鍵界面,不公開,同時避免常規用戶的誤操作,它是作為一個超級管理員的入口功能,這個是很不錯的思路。其實Winform做這樣的處理也是很容... ...
  • 一:背景 1. 講故事 前些天有位朋友找到我,說他的程式每次關閉時就會自動崩潰,一直找不到原因讓我幫忙看一下怎麼回事,這位朋友應該是第二次找我了,分析了下 dump 還是挺經典的,拿出來給大家分享一下吧。 二:WinDbg 分析 1. 為什麼會崩潰 找崩潰原因比較簡單,用 !analyze -v 命 ...
  • 在一些報表模塊中,需要我們根據用戶操作的名稱,來動態根據人員姓名,更新報表的簽名圖片,也就是電子手寫簽名效果,本篇隨筆介紹一下使用FastReport報表動態更新人員簽名圖片。 ...
  • 最新內容優先發佈於個人博客:小虎技術分享站,隨後逐步搬運到博客園。 創作不易,如果覺得有用請在Github上為博主點亮一顆小星星吧! 博主開始學習編程於11年前,年少時還只會使用cin 和cout ,給單片機點點燈。那時候,類似async/await 和future/promise 模型的認知還不是 ...
  • 之前在阿裡雲ECS 99元/年的活動實例上搭建了一個測試用的MINIO服務,以前都是直接當基礎設施來使用的,這次準備自己學一下S3相容API相關的對象存儲開發,因此有了這個小工具。目前僅包含上傳功能,後續計劃開發一個類似圖床的對象存儲應用。 ...
  • 目錄簡介快速入門安裝 NuGet 包實體類User資料庫類DbFactory增刪改查InsertSelectUpdateDelete總結 簡介 NPoco 是 PetaPoco 的一個分支,具有一些額外的功能,截至現在 github 星數 839。NPoco 中文資料沒多少,我是被博客園群友推薦的, ...
  • 前言 前面使用 Admin.Core 的代碼生成器生成了通用代碼生成器的基礎模塊 分組,模板,項目,項目模型,項目欄位的基礎功能,本篇繼續完善,實現最核心的模板生成功能,並提供生成預覽及代碼文件壓縮下載 準備 首先清楚幾個模塊的關係,如何使用,簡單畫一個流程圖 前面完成了基礎的模板組,模板管理,項目 ...
  • 假設需要實現一個圖標和文本結合的按鈕 ,普通做法是 直接重寫該按鈕的模板; 如果想作為通用的呢? 兩種做法: 附加屬性 自定義控制項 推薦使用附加屬性的形式 第一種:附加屬性 創建Button的附加屬性 ButtonExtensions 1 public static class ButtonExte ...
  • 在C#中,委托是一種引用類型的數據類型,允許我們封裝方法的引用。通過使用委托,我們可以將方法作為參數傳遞給其他方法,或者將多個方法組合在一起,從而實現更靈活的編程模式。委托類似於函數指針,但提供了類型安全和垃圾回收等現代語言特性。 基本概念 定義委托 定義委托需要指定它所代表的方法的原型,包括返回類 ...