学步园

一些有经验的Linux人员我相信都知道Linux权限中有一些不为人知的权限.了解了这些权限对以后更好管理服务器安全有很大的管理,下面我们就来谈谈.
相对于Windows系统的安全权限设置来说Linux安全权限设置相对来麻烦些..起码没有Win人性化..但也这无非这个RWX这三个权限的互相搭配 和使用,我相信大家都知道的..好,不知大家是否留意看/bin/su,/usr/sbin/passwd等等这个目录以及文件的属性.
如: /etc/passwd -rw-r--r-- 1 root root
      /etc/shadow -r-------- 1 root root
     按照上面的二种权限来看的话,/etc/passwd只有root才有写入的权限..那为什么,我su - skycn时,用passwd修改skycn密码没有任何问题呢?再来看看/etc/shadow的权限,默认应该是只有root才能读,其它用户应该是 连写的权限都没有...那修改密码的奥秘又在那里呢?接下来出场的就是今天的主角SetUID,SetGID.
   先来看看这个权限/bin/su -rws-r-xr-x 1 root root
                        /usr/bin/passwd -r-s--x--x 1 root root
   注意看到没有那个s权限是什么呢?s就是SetUID的标识,有了这个标识当用户执行此命令时,将拥有此命令相当于root的权限操作,这就是为什么当普 通用户使用/etc/passwd修改密码可能正常修改的原因了.SetUID只会出现了Binary file中,目录中存在将没有意思...还有一点就是当其它用户使用带用Setuid标识的命令时,自己对此命令也必需有X(执行)的权限,否则一切都免 谈..这点应该不难理解的..^_^
    SetGID如果标识在文件中的话,那么执行用户将会拥有此命令所属组的权限..
    SetGID如果标识在目录中,那么执行者将在此目录下建立的目录以及文件所属将会是目录的所属组.

规范的说
setuid: 设置使文件在执行阶段具有文件所有者的权限. 典型的文件是 /usr/bin/passwd. 如果一般用户执行该文件, 则在执行过程中, 该文件可以获得root权限, 从而可以更改用户的密码.

setgid: 该权限只对目录有效. 目录被设置该位后, 任何用户在此目录下创建的文件都具有和该目录所属的组相同的组.

sticky bit: 该位可以理解为防删除位. 一个文件是否可以被某用户删除, 主要取决于该文件所属的组是否对该用户具有写权限. 如果没有写权限, 则这个目录下的所有文件都不能被删除, 同时也不能添加新的文件. 如果希望用户能够添加文件但同时不能删除文件, 则可以对文件使用sticky bit位. 设置该位后, 就算用户对目录具有写权限, 也不能删除该文件.

下面说一下如何操作这些标志:

操作这些标志与操作文件权限的命令是一样的, 都是 chmod. 有两种方法来操作,

1) chmod u+s temp -- 为temp文件加上setuid标志. (setuid 只对文件有效)

chmod g+s tempdir -- 为tempdir目录加上setgid标志 (setgid 只对目录有效)

chmod o+t temp -- 为temp文件加上sticky标志 (sticky只对文件有效)

