SUID --> Set User ID
SGID --> Set Group ID
SUID的作用就是:讓本來沒有相應許可權的用戶運行這個程式時,可以訪問沒有許可權訪問的資源。
UNIX下關於檔案許可權的表示方法和解析
SUIDUNIX下可以用ls -l 命令來看到檔案許可權。用ls命令所得到的表示法的格式是類似這樣的:-rwxr-xr-x 。
下面解析一下格式所表示的意思,這種表示方法一共有十位:
9 8 7 6 5 4 3 2 1 0
- r w x r - x r - x
第9位表示檔案類型,可以為p、d、l、s、c、b和-:
p表示命名管道檔案
d表示目錄檔案
l表示符號連線檔案
-表示普通檔案
s表示socket檔案
c表示字元設備檔案
b表示塊設備檔案
第8-6位、5-3位、2-0位分別表示檔案所有者的許可權,同組用戶的許可權,其他用戶的許可權,其形式為rwx:
r表示可讀,可以讀出檔案的內容
w表示可寫,可以修改檔案的內容
x表示可執行,可運行這個程式
沒有許可權的位置用-表示
例子:
rwxr-x--- 1 foo staff 7734 Apr 05 17:07 myfile
表示檔案myfile是普通檔案,檔案的所有者是foo用戶,而foo用戶屬於staff組,檔案只有1個硬連線,長度是7734個位元組,最後修改時間4月5日17:07。
所有者foo對檔案有讀寫執行許可權,staff組的成員對檔案有讀和執行許可權,其他的用戶對這個檔案沒有許可權。
如果一個檔案被設定了SUID或SGID位,會分別表現在所有者或同組用戶許可權的可執行位上。例如
1、-rwsr-xr-x 表示SUID和所有者許可權中可執行位被設定
2、-rwSr--r-- 表示SUID被設定,但所有者許可權中可執行位沒有被設定
3、-rwxr-sr-x 表示SGID和同組用戶許可權中可執行位被設定
4、-rw-r-Sr-- 表示SGID被設定,但同組用戶許可權中可執行位沒有被設定
其實在UNIX的實現中,檔案許可權用12個二進制位表示,如果該位置上的值是1,表示有相應的許可權:
11 10 9 8 7 6 5 4 3 2 1 0
S G T r w x r w x r w x
第11位為SUID位,第10位為SGID位,第9位為sticky位,第8-0位對應於上面的三組rwx位。
-rwsr-xr-x的值為: 1 0 0 1 1 1 1 0 1 1 0 1
-rw-r-Sr--的值為: 0 1 0 1 1 0 1 0 0 1 0 0
給檔案加SUID和SUID的命令如下:
chmod u+s filename 設定SUID位
chmod u-s filename 去掉SUID設定
chmod g+s filename 設定SGID位
chmod g-s filename 去掉SGID設定
另外一種方法是chmod命令用八進制表示方法的設定。如果明白了前面的12位許可權表示法也很簡單。
詳細解析
SUID由於SUID和SGID是在執行程式(程式的可執行位被設定)時起作用,而可執行位只對普通檔案和目錄檔案有意義,所以設定其他種類檔案的SUID和SGID位是沒有多大意義的。
普通檔案的SUID和SGID的作用
例子:如果普通檔案myfile是屬於foo用戶的,是可執行的,現在沒設SUID位,ls命令顯示如下:
-rwxr-xr-x 1 foo staff 7734 Apr 05 17:07 myfile
任何用戶都可以執行這個程式。UNIX的核心是根據什麼來確定一個進程對資源的訪問許可權的呢?是這個進程的運行用戶的(有效)ID,包括user id和group id。用戶可以用id命令來查到自己的或其他用戶的user id和group id。除了一般的user id 和group id外,還有兩個稱之為effective id,就是有效id,上面的四個id表示為:uid,gid,euid,egid。核心主要是根據euid和egid來確定進程對資源的訪問許可權。
一個進程如果沒有SUID或SGID位,則euid=uid egid=gid,分別是運行這個程式的用戶的uid和gid。例如kevin用戶的uid和gid分別為204和202,foo用戶的uid和gid為200,201,kevin運行myfile程式形成的進程的euid=uid=204,egid=gid=202,核心根據這些值來判斷進程對資源訪問的限制,其實就是kevin用戶對資源訪問的許可權,和foo沒關係。
如果一個程式設定了SUID,則euid和egid變成被運行的程式的所有者的uid和gid,例如kevin用戶運行myfile,euid=200,egid=201,uid=204,gid=202,則這個進程具有它的屬主foo的資源訪問許可權。
SUID的作用就是這樣:讓本來沒有相應許可權的用戶運行這個程式時,可以訪問沒有許可權訪問的資源。passwd就是一個很鮮明的例子。SUID的優先權比SGID高,當一個可執行程式設定了SUID,則SGID會自動變成相應的egid。
討論一個例子:
UNIX系統有一個/dev/kmem的設備檔案,是一個字元設備檔案,裡面存儲了核心程式要訪問的數據,包括用戶的口令。所以這個檔案不能給一般的用戶讀寫,許可權設為:cr--r----- 1 root system 2, 1 May 25 1998 kmem
但ps等程式要讀這個檔案,而ps的許可權設定如下:
-r-xr-sr-x 1 bin system 59346 Apr 05 1998 ps
這是一個設定了SGID的程式,而ps的用戶是bin,不是root,所以不能設定SUID來訪問kmem,bin和root都屬於system組,而且ps設定了SGID,一般用戶執行ps,就會獲得system組用戶的許可權,而檔案kmem的同組用戶的許可權是可讀,所以一般用戶執行ps就沒問題了。但有些人說,為什麼不把ps程式設定為root用戶的程式,然後設定SUID位,不也行嗎?這的確可以解決問題,但實際中為什麼不這樣做呢?因為SGID的風險比SUID小得多,所以出於系統安全的考慮,應該儘量用SGID代替SUID的程式,如果可能的話。
SUID對目錄沒有影響。如果一個目錄設定了SGID位,那么如果任何一個用戶對這個目錄有寫許可權的話,在這個目錄所建立的檔案的組都會自動轉為這個目錄的屬主所在的組,而檔案所有者不變,還是屬於建立這個檔案的用戶。
關於SUID和SGID的編程
和SUID和SGID編程比較密切相關的有以下的頭檔案和函式:
#include
#include
uid_t getuid(void);
uid_t geteuid(void);
gid_t getgid (void);
gid_t getegid (void);
int setuid (uid_t UID);
int setruid (uid_t RUID);
int seteuid (uid_t EUID);
int setreuid (uid_t RUID,uid_t EUID);
int setgid (gid_t GID);
int setrgid (gid_t RGID);
int setegid (git_t EGID);
int setregid (gid_t RGID, gid_t EGID);
