Linux 特權 SUID/SGID 的詳解

扛枪的书生發表於2024-07-02

導航

  • 1 許可權匹配流程
  • 2 五種身份變化
  • 3 有效使用者/組
  • 4 特權對 Shell 指令碼無效
  • 5 Sudo 與 SUID/SGID 的優先順序
  • 6 SUID、SGID、Sticky 各自的功能

Linux最優秀的地方之一,就在於他的多人多工環境。而為了讓各個使用者具有較保密的檔案資料,因此檔案的許可權管理就變的很重要了。
Linux一般將檔案可存取的身份分為三個類別,分別是 owner/group/others,且三種身份各有 read/write/execute 等許可權。
image

故對於"靜態"的檔案來說,其中的許可權屬性即確定了“哪些身份的人擁有什麼樣的許可權可以去操作檔案”,如上圖所示。

而對於"動態"的程序來說,作業系統又為程序分配了它們的使用者身份,即有效使用者身份euid、有效群組身份egid、群組身份groups、還有繼承uid、繼承gid。【注:不管程序是否有SUID/SGID加持,程序都將擁有這5個身份,只不過無差異時 id 命令預設不顯示euid/egid而已,預設euid=uid、egid=gid】

(1)許可權匹配流程

於是,當一個程序想要操作某個檔案檔案時,作業系統便會根據程序擁有的身份檔案擁有的許可權標記去做判斷。判斷流程如下(示例以讀許可權 r 舉例):

  1. 如果程序的 euid 等於檔案的 owner-id,則繼續開始判斷檔案擁有者對應的許可權位中是否包含 r 許可權,若包含則檔案被程序順利讀取,若不包含則提示程序無許可權,此時不管 r 許可權包含與否判斷流程都將不再繼續;如果程序的 euid 不等於檔案的 owner-id,則開始步驟 2 的判斷。
  2. 如果程序的 groups 包含檔案的 group-id,則繼續開始判斷檔案所屬群組對應的許可權位中是否包含 r 許可權,若包含則檔案被程序順利讀取,若不包含則提示程序無許可權,此時不管 r 許可權包含與否判斷流程都將不再繼續;如果程序的 groups 不包含檔案的 group-id,則開始步驟 3 的判斷。
  3. 此時直接開始判斷檔案其它人對應的許可權位中是否包含 r 許可權,若包含則檔案被程序順利讀取,若不包含則提示程序無許可權。至此,流程不再遞迴判斷,直接結束。
    image

image

image

(2)五種身份變化

當一個二進位制命令被授予 SUID/SGID 特權時,命令程序中 5 種身份的變化。

  • 當無特殊許可權時,uid=繼承shell的uid,gid=繼承shell的gid,euid=uid,egid=gid,groups=uid所加入的群組。
  • 當授予suid特殊許可權時,uid=繼承shell的uid,gid=繼承shell的gid,euid=suid的值,egid=gid,groups=uid所加入的群組。
  • 當授予sgid特殊許可權時,uid=繼承shell的uid,gid=繼承shell的gid,euid=uid,egid=sgid的值,groups=uid所加入的群組+sgid。
  • 當授予suid和sgid特殊許可權時,uid=繼承shell的uid,gid=繼承shell的gid,euid=suid的值,egid=sgid的值,groups=uid所加入的組+sgid。

image

image

image

image

(3)有效使用者/組

不管實驗2中程序的5種身份如何變化,當程序產生新檔案時,檔案的擁有者和所屬群組都是以euid和egid的值去賦予的。
image

(4)特權對 Shell 指令碼無效

特殊許可權 SUID/SGID 對於 shell 指令碼不起作用,授予和不授予的狀態一樣。
image

(5)Sudo 與 SUID/SGID 的優先順序

當 Sudo 和 SUID/SGID 同時作用二進位制命令時,優先以SUID/SGID的許可權為主,這其實就相當於在root shell下執行特殊授權的命令一樣,命令程序的5種身份依舊按照小節(2)描述的過程一樣,root也不例外。
image

(6)SUID、SGID、Sticky 各自的功能。

  • SUID:只作用於二進位制檔案,當命令被執行時,命令會以命令擁有者的身份走完程序的整個生命週期,而非以當前 shell 的使用者身份執行。
  • SGID:當作用於二進位制檔案時,效果與 SUID 類似,只是在命令程序的整個整個生命週期中又多了一個群組的援助;當作用於目錄時,使用者進入此目錄下時他的有效群組將會變成該目錄的群組,此時新建的任何檔案目錄,他們的 群組id 都將和該目錄的 群組id 一樣。
  • Sticky:只作用於目錄,使用者在該目錄下新建的任何檔案目錄,都將只有自己與 root 才有權力刪除。如 /tmp 目錄。

相關文章