在linux下,關於檔案許可權,大部分人接觸比較多,也比較熟悉瞭解.但是對程式許可權一般知之甚少。本文總結一下linux系統下程式許可權問題和現象。
需要強調的是,本文是linux系統下討論,因為linux和unix有很多不同的地方,並且各個不同的unix系統也有很多不同。
先開門見山的列出本文討論物件:ruid(實際使用者id: real userid)、euid(有效使用者使用者:effective userid), suid(儲存使用者id:saved userid)、fuid(檔案系統使用者id)。
除了上面4個,還涉及到一個位 設定使用者id位(set user id bit),,即我們通常所說的處rwx之外那個s標誌位。
另外,本文主要討論userid,groupid規則基本一樣,例如rgid, egid, sgid, fgid等,本文就不做組id方面的重複討論了。
首先,檢視這幾個uid的方法有兩種方式:一是ps 命令 (ps -ax -o ruid -o euid -o suid -o fuid -o pid -o fname)列出這幾個uid;二是檢視status檔案,(cat /proc/2495/status | grep Uid)。
本文建立5個test使用者 test1~test5用來做本文中sample討論使用,代表常見普通許可權使用者。
一:檔案所有者使用者和程式執行者使用者是同一使用者的情況
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 |
int main(int argc, char *argv[]) { while(1)sleep(1); } $>g++ main.cpp -o a.out $>ll -rwxr-xr-x. 1 test1 test 6780 Sep 16 15:32 a.out 檔案所有者是test1,我們用test1使用者執行a.out程式 $>su test1 $>./a.out & $>ps -ax -o ruid -o euid -o suid -o fuid -o pid -o fname | grep a.out 502 502 502 502 3192 a.out (看到結果是4個uid全是test1;) 現在我們用test2使用者執行test1的程式看看結果 $su test2 503 503 503 503 3234 a.out 再用root使用者執行 0 0 0 0 3257 a.out 看到這個結果,我們基本可以總結: 在常見情況下。這四個id只受執行使用者影響,不受檔案owner使用者影響。並且四個uid全部等於執行使用者的id; |
上面是我們碰到最常見最多的情況,所以導致大部分技術人員很少關心這個四個uid的區別和含義。讓我們繼續看看更多場景
二、出讓許可權給其它使用者。非root使用者是無法出讓許可權給其它使用者,只有root使用者才能出讓。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 |
int main(int argc, char *argv[]) { if( setuid(503) < 0) perror ("setuid error"); while(1)sleep(1); } $>ll -rwxr-xr-x. 1 test1 test 6780 Sep 16 15:32 a.out 使用root使用者執行 $>./a.out 檢視狀態,所有uid都變成test2使用者。 503 503 503 503 3592 a.out 把程式碼中setuid改成seteuid函式,會把euid和fuid改成test2使用者 0 503 0 503 3614 a.out 把程式碼中setuid改成setfsuid函式,會把fuid改成test2使用者 0 0 0 503 3636 a.out 當把程式碼改成下面樣子 if( seteuid(503) < 0) perror ("seteuid error"); if( setfsuid(504) < 0) perror ("setfsuid error"); while(1)sleep(1); 或者 if( setfsuid(504) < 0) perror ("setfsuid error"); if( setfeuid(503) < 0) perror ("seteuid error"); while(1)sleep(1); 用root使用者執行,得到都是一樣的結果 0 503 0 503 3614 a.out 到了這裡我來總結一下:1、setuid和seteuid是有區別的,setuid是永久的放棄root使用者許可權,轉讓給非root使用者後, 無法再restore到root使用者,seteuid是臨時放棄root使用者許可權,可以通過seteuid(0),restore到root許可權。 這點應該是總所周知的特點,本文就不舉例子演示。 2、seteuid 會同時改變euid和fuid都為設定的euid值。 3、root使用者可以通過呼叫setxxuid 來改變許可權使用者。非root使用者是無法改變和轉讓許可權使用者。 |
許可權出讓使用最多的場景是類似apache或mysql程式,啟動的時候使用root使用者啟動,設定一些root使用者才能操作的系統配置。建立子程式時候通過setuid降級為nobody使用者。
繼續看一下s許可權位對程式許可權的影響
三、s 標誌位影響的是 euid,suid,和 fuid
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
int main(int argc, char *argv[]) { while(1)sleep(1); } $>g++ main.cpp $>ll -rwxr-xr-x. 1 test1 test 6780 Sep 16 18:18 a.out $>chmod u+s a.out $>ll -rwsr-xr-x. 1 test1 test 6780 Sep 16 18:18 a.out 使用root使用者執行,檢視使用者ID為 0 502 502 502 4133 a.out |
s許可權位使用最經典的案例是passwd命令
下面我們看看他們對檔案許可權的影響,構建一個ruid,euid,和fuid都不同,看看建立出來的檔案所有者是哪個uid
四、影響使用者檔案許可權的是 fuid,不是 euid,該 uid 是 linux 特有的屬性,unix 系統是靠 euid 來判定使用者許可權。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 |
int main(int argc, char *argv[]) { if( setfsuid(503) < 0) perror ("setfsuid error"); FILE * fp = fopen("test.log", "a+"); if(fp == NULL) { perror ("fopen error"); } else { fclose(fp); } while(1)sleep(1); } 使用s許可權位,檔案所有者為root,執行者為test1,改變fuid為test2,這樣就構造出3個uid各部相同,方便觀察效果 $>ll -rws---r-x. 1 root root 7397 Sep 16 18:53 a.out 執行檢視狀態,ruid為test1,euid為root,fuid為test2 502 0 0 503 4240 a.out $>ll -rws---r-x. 1 root root 7397 Sep 16 18:53 a.out -rw-rw-r--. 1 test2 test 0 Sep 16 18:54 test.log |
五、許可權的繼承,當使用 fork 子程式的時候,子程式全部繼承父程式四個 uid,和父程式 uid 相同
當使用exec系列函式時候,會把suid置為euid。