請問suid的問題

aQua99

一個(gè)要有root權(quán)限才能執(zhí)行腳本,如何讓普通用戶執(zhí)行
我試了chmod 6755 xx 后不行?

bjgirl

sudo
or
chmod +s command

aQua99

原帖由 "bjgirl" 發(fā)表：
sudo
or
chmod +s command

書上說某些系統(tǒng)因?yàn)榘踩�原因不支持suid/sgid,設(shè)置了也白設(shè),不知道是不是包括sco openserver...
chmod +s command或者chmod 6755 command后,
文件屬性 -rwsr-sr-x
其它用戶執(zhí)行仍然報(bào)錯(cuò)

請問sudo是說先su后do么?那怎么寫到腳本中去?
還是說有sudo這個(gè)命令?sco好像沒有

wenuy

chmod a+s * -R
無敵
什么人都能用了

aQua99

原帖由 "wenuy" 發(fā)表：
chmod a+s * -R
無敵
什么人都能用了

??
chmod a+s command與chmod +s command 沒有區(qū)別吧
-R是什么意思?會(huì)被認(rèn)為是一個(gè)文件的

bjgirl

原帖由 "wenuy" 發(fā)表：
chmod a+s * -R
無敵
什么人都能用了

Really

aQua99

oh,我自己搞錯(cuò)了
腳本中需要權(quán)限的命令是ipcrm
改腳本的suid是沒用的
關(guān)鍵是chmod +s ipcrm

bjgirl說話太精煉了,把chmod +s xx改成了chmod +s command
指出了問題所在,卻不肯再說的明白一些...

網(wǎng)中人

呵呵~~~ 若帶 suid 的 command 是個(gè)木馬或病毒, 那就好玩了...  ^_^

bjgirl

[quote]原帖由 "網(wǎng)中人"]呵呵~~~ 若帶 suid 的 command 是個(gè)木馬或病毒, 那就好玩了...  ^_^[/quote 發(fā)表：

嗯,是呀,還是請netman講講怎么預(yù)防這些潛在的危機(jī)吧
謝謝 !
btw:順便給介紹一下shell方面應(yīng)該注意的一些安全知識(shí)! 再次感謝!(如時(shí)間寬裕的情況下)

網(wǎng)中人

要了解 suid/sgid, 必需先了解 process 及 permission.
我們需知道: 每個(gè) process 都有其 effective uid/gid , 以決定其在傳統(tǒng) unix filesystem 中獲得的實(shí)際 permission .
再, process 是由 binary 產(chǎn)生的, 而 binary 是從 shell / shell script 載入執(zhí)行.
在正常的情況下, process 的 effective uid/gid 是從 parent 繼承, 或簡單說是與 shell 的 uid/gid 一樣.
shell 的 uid/gid 則是跟據(jù) /etc/passwd 的第 3 與 第 4 欄位決定.

當(dāng)我們有了以上的概念之後, 再來看 suid 對 effective uid/gid 的影響:
若 binary file 帶有 suid/sgid 的時(shí)候,
其 effective id 就不是從 parent 那邊繼承, 而是以 binary file 本身的 user/group 為準(zhǔn).

舉例而言, 若一個(gè) prog1 的 user/group 都是 root , 但沒設(shè) suid/sgid ,
那當(dāng)一個(gè) uid(500)/gid(500) 的 parent process 執(zhí)行這個(gè) prog1 的話,
那 effective uid/gid 就是 500 ...
但若 prog1 設(shè)了 suid/sgid 後, 那其 effective uid/gid 就是 root !

一旦這個(gè) process effective 是 root 的話, 那它對 file system 的 permission 就如脫繮野馬般任意奔騰而不受限制了.
因此我才在前面提到木馬程式與病毒的例子...
試想一下: 若病毒的 user/group 被設(shè)為 root, 然後被一般 user 執(zhí)行時(shí),
suid/sgid 的有與無將導(dǎo)致甚麼不同結(jié)果?

好了, 由於 suid/sgid 在系統(tǒng)上有其存在的必要性(舉 /usr/bin/passwd 與 /etc/shadow 為例),
但同時(shí)又有極大的殺傷力, 在應(yīng)用上要異常小心!
因此, bash shell script 在先天上不支援 suid/sgid .
perl 亦如此, 除非額外再安裝 suid-perl ....

碰到安全問題, 每一個(gè)系統(tǒng)使用者(尤其是管理員)都應(yīng)小心慎重對待.
或以一句話來總結(jié)的話, 就是:
--- 勿以善小而不為, 勿以惡小而為之!

p.s.
以上, 我還沒提到 suid/sgid 對 directory 的作用.
有空再補(bǔ)充吧.