由於用戶在UNIX下經常會遇到SUID、SGID的概念,而且SUID和SGID涉及到系統安全,所以用戶也比較關心這個問題。
一、UNIX下關於文件權限的表示方法和解析
SUID 是 Set User ID, SGID 是 Set Group ID的意思。
UNIX下可以用ls -l 命令來看到文件的權限。用ls命令所得到的表示法的格式是類似這樣的:-rwxr-xr-x 。下面解析一下格式所表示的意思。這種表示方法一共有十位:
9 8 7 6 5 4 3 2 1 0
- r w x r - x r - x
第9位表示文件類型,可以爲p、d、l、s、c、b和-:
p表示命名管道文件
d表示目錄文件
l表示符號連接文件
-表示普通文件
s表示socket文件
c表示字符設備文件
b表示塊設備文件
第8-6位、5-3位、2-0位分別表示文件所有者的權限,同組用戶的權限,其他用戶的權限,其形式爲rwx:
r表示可讀,可以讀出文件的內容
w表示可寫,可以修改文件的內容
x表示可執行,可運行這個程序
沒有權限的位置用-表示
例子:
ls -l myfile顯示爲:
-rwxr-x--- 1 foo staff 7734 Apr 05 17:07 myfile
表示文件myfile是普通文件,文件的所有者是foo用戶,而foo用戶屬於staff組,文件只有1個硬連接,長度是7734個字節,最後修改時間4月5日17:07。
所有者foo對文件有讀寫執行權限,staff組的成員對文件有讀和執行權限,其他的用戶對這個文件沒有權限。
如果一個文件被設置了SUID或SGID位,會分別表現在所有者或同組用戶的權限的可執行位上。例如:
1、-rwsr-xr-x 表示SUID和所有者權限中可執行位被設置
2、-rwSr--r-- 表示SUID被設置,但所有者權限中可執行位沒有被設置
3、-rwxr-sr-x 表示SGID和同組用戶權限中可執行位被設置
4、-rw-r-Sr-- 表示SGID被設置,但同組用戶權限中可執行位沒有被社
其實在UNIX的實現中,文件權限用12個二進制位表示,如果該位置上的值是
1,表示有相應的權限:
11 10 9 8 7 6 5 4 3 2 1 0
S G T r w x r w x r w x
第11位爲SUID位,第10位爲SGID位,第9位爲sticky位,第8-0位對應於上面的三組rwx位。
11 10 9 8 7 6 5 4 3 2 1 0
上面的-rwsr-xr-x的值爲: 1 0 0 1 1 1 1 0 1 1 0 1
-rw-r-Sr--的值爲: 0 1 0 1 1 0 1 0 0 1 0 0
給文件加SUID和SUID的命令如下:
chmod u+s filename 設置SUID位
chmod u-s filename 去掉SUID設置
chmod g+s filename 設置SGID位
chmod g-s filename 去掉SGID設置
另外一種方法是chmod命令用八進制表示方法的設置。如果明白了前面的12位權限表示法也很簡單。
二、SUID和SGID的詳細解析
由於SUID和SGID是在執行程序(程序的可執行位被設置)時起作用,而可執行位只對普通文件和目錄文件有意義,所以設置其他種類文件的SUID和SGID位是沒有多大意義的。
首先講普通文件的SUID和SGID的作用。例子:
如果普通文件myfile是屬於foo用戶的,是可執行的,現在沒設SUID位,ls命令顯示如下:
-rwxr-xr-x 1 foo staff 7734 Apr 05 17:07 myfile任何用戶都可以執行這個程序。UNIX的內核是根據什麼來確定一個進程對資源的訪問權限的呢?是這個進程的運行用戶的(有效)ID,包括user id和group id。用戶可以用id命令來查到自己的或其他用戶的user id和group id。
除了一般的user id 和group id外,還有兩個稱之爲effective 的id,就是有效id,上面的四個id表示爲:uid,gid,euid,egid。內核主要是根據euid和egid來確定進程對資源的訪問權限。
一個進程如果沒有SUID或SGID位,則euid=uid egid=gid,分別是運行這個程序的用戶的uid和gid。例如kevin用戶的uid和gid分別爲204和202,foo用戶的uid和gid爲200,201,kevin運行myfile程序形成的進程的euid=uid=204,egid=gid=202,內核根據這些值來判斷進程對資源訪問的限制,其實就是kevin用戶對資源訪問的權限,和foo沒關係。
