请问suid的问题

aQua99

一个要有root权限才能执行脚本,如何让普通用户执行
我试了chmod 6755 xx 后不行?

bjgirl

sudo
or
chmod +s command

aQua99

原帖由 "bjgirl" 发表：
sudo
or
chmod +s command

书上说某些系统因为安全原因不支持suid/sgid,设置了也白设,不知道是不是包括sco openserver...
chmod +s command或者chmod 6755 command后,
文件属性 -rwsr-sr-x
其它用户执行仍然报错

请问sudo是说先su后do么?那怎么写到脚本中去?
还是说有sudo这个命令?sco好像没有

wenuy

chmod a+s * -R
无敌
什么人都能用了

aQua99

原帖由 "wenuy" 发表：
chmod a+s * -R
无敌
什么人都能用了

??
chmod a+s command与chmod +s command 没有区别吧
-R是什么意思?会被认为是一个文件的

bjgirl

原帖由 "wenuy" 发表：
chmod a+s * -R
无敌
什么人都能用了

Really

aQua99

oh,我自己搞错了
脚本中需要权限的命令是ipcrm
改脚本的suid是没用的
关键是chmod +s ipcrm

bjgirl说话太精炼了,把chmod +s xx改成了chmod +s command
指出了问题所在,却不肯再说的明白一些...

網中人

呵呵~~~ 若帶 suid 的 command 是個木馬或病毒, 那就好玩了...  ^_^

bjgirl

[quote]原帖由 "網中人"]呵呵~~~ 若帶 suid 的 command 是個木馬或病毒, 那就好玩了...  ^_^[/quote 发表：

嗯,是呀,还是请netman讲讲怎么预防这些潜在的危机吧
谢谢 !
btw:顺便给介绍一下shell方面应该注意的一些安全知识! 再次感谢!(如时间宽裕的情况下)

網中人

要了解 suid/sgid, 必需先了解 process 及 permission.
我們需知道: 每個 process 都有其 effective uid/gid , 以決定其在傳統 unix filesystem 中獲得的實際 permission .
再, process 是由 binary 產生的, 而 binary 是從 shell / shell script 載入執行.
在正常的情況下, process 的 effective uid/gid 是從 parent 繼承, 或簡單說是與 shell 的 uid/gid 一樣.
shell 的 uid/gid 則是跟據 /etc/passwd 的第 3 與 第 4 欄位決定.

當我們有了以上的概念之後, 再來看 suid 對 effective uid/gid 的影響:
若 binary file 帶有 suid/sgid 的時候,
其 effective id 就不是從 parent 那邊繼承, 而是以 binary file 本身的 user/group 為準.

舉例而言, 若一個 prog1 的 user/group 都是 root , 但沒設 suid/sgid ,
那當一個 uid(500)/gid(500) 的 parent process 執行這個 prog1 的話,
那 effective uid/gid 就是 500 ...
但若 prog1 設了 suid/sgid 後, 那其 effective uid/gid 就是 root !

一旦這個 process effective 是 root 的話, 那它對 file system 的 permission 就如脫繮野馬般任意奔騰而不受限制了.
因此我才在前面提到木馬程式與病毒的例子...
試想一下: 若病毒的 user/group 被設為 root, 然後被一般 user 執行時,
suid/sgid 的有與無將導致甚麼不同結果?

好了, 由於 suid/sgid 在系統上有其存在的必要性(舉 /usr/bin/passwd 與 /etc/shadow 為例),
但同時又有極大的殺傷力, 在應用上要異常小心!
因此, bash shell script 在先天上不支援 suid/sgid .
perl 亦如此, 除非額外再安裝 suid-perl ....

碰到安全問題, 每一個系統使用者(尤其是管理員)都應小心慎重對待.
或以一句話來總結的話, 就是:
--- 勿以善小而不為, 勿以惡小而為之!

p.s.
以上, 我還沒提到 suid/sgid 對 directory 的作用.
有空再補充吧.