在linux中每个进程有三个[实际上有第4个]用户标识符.
        real uid      : 真实用户ID.
        saved uid     : 已保存用户ID
        effective uid : 有效用户ID
    真实用户ID(real uid)是login时的用户.而在运行过程中,
用于所有的安全检查的是有效用户ID(effective uid).
一般情况下:
    real uid = saved uid = effective uid
    在某些场合下,使用用setuid,setruid函数可以改变effective uid,从而
使得程序运行时具有特殊的权限.常见的例子是linux系统中的passwd命令,
由于所有的用户信息包括用户密码都保存在/etc/passwd文件中,而/etc/passwd
文件只有root权限可以读写,若想让每个用户都只可以修改自己的密码,就必须
让普通用户暂时获得有限的读写/etc/passwd的权限.用setuid就可以解决这个
问题.
Linux setuid(uid)函数:
    (1)如果由普通用户调用,将当前进程的有效ID设置为uid.
    (2)如果由有效用户ID符为0的进程调用,则将真实,有效和已保存用户ID都设
    置为uid.
Linux的setuid函数和Unix中的setuid函数的行为是不同的.
Unix中.setuid(uid)函数的行为:
    (1)如果进程没有超级用户特权,且uid等于实际用户ID或已保存用户ID,则只
    将有效的用户ID设置为uid.否则返回错误.
    (2)如果进程是有超级用户特权,则将真实,有效和
    已保存用户表示符都设置为uid.
    这里主要的区别在于普通用户调用时的行为.产生这个问题的原因是POSIX和
BSD的实现差异,而linux却同时支持这两者.BSD中使用
            setreuid(uid_t ruid, uid_t euid)
来设定真实用户ID(real uid)和有效用户ID(effective uid).这个函数在由有效
用户ID符为0的进程调用时,不会改变已保存用户ID.函数seteuid(uid_t uid)等价
于setreuid(-1,uid),只改变有效用户ID(effective uid).
例子:
  使用setuid或是setruid,让非root用户也可以读取只有root用户有读写权限的
文件.
#假设此程序名为:setuid_ex
#要读取的文件为:root_only.txt
$ users
dd admin
$ ls -l root_only.txt
-rw-------  1 root root 33 Jan 11 17:07 root_only.txt
$ vi setuid_ex.cpp
     1  /**
     2   * Linux setuid函数的例子.
     3   * */
     4  #include  //setuid() and getuid()
     5  #include
     6  #include
     7
     8  using namespace std;
     9  void test_read_file(const char *name)
    10  {
    11      ifstream f(name);
    12      if(f.fail())
    13          cout<<"=[ERROR]: read failed."<<endl;
    14      else
    15          cout<<"=[OK]: read successful."<<endl;
    16  }
    17  //打印uid和euid.
    18  inline void p_states(void)
    19  {
    20      int uid,euid;
    21      cout<<"-----Current states--------------------------"<<endl;
    22      cout<<"real uid/t"<<getuid()<<endl;
    23      cout<<"effective uid/t"<<geteuid()<<endl;
    24      cout<<"---------------------------------------------"<<endl;
    25  }
    26  //调用setuid.
    27  inline void run_setuid_fun(int uid)
    28  {
    29      if(setuid(uid) == -1)
    30           cout<<"=[ERROR]: setuid("<<uid<<") error"<<endl;
    31      p_states();
    32  }
    33  //调用seteuid.
    34  inline void run_seteuid_fun(int uid)
    35  {
    36      if(seteuid(uid) == -1)
    37           cout<<"=[ERROR]: seteuid("<<uid<<") error"<<endl;
    38      p_states();
    39  }
    40
    41  int main()
    42  {
    43      int t_re=0;
    44      const char * file = "root_only.txt";
    45
    46      cout<<endl<<"TEST 1: "<<endl;
    47      p_states();
    48      //[1]此时 real uid= login user id
    49      //     effective uid = root
    50      //     saved uid = root
    51      test_read_file(file);
    52
    53      cout<<endl<<"TEST 2: seteuid(getuid())"<<endl;
    54      run_seteuid_fun(getuid());
    55      //[2]此时 real uid= login user id
    56      //     effective uid = login user id
    57      //     saved uid = root
    58      test_read_file(file);
    59
    60      cout<<endl<<"TEST 3: seteuid(0)"<<endl;
    61      run_seteuid_fun(0);
    62      //[3]此时 real uid= login user id
    63      //     effective uid = root
    64      //     saved uid = root
    65      test_read_file(file);
    66
    67      cout<<endl<<"TEST 4: setuid(0)"<<endl;
    68      run_setuid_fun(0);
    69      //[4]此时 real uid= root
    70      //     effective uid = root
    71      //     saved uid = root
    72      test_read_file(file);
    73
    74      cout<<endl<<"TEST 5: setuid(503)"<<endl;
    75      run_setuid_fun(503);
    76      //[5]此时 real uid= login user id
    77      //     effective uid = login user id
    78      //     saved uid = login user id
    79      test_read_file(file);
    80
    81      cout<<endl<<"TEST 6: setuid(0)"<<endl;
    82      //[6]此时 real uid= login user id
    83      //     effective uid = login user id
    84      //     saved uid = login user id
    85      // 运行setuid(0)是将返回错误值-1.
    86      run_setuid_fun(0);
    87      test_read_file(file);
    88      return 0;
    89  }
    90
    91
$ vi Makefile
     1  src=setuid_ex.cpp
     2  exe=setuid_ex
     3  cc=g++
     4  flags=-g
     5
     6  all:${src}
     7          ${cc} ${flags} -o ${exe}
     8          chown root:root ${exe}
     9          ### 实际上chmod 4111改变了effective id 和saved uid的值.
    10          ### 这也是setuid setruid函数在不同权限间正常切换的前提.
    11          chmod 4111 ${exe}
   
$ sudo make #使用root进行Make.
$ ls -l setuid_ex
---s--x--x  1 root root 58579 Jan 15 11:27 setuid_ex
$ ./setuid_ex
TEST 1:
-----Current states--------------------------
real uid        503
effective uid   0
---------------------------------------------
=[OK]: read successful.

TEST 2: seteuid(getuid())
-----Current states--------------------------
real uid        503
effective uid   503
---------------------------------------------
=[ERROR]: read failed.

TEST 3: seteuid(0)
-----Current states--------------------------
real uid        503
effective uid   0
---------------------------------------------
=[OK]: read successful.

TEST 4: setuid(0)
-----Current states--------------------------
real uid        0
effective uid   0
---------------------------------------------
=[OK]: read successful.

TEST 5: setuid(503)
-----Current states--------------------------
real uid        503
effective uid   503
---------------------------------------------
=[ERROR]: read failed.

TEST 6: setuid(0)
=[ERROR]: setuid(0) error
-----Current states--------------------------
real uid        503
effective uid   503
---------------------------------------------
=[ERROR]: read failed.