如果一個程序設置了SUID,則euid和egid變成被運行的程序的所有者的uid和gid,例如kevin用戶運行myfile,euid=200,egid=201,uid=204,gid=202,則這個進程具有它的屬主foo的資源訪問權限。
SUID的作用就是這樣:讓本來沒有相應權限的用戶運行這個程序時,可以訪問他沒有權限訪問的資源。passwd就是一個很鮮明的例子。
SUID的優先級比SGID高,當一個可執行程序設置了SUID,則SGID會自動變成相應的egid。
下面討論一個例子:
UNIX系統有一個/dev/kmem的設備文件,是一個字符設備文件,裏面存儲了核心程序要訪問的數據,包括用戶的口令。所以這個文件不能給一般的用戶讀寫,權限設爲:cr--r----- 1 root system 2, 1 May 25 1998 kmem
但ps等程序要讀這個文件,而ps的權限設置如下:
-r-xr-sr-x 1 bin system 59346 Apr 05 1998 ps
這是一個設置了SGID的程序,而ps的用戶是bin,不是root,所以不能設置SUID來訪問kmem,但大家注意了,bin和root都屬於system組,而且ps設置了SGID,一般用戶執行ps,就會獲得system組用戶的權限,而文件kmem的同組用戶的權限是可讀,所以一般用戶執行ps就沒問題了。但有些人說,爲什麼不把ps程序設置爲root用戶的程序,然後設置SUID位,不也行嗎?這的確可以解決問題,但實際中爲什麼不這樣做呢?因爲SGID的風險比SUID小得多,所以出於系統安全的考慮,應該儘量用SGID代替SUID的程序,如果可能的話。下面來說明一下SGID對目錄的影響。SUID對目錄沒有影響。如果一個目錄設置了SGID位,那麼如果任何一個用戶對這個目錄有寫權限的話,他在這個目錄所建立的文件的組都會自動轉爲這個目錄的屬主所在的組,而文件所有者不變,還是屬於建立這個文件的用戶。
三、關於SUID和SGID的編程
和SUID和SGID編程比較密切相關的有以下的頭文件和函數:
#include
#include
uid_t getuid(void);
uid_t geteuid(void);
gid_t getgid (void);
gid_t getegid (void);
int setuid (uid_t UID);
int setruid (uid_t RUID);
int seteuid (uid_t EUID);
int setreuid (uid_t RUID,uid_t EUID);
int setgid (gid_t GID);
int setrgid (gid_t RGID);
int setegid (git_t EGID);
int setregid (gid_t RGID, gid_t EGID);
具體這些函數的說明在這裏就不詳細列出來了,要用到的可以用man查。
SUID/SGID :
假如你有文件a.txt
#ls -l a.txt
-rwxrwxrwx
#chmod 4777 a.txt
-rwsrwxrwx ======>注意s位置
#chmod 2777 a.txt
-rwxrwsrwx ======>注意s位置
#chmod 7777 a.txt
-rwsrwxswt ======>出現了t,t的作用在內存中儘量保存a.txt,節省系統再加載的時間.
現在再看前面設置 SUID/SGID作用:
#cd /sbin
#./lsusb
...
#su aaa(普通用戶)
$./lsusb
...
是不是現在顯示出錯?
$su
#chmod 4755 lsusb
#su aaa
$./lsusb
... 現在明白了嗎?本來是隻有root用戶才能執行的命令,加了SUID後,普通用戶就可以像root一樣的用,權限提升了。上面是對於文件來說的,對於目錄也差不多!
目錄的S屬性使得在該目錄下創建的任何文件及子目錄屬於該目錄所擁有的組,目錄的T屬性使得該目錄的所有者及root才能刪除該目錄。還有對於s與S,設置SUID/SGID需要有運行權限,否則用ls -l後就會看到S,證明你所設置的SUID/SGID沒有起作用。
Why we need suid,how do we use suid?
r -- 讀訪問
w -- 寫訪問
x -- 執行許可
s -- SUID/SGID
t -- sticky位
那麼 suid/sgid是做什麼的? 爲什麼會有suid位呢?
要想明白這個,先讓我們看個問題:如何讓每個用戶更改自己的密碼?
