導航
- 0 前言
- 1 許可權匹配流程
- 2 五種身份變化
- 3 有效使用者/組
- 4 特權對 Shell 指令碼無效
- 5 Sudo 與 SUID/SGID 的優先順序
- 6 SUID、SGID、Sticky 各自的功能
0、前言
Linux最優秀的地方之一,就在於他的多人多工環境。而為了讓各個使用者具有較保密的檔案資料,因此檔案的許可權管理就變的很重要了。
Linux一般將檔案可存取的身份分為三個類別,分別是 owner/group/others,且三種身份各有 read/write/execute 等許可權。
故對於"靜態"的檔案來說,其中的許可權屬性即確定了“哪些身份的人擁有什麼樣的許可權可以去做什麼動作”,如上圖所示。
而對於"動態"的程序來說,作業系統又為程序分配了它們的使用者身份,即有效使用者身份euid、有效群組身份egid、群組身份groups、還有繼承uid、繼承gid。【注:不管程序是否有SUID/SGID加持,程序都將擁有這5個身份,只不過無差異時 id 命令預設不顯示euid/egid而已,預設euid=uid、egid=gid】
注:以下實驗中涉及的 id、cat、touch 命令均是透過
cp $(which id) /tmp
從系統命令複製而來,透過對 id 命令賦予特權以觀察同樣被賦予特權的cat、touch 命令在此情景之下程序內部發生的變化,以及實際會產生什麼樣的效果。
1、許可權匹配流程
於是,當一個程序想要操作某個檔案檔案時,作業系統便會根據程序擁有的身份和檔案擁有的許可權標記去做判斷。判斷流程如下(示例以讀許可權 r 舉例):
- 如果程序的 euid 等於檔案的 owner-id,則繼續開始判斷檔案擁有者對應的許可權位中是否包含 r 許可權,若包含則檔案被程序順利讀取,若不包含則提示程序無許可權,此時不管 r 許可權包含與否判斷流程都將不再繼續;如果程序的 euid 不等於檔案的 owner-id,則開始步驟 2 的判斷。
- 如果程序的 groups 包含檔案的 group-id,則繼續開始判斷檔案所屬群組對應的許可權位中是否包含 r 許可權,若包含則檔案被程序順利讀取,若不包含則提示程序無許可權,此時不管 r 許可權包含與否判斷流程都將不再繼續;如果程序的 groups 不包含檔案的 group-id,則開始步驟 3 的判斷。
- 此時直接開始判斷檔案其它人對應的許可權位中是否包含 r 許可權,若包含則檔案被程序順利讀取,若不包含則提示程序無許可權。至此,流程不再遞迴判斷,直接結束。
2、五種身份變化
當一個二進位制命令被授予 SUID/SGID 特權時,命令程序中 5 種身份的變化。
- 當無特殊許可權時,uid=繼承shell的uid,gid=繼承shell的gid,euid=uid,egid=gid,groups=uid所加入的群組。
- 當授予suid特殊許可權時,uid=繼承shell的uid,gid=繼承shell的gid,euid=suid的值,egid=gid,groups=uid所加入的群組。
- 當授予sgid特殊許可權時,uid=繼承shell的uid,gid=繼承shell的gid,euid=uid,egid=sgid的值,groups=uid所加入的群組+sgid。
- 當授予suid和sgid特殊許可權時,uid=繼承shell的uid,gid=繼承shell的gid,euid=suid的值,egid=sgid的值,groups=uid所加入的組+sgid。
3、有效使用者/組
不管實驗2中程序的5種身份如何變化,當程序產生新檔案時,檔案的擁有者和所屬群組都是以euid和egid的值去賦予的。
4、特權對 Shell 指令碼無效
特殊許可權 SUID/SGID 對於 shell 指令碼不起作用,授予和不授予的狀態一樣。
5、Sudo 與 SUID/SGID 的優先順序
當 Sudo 和 SUID/SGID 同時作用二進位制命令時,優先以SUID/SGID的許可權為主,這其實就相當於在root shell下執行特殊授權的命令一樣,命令程序的5種身份依舊按照小節(2)描述的過程一樣,root也不例外。
6、SUID、SGID、Sticky 各自的功能。
- SUID:只作用於二進位制檔案,當命令被執行時,命令會以命令擁有者的身份走完程序的整個生命週期,而非以當前 shell 的使用者身份執行。
- SGID:當作用於二進位制檔案時,效果與 SUID 類似,只是在命令程序的整個整個生命週期中又多了一個群組的援助(注意:只是多了一個群組的援助,並不是說程序就會以群組的身份去執行。);當作用於目錄時,使用者進入此目錄下時他的有效群組將會變成該目錄的群組,此時新建的任何檔案目錄,他們的 群組id 都將和該目錄的 群組id 一樣。
- Sticky:只作用於目錄,使用者在該目錄下新建的任何檔案目錄,都將只有自己與 root 才有權力刪除。如 /tmp 目錄。