El bit obligatorio de Linux y el bit de aventura consejos

El sistema de archivos linuxext3 admite bits obligatorios (setuid y setgid) y permisos especiales para los riesgosos (pegajosos). Para u, g, o, se han establecido uid, set gid y sticky.

Los bits de fuerza y ​​riesgo se agregan en el permiso de ejecución: si ya existe un permiso de ejecución en esa ubicación, los bits de fuerza y ​​riesgo se representan en letras minúsculas, de lo contrario, están en letras mayúsculas. Configure uid y set gid use one s para cada una de las posiciones x de u y g, y sticky usa a t.

Cuando un archivo tiene setuid y los otros grupos tienen permisos de ejecución, cuando el otro grupo ejecuta el programa, otros tendrán el permiso del propietario para el archivo.

Por defecto, el archivo creado por el usuario pertenece al grupo en el que se encuentra actualmente. Setgid se establece en el directorio, lo que indica que los archivos creados por cualquier persona en este directorio pertenecerán al grupo al que pertenece el directorio.

Por defecto, si tiene permisos w y x en un directorio, cualquiera puede crear y eliminar archivos en este directorio. Una vez que se establece el bit de aventura en el directorio, significa que solo el propietario del archivo y la raíz pueden eliminar el archivo en este directorio.

En el ejecutable, el usuario puede agregar set uid y set gid. De forma predeterminada, el usuario ejecuta un ejecutable que ejecutará el proceso como el usuario. Después de agregar el bit de fuerza al archivo ejecutable, el usuario puede ejecutar la instrucción para ejecutar el proceso como propietario del archivo de instrucción o el grupo al que pertenece.

Los usuarios pueden usar el comando chmod para establecer los bits de fuerza y ​​riesgo para el archivo.

establecer uid: chmod u + s nombre de archivo

configurar gid: chmod g + s nombre de archivo

pegajoso: chmod o + t nombre de archivo

Los bits forzados y de riesgo también se pueden especificar mediante una suma de tres dígitos del número de dígitos leídos y escritos.

4 (set uid)

2 (set gid)

1 (sticky)

Forzando bits al archivo

En el ejecutable, el usuario puede agregar set uid y set gid. De forma predeterminada, el usuario ejecuta una instrucción que ejecuta el proceso como el usuario. Un bit de fuerza en el archivo de instrucciones que permite al usuario ejecutar una instrucción que ejecuta el proceso como el propietario del archivo de instrucciones o el grupo al que pertenece. Aquí hay un buen ejemplo. Usted administra varios sistemas de bases de datos grandes y la copia de seguridad requiere privilegios de administración del sistema. Escribió algunos scripts y configuró su setuid para que algunos de los usuarios que especifique puedan hacer el trabajo ejecutando estos scripts sin tener que iniciar sesión como administrador de la base de datos para evitar destruir accidentalmente el servidor de la base de datos. Al ejecutar estos scripts, pueden completar las copias de seguridad de la base de datos y otras tareas administrativas, y una vez que los scripts terminen de ejecutarse, volverán a sus privilegios como usuarios normales. Otro ejemplo es /bin /passwd. Leer y escribir el archivo /etc /passwd requiere privilegios de superusuario, pero el usuario promedio también debe poder cambiar su propia contraseña en cualquier momento, por lo que /bin /passwd establece el setuid cuando el usuario cambia su contraseña. Cuando tiene privilegios de superusuario.

Forzar bits al directorio

De forma predeterminada, los archivos creados por el usuario pertenecen al grupo en el que se encuentra actualmente. Setgid se establece en el directorio, lo que indica que los archivos creados por cualquier persona en este directorio pertenecerán al grupo al que pertenece el directorio.