用戶修改密碼,是通過運行命令passwd來實現的。最終必須要修改/etc/passwd文件,而passwd的文件的屬性是:
#ls -l /etc/passwd
-rw-r--r-- 1 root root 2520 Jul 12 18:25 passwd
我們可以看到passwd文件只有對於root用戶是可寫的,而對於所有的他用戶來說都是沒有寫權限的。 那麼一個普通的用戶如何能夠通過運行passwd命令修改這個passwd文件呢?
爲了解決這個問題,SUID/SGID便應運而生。而且AT&T對它申請了專利。 呵呵。
SUID和SGID是如何解決這個問題呢?
首先,我們要知道一點:進程在運行的時候,有一些屬性,其中包括 實際用戶ID,實際組ID,有效用戶ID,有效組ID等。 實際用戶ID和實際組ID標識我們是誰,誰在運行這個程序,一般這2個字段在登陸時決定,在一個登陸會話期間, 這些值基本上不改變。
而有效用戶ID和有效組ID則決定了進程在運行時的權限。內核在決定進程是否有文件存取權限時,是採用了進程的有效用戶ID來進行判斷的。
知道了這點,我們來看看SUID的解決途徑:
當一個程序設置了爲SUID位時,內核就知道了運行這個程序的時候,應該認爲是文件的所有者在運行這個程序。即該程序運行的時候,有效用戶ID是該程序的所有者。舉個例子:
[root@sgrid5 bin]# ls -l passwd
-r-s--s--x 1 root root 16336 Feb 14 2003 passwd
雖然你以test登陸系統,但是當你輸入passwd命令來更改密碼的時候,由於passwd設置了SUID位,因此雖然進程的實際用戶ID是test對應的ID,但是進程的有效用戶ID則是passwd文件的所有者root的ID,因此可以修改/etc/passwd文件。
讓我們看另外一個例子。
ping命令應用廣泛,可以測試網絡是否連接正常。ping在運行中是採用了ICMP協議,需要發送ICMP報文。但是只有root用戶才能建立ICMP報文,如何解決這個問題呢?同樣,也是通過SUID位來解決。
[root@sgrid5 bin]# ls -l /bin/ping
-rwsr-sr-x 1 root root 28628 Jan 25 2003 /bin/ping
我們可以測試一下,如果去掉ping的SUID位,再用普通用戶去運行命令,看會怎麼樣。
[root@sgrid5 bin]#chmod u-s /bin/ping
[root@sgrid5 bin]# ls -l ping
-rwxr-xr-x 1 root root 28628 Jan 25 2003 ping
[root@sgrid5 bin]#su test
[test@sgrid5 bin]$ ping byhh.net
ping: icmp open socket: Operation not permitted
SUID雖然很好了解決了一些問題,但是同時也會帶來一些安全隱患。
因爲設置了 SUID 位的程序如果被攻擊(通過緩衝區溢出等方面),那麼hacker就可以拿到root權限。
因此在安全方面特別要注意那些設置了SUID的程序。
通過以下的命令可以找到系統上所有的設置了suid的文件:
[root@sgrid5 /]# find / -perm -04000 -type f -ls
對於這裏爲什麼是4000,大家可以看一下前面的st_mode的各bit的意義就明白了。
在這些設置了suid的程序裏,如果用不上的,就最好取消該程序的suid位。
[root@rhe5 /]# find / -perm -04000 -type f -ls
find: /proc/12922/task/12922/fd/4: No such file or directory
find: /proc/12922/fd/4: No such file or directory
75023 64 -rwsr-xr-x 1 root root 55016 Dec 19 2006 /sbin/mount.nfs4
71001 16 -rwsr-xr-x 1 root root 12280 Jan 16 2007 /sbin/pam_timestamp_check
75022 64 -rwsr-xr-x 1 root root 55012 Dec 19 2006 /sbin/mount.nfs
75026 64 -rwsr-xr-x 1 root root 55016 Dec 19 2006 /sbin/umount.nfs
75027 64 -rwsr-xr-x 1 root root 55016 Dec 19 2006 /sbin/umount.nfs4
71002 28 -rwsr-xr-x 1 root root 20796 Jan 16 2007 /sbin/unix_chkpwd
639362 4 -r-s---r-T 1 root root 0 Jan 16 23:01 /media/.hal-mtab-lock
447629 68 -rwsr-xr-x 1 root root 57588 Jan 12 2007 /bin/mount
447571 40 -rwsr-xr-x 1 root root 35864 Dec 21 2006 /bin/ping
