1.SetUID的功能
-
实现SetUID功能的前提条件
(1) 只有可执行的二进制程序才能设定SUID
(2) 命令执行者要对该程序拥有x(执行)权限 -
SetUID的功能
(1) 命令执行者在执行改程序时获得该程序文件属主的身份(在执行程序的过程中灵魂附体为文件的属组)
(2) SetUID权限只在该程序中有效,也就是说身份改变只在程序执行过程中有效。
小提示: 命令的执行者一般是普通用户
举个栗子:
- passwd命令拥有SetUID权限,所以普通用户可以修改自己的密码
![在这里插入图片描述]()
这个passwd为什么要有setUID权限那??? 普通用户可以改自己的密码的,真正的密码其实写入了/etc/shadow文件中。但是通过查看shadow文件的权限可知:
![在这里插入图片描述]()
shadow文件的权限是000,普通用户别说写了,连看都看不到这个文件,但是普通用户可以更改自己的密码,实际上是写入了/etc/shadow这个文件, 普通用户明明对他没有权限,怎么可能写入这个文件的那?因为这个passwd这条命令作用的,当普通用户执行passwd这条命令的时候,因为passwd有SUID权限, 任何普通用户在执行这条命令的时候,都暂时性地获得这个文件的所有者权限,普通用户在执行passwd命令的时候,系统没有把他当作普通用户来对待,而是当作超级用户来对待,超级用户对shadow文件拥有任何权限,虽然shadow文件的权限是000,到那时这个权限对超级用户是没有意义的超级用户对这个文件依然有rwx权限。
小提示: 普通用户对passwd作为其他人的身份进行文件的操作,其他人必须要有执行权限x的,这样才能调用passwd命令,作为一个前提条件。
再举个栗子:
cat命令没有SetUID权限,所以普通用户不能查看/etc/shadow文件内容
2.设定SetUID的方法
- 4代表SetUID
chmod 4755 文件名
chmod u+s 文件名
开始实验:
备注:
-
上图中系统用S的方式报警,告诉这种SUID是不能执行的。只有给可执行的二进制文件,或者说可执行的二进制程序赋予SUID才可以用的。给空文件赋予SUID是不能运行的,是没有任何意义的。
-
实验中的abc文件只是空文件是不能运行的,只不过是练习用而已。
-
系统有一些默认的SetUID权限,如果没有特殊情况,不允许用户设定SetUID的其他程序,系统有了这些SetUID命令,像passwd命令,是迫不得已,因为这样已经非常危险了,如果还要手工设定一些SetUID的一些命令,万一要是设错了,就会带来一些灾难性的后果。
-
4755 4代表SetUID,跟所有者有关
2755 2代表SetGID,跟所属组有关
1755 1代表SetBIT权限,跟其他人有关
7755 三种权限都有,没有意义,因为操作的对象是不一样的
3.取消SetUID的方法
- 命令:
chmod 755 文件名
命令:chmod u-s 文件名
小提示: 这两种方法都可以
4.危险的SetUID
- 关键目录应严格控制写权限。比如“/”、“/usr”等
- 用户的密码设置要严格遵守密码三原则
- 对系统中默认应该具有SetUID权限的文件作一列表,定时检查有没有这之外的文件被设置了SetUID权限
小提示: 定期的扫描setUID权限 ,可以写一个shell程序,让他自己来执行。
开始实验:
- 举个栗子:
赋予vi具有SUID权限,超级用户可以使用vi/vim只是可以使用的普通用户默认使用的全都是vim,所以要跟vim来设置,这样会带来什么危险那??? 任何一个普通用户,在使用vim命令的时候,身份会变成root
![在这里插入图片描述]()
普通用户本来对shadow文件是没有权限的,修改不了这个文件的内容,到那刚才给vim设置了SetUID权限,所以当我是vim命令时候,普通用户的身份就可以变成root了。
![在这里插入图片描述]()
这是可以修改这个文件的内容了,可以把普通用户改成超级用户 (手工把st的UID写成0) 强制保存退出, 虽然这个st用户对他没有权限,但是给vim赋予了setUID权限,所以普通用户在执行的过程变成了root用户,所以非常可怕的,只要给vim赋予了setUID权限,普通用户就可以利用vim这个命令,修改所有的系统文件,比如密码文件,系统的启动文件,系统的自动挂载文件。随随便便把系统搞崩溃是非常容易的,使系统的安全性大大降低!!!
5. 总结
1. setUID作用普通用户在执行拥有SetUID程序的时候,暂时的会获得这个程序的所有者的身份
2. 设定SetUID权限、取消SetUID权限的方法
3. Setuid是一个不安全的命令,除了系统拥有这些默认的SetUID权限,尽量不用给程序或者命令赋予SetUID权限,还要定期扫描,保证系统当中,除了默认SetUID之外,不会产生过多的SetUID权限。