Jest to prawdopodobnie jedna z moich najbardziej irytujących rzeczy, które ludzie cały czas psują. Bit SUID / GUID i bit lepki to 2 zupełnie różne rzeczy.
Jeśli to zrobisz man chmod, możesz przeczytać o SUID i lepkich bitach. Strona podręcznika jest również dostępna tutaj .
tło
fragment
Litery rwxXst wybierają bity trybu pliku dla dotkniętych użytkowników: odczyt (r), zapis (w), wykonanie (lub wyszukiwanie katalogów) (x), wykonanie / wyszukiwanie tylko, jeśli plik jest katalogiem lub ma już uprawnienia do wykonywania dla niektórych użytkownik (X), ustaw ID użytkownika lub grupy na wykonanie (s) , flagę ograniczonego usuwania lub
lepki bit (t) .
SUID / GUID
Powyższa strona podręcznika próbuje powiedzieć, że pozycja, którą bit x zajmuje w rwxrwxrwx dla ósemki użytkownika (1. grupa rwx), a ósemka grupy (2. grupa rwx) może przyjąć dodatkowy stan, w którym x staje się s. Kiedy to nastąpi, ten plik po uruchomieniu (jeśli jest to program, a nie tylko skrypt powłoki) będzie działał z uprawnieniami właściciela lub grupy pliku.
Więc jeśli plik jest własnością root, a bit SUID jest włączony, program będzie działał jako root. Nawet jeśli wykonujesz go jako zwykły użytkownik. To samo dotyczy bitu GUID.
fragment
SETUID I SETGID BITS
chmod usuwa bit set-group-ID zwykłego pliku, jeśli identyfikator grupy pliku nie odpowiada efektywnemu identyfikatorowi grupy użytkownika lub jednemu z dodatkowych identyfikatorów grupy użytkownika, chyba że użytkownik ma odpowiednie uprawnienia. Dodatkowe ograniczenia mogą powodować, że bity SET-user-ID i set-group-ID MODE lub RFILE będą ignorowane. To zachowanie zależy od zasad i funkcjonalności wywołania systemowego chmod. W razie wątpliwości sprawdź podstawowe zachowanie systemu.
chmod zachowuje bity set-user-ID i set-group-ID katalogu, chyba że wyraźnie określono inaczej. Możesz ustawić lub wyczyścić bity za pomocą trybów symbolicznych, takich jak u + s i gs, i możesz ustawić (ale nie wyczyścić) bity za pomocą trybu numerycznego.
Przykłady SUID / GUID
no suid / guid - ustawione są tylko bity rwxr-xr-x .
$ ls -lt b.pl
-rwxr-xr-x 1 root root 179 Jan 9 01:01 b.pl
suid i bit wykonywalny użytkownika włączony (małe litery s) - ustawione są bity rwsr-xrx .
$ chmod u+s b.pl
$ ls -lt b.pl
-rwsr-xr-x 1 root root 179 Jan 9 01:01 b.pl
suid włączony i wyłączony bit wykonywalny (wielkie litery S) - ustawione są bity rwSr-xr-x .
$ chmod u-x b.pl
$ ls -lt b.pl
-rwSr-xr-x 1 root root 179 Jan 9 01:01 b.pl
włączony bit wykonywalny guid & group (małe litery s) - ustawione są bity rwxr-sr-x .
$ chmod g+s b.pl
$ ls -lt b.pl
-rwxr-sr-x 1 root root 179 Jan 9 01:01 b.pl
GUID włączony i wyłączony bit wykonywalny (wielkie litery S) - ustawione są bity rwxr-Sr-x .
$ chmod g-x b.pl
$ ls -lt b.pl
-rwxr-Sr-x 1 root root 179 Jan 9 01:01 b.pl
lepki kawałek
Z drugiej strony lepki bit jest oznaczony jako t, na przykład w /tmpkatalogu:
$ ls -l /|grep tmp
drwxrwxrwt. 168 root root 28672 Jun 14 08:36 tmp
Ten bit powinien być zawsze nazywany „bitem ograniczonego usuwania”, biorąc pod uwagę, że tak właśnie się kojarzy. Gdy bit tego trybu jest włączony, tworzy katalog, w którym użytkownicy mogą usuwać tylko pliki i katalogi w nim, których są właścicielami.
fragment
OGRANICZONA USUWANIE FLAGI LUB KLEJOWEGO BITU
Flaga ograniczonego usuwania lub lepki bit to pojedynczy bit, którego interpretacja zależy od typu pliku. W przypadku katalogów
uniemożliwia nieuprzywilejowanym użytkownikom usuwanie lub zmianę nazwy pliku w katalogu, chyba że jest on właścicielem pliku lub katalogu; nazywa się to flagą ograniczonego usuwania katalogu i jest powszechnie spotykane w światowych katalogach takich jak / tmp. W przypadku zwykłych plików w niektórych starszych systemach bit zapisuje obraz tekstowy programu na urządzeniu wymiany, aby ładował się szybciej po uruchomieniu; nazywa się to lepkim bitem.