447572 36 -rwsr-xr-x 1 root root 31244 Dec 21 2006 /bin/ping6
447554 44 -rwsr-xr-x 1 root root 38552 Jan 12 2007 /bin/umount
447606 28 -rwsr-xr-x 1 root root 24060 Nov 28 2006 /bin/su
939398 12 -rwsr-xr-x 1 root root 6808 Jan 16 2007 /usr/sbin/usernetctl
55 40 -rws--x--x 1 root root 34824 Dec 11 2006 /usr/sbin/userhelper
942148 12 -rwsr-xr-x 1 root root 6416 Aug 23 2006 /usr/sbin/ccreds_validate
947009 164 ---s--x--x 2 root root 159096 Oct 2 2006 /usr/bin/sudo
935137 24 -rwsr-xr-x 1 root root 18544 Nov 28 2006 /usr/bin/rcp
947009 164 ---s--x--x 2 root root 159096 Oct 2 2006 /usr/bin/sudoedit
939580 312 -rwsr-sr-x 1 root root 311288 Dec 30 2006 /usr/bin/crontab
935140 16 -rwsr-xr-x 1 root root 8876 Nov 28 2006 /usr/bin/rsh
255789 1788 -rws--x--x 1 root root 1820868 Jan 10 2007 /usr/bin/Xorg
937989 52 -rwsr-xr-x 1 root root 46748 Jan 17 2007 /usr/bin/chage
255770 24 -rws--x--x 1 root root 19064 Jan 12 2007 /usr/bin/chsh
933929 52 -rwsr-xr-x 1 root root 47352 Jan 17 2007 /usr/bin/gpasswd
934168 28 -rwsr-xr-x 1 root root 24556 Jan 17 2007 /usr/bin/newgrp
941107 24 -rws--x--x 1 root root 17900 Jan 12 2007 /usr/bin/chfn
935139 20 -rwsr-xr-x 1 root root 13108 Nov 28 2006 /usr/bin/rlogin
940114 48 -rwsr-xr-x 1 root root 44040 Aug 23 2006 /usr/bin/at
319945 28 -rwsr-xr-x 1 root root 22960 Jul 17 2006 /usr/bin/passwd
192161 180 -rwsr-xr-x 1 root root 172200 Jan 12 2007 /usr/libexec/openssh/ssh-keysign
227583 152 -rwsr-xr-x 1 root root 144537 Jan 17 2007 /usr/kerberos/bin/ksu
416510 60 -r-sr-xr-x 1 root root 51424 Jan 16 23:02 /usr/lib/vmware-tools/sbin64/vmware-hgfsmounter
415586 52 -r-sr-xr-x 1 root root 47448 Jan 16 23:02 /usr/lib/vmware-tools/sbin32/vmware-hgfsmounter
234428 16 -r-sr-xr-x 1 root root 8456 Jan 16 23:03 /usr/lib/vmware-tools/bin64/vmware-user-suid-wrapper
228649 16 -r-sr-xr-x 1 root root 8516 Jan 16 23:03 /usr/lib/vmware-tools/bin32/vmware-user-suid-wrapper
[root@rhe5 /]#
==================================================================================
一、 SUID/SGID概述
有時,沒有被授權的用戶需要完成某項任務。一個例子是passwd程序,它允許用戶改變口令,這就要求改變/etc/passwd文件的口令域。然而系統管理員決不允許普通用戶擁有直接改變這個文件的權利,因爲這絕對不是一個好主意。
爲了解決這個問題,SUID/SGID便應運而生。UNIX允許程序被授權,當程序被執行的時候,擁有超級用戶的權限,完成時又回到普通用戶的權限。這個主意很好,所以AT&T對它申請了專利。
二、 UNIX下的一些名詞簡介
1.文件權限。確定用戶讀取、修改或執行文件的權力。
r -- 讀訪問
w -- 寫訪問
x -- 執行許可
s -- SUID/SGID
t -- sticky位
2.進程。進程是程序運行一次的過程,以完成預定的任務,它不同於程序。每個進程都有一個唯一的進程ID。此外,每個進程還有一些其他標識符:實際用戶ID、實際組ID、有效用戶ID、有效組ID。超級用戶進程的實際用戶ID和有效用戶ID爲0。
3.超級用戶root。超級用戶擁有系統的完全控制權。
三、 SUID/SGID的思路
SUID的程序在運行時,將有效用戶ID改變爲該程序的所有者ID,使得進程在很大程度上擁有了該程序的所有者的特權。如果被設置爲SUID root,那麼這個進程將擁有超級用戶的特權(當然,一些較新版本的UNIX系統加強了這一方面的安全檢測,一定程度上降低了安全隱患)。當進程結束時,又恢復爲原來的狀態。
注:SUID/SGID程序在執行時的Real Uid可以通過函數setuid()改變
四、一個SUID程序
下面的程序是用來演示UNIX文件的SUID,取名爲parent.c
#include 〈stdio.h〉
#include 〈stdlib.h〉
#include 〈unistd.h〉
#include 〈sys/types.h〉
int
main(int argc,char **argv)
{
int i;
char **argu;
uid_t uid;
uid=geteuid(); //獲取調用進程的有效用戶ID
if(argc<2){
fprintf(stderr,"usage: %s \n",argv[0]);
exit(0);
}
if(setuid(uid)<0){
fputs("setuid error.\n",stderr);
exit(1);
} //將調用進程的實際用戶ID設置爲有效用戶ID
if((argu=(char**)malloc(argc*sizeof(char*)))==NULL){
fputs("malloc error.\n",stderr);
exit(1);
} //爲execvp的參數指針數組分配內存空間
for(i=0;i
argu[argc-1]=(char *)0; //參數指針數組以空指針結尾
if(execvp(argv[1],argu)<0){
fputs("exec error.\n",stderr);
exit(1);
} //用execvp調用命令行參數指定的程序
exit(0);
}
該程序將一個SUID的進程轉變爲一個超級用戶進程。將此程序編譯成可執行目標文件parent ,用另一個簡單的程序進行檢驗
int main(void){
printf("real uid=%d, effective uid=%d\n",getuid(),geteuid());
exit(0);
}
編譯爲printuids。運行程序得到下列結果:
$ ./parent printuids //正常執行,無特權
real uid=506, effective uid=506
$ su root
Password:
# chown root parent //更改所有者
# chmod u+s parent //添加SUID
# exit
$ ./parent printuidsv real uid=0, effective uid=0 //該進程轉變爲超級用戶進程
某一進程一旦轉變爲超級用戶進程,將擁有系統的完全控制權。比如,我們可以這樣執行演示程序: $ ./parent useradd hacker
$ ./parent passwd hacker
故而,SUID的程序往往伴隨着一定的安全問題。在早期的UNIX環境中,SUID/SGID的程序調用system()函數就存在着安全性漏洞。
五、 再談SUID/SGID程序的安全問題
有時,一個SUID程序與一個系統程序(或庫函數)之間的交互作用會產生連程序的編制者也不知道的安全漏洞。一個典型的例子是/usr/lib/preserve程序。它被vi和ex編輯器使用,當用戶在寫出對文件的改變前被意外與系統中斷時,它可以自動製作一個正被編輯的文件的拷貝。這個保存的(preserve)程序將改變寫到在一個專門的目錄內的一個臨時文件上,然後利用/bin/mail程序發送給用戶一個"文件已經被存"的通知。
由於人們可能正在編輯一個私人的或一個機密的文件,被preserve程序(舊版)使用的那個目錄不能被一般用戶訪問。爲了使preserve程序可以寫入那個目錄,以及使recover程序可以從那裏讀,這些程序被設置爲SUID root。 這個preserve程序有三個特點值得注意:
1. 這個程序被設置爲SUID root。
2. 該程序以root用戶的身份運行/bin/mail程序。
3. 該程序調用system()函數調用mail程序。
由於system()函數調用shell對命令字符串進行語法分析,而shell則使用IFS變量作爲其輸入字段的分割符。早期的shell版本在被調用是時不將此變量恢復爲普通字符集。如果先將IFS設置爲"/",然後調用vi程序,繼而調用preserve程序,就有可能使usr/lib/preserve程序執行一個在當前目錄下的bin程序(/bin/mail被解析爲帶有參數mail的bin程序)。
如果我們利用前面的演示程序編寫一個簡單的shell script文件命名爲bin,它就有可能通過上面的安全漏洞被執行:
# shell script to make an SUID-root
shell
#
chown root parent
chmod 4755 parent