Setuid / Setgid: Difference between revisions
| Line 57: | Line 57: | ||
„'''s'''“ bit näitab grupiõigustes Setgid määratletust. Kõik kasutajad käivitavad netreport faili juurgrupi (root) õigustega. | „'''s'''“ bit näitab grupiõigustes Setgid määratletust. Kõik kasutajad käivitavad netreport faili juurgrupi (root) õigustega. | ||
| Line 69: | Line 71: | ||
Kui hetkel Mati looks faili Dokumentatsioon.txt, siis Dokumentatsioon.txt fail kuulub grupile Arendaja.: | Kui hetkel Mati looks faili Dokumentatsioon.txt, siis Dokumentatsioon.txt fail kuulub grupile Arendaja.: | ||
{|style="background:lightyellow;width:1000px;margin:3px;border:1px solid lightgrey" | {|style="background:lightyellow;width:1000px;margin:3px;border:1px solid lightgrey" | ||
| style="padding:0px 0px 0px 80px;font-family:courier;font-size:8pt;" | touch Dokumentatsioon.txt | | style="padding:0px 0px 0px 80px;font-family:courier;font-size:8pt;" | touch Dokumentatsioon.txt | ||
| Line 79: | Line 79: | ||
Selleks, et Kati (Rakadmin)saaks kirjutada dokumentatsioonifaili muudatusi tuleb kõigepealt määrata kaustale Projekt Setgid: | Selleks, et Kati (Rakadmin)saaks kirjutada dokumentatsioonifaili muudatusi tuleb kõigepealt määrata kaustale Projekt Setgid: | ||
{|style="background:lightyellow;width:300px;margin:3px;border:1px solid lightgrey" align=centre | {|style="background:lightyellow;width:300px;margin:3px;border:1px solid lightgrey" align=centre | ||
| style="padding:0px 0px 0px 80px;font-family:courier;font-size:8pt;" | chmod g+s /projekt | | style="padding:0px 0px 0px 80px;font-family:courier;font-size:8pt;" | chmod g+s /projekt | ||
| Line 93: | Line 92: | ||
Nüüd kui Mati(Arendaja) looks uuesti faili Dokumentatsioon.txt tekiks fail kuuluks grupile Projekt, mis tagab kirjutamisõiguse ka Katile(Rakadmin): | Nüüd kui Mati(Arendaja) looks uuesti faili Dokumentatsioon.txt tekiks fail kuuluks grupile Projekt, mis tagab kirjutamisõiguse ka Katile(Rakadmin): | ||
{|style="background:lightyellow;width:1000px;margin:3px;border:1px solid lightgrey" | {|style="background:lightyellow;width:1000px;margin:3px;border:1px solid lightgrey" | ||
| style="padding:0px 0px 0px 80px;font-family:courier;font-size:8pt;" | touch Dokumentatsioon.txt | | style="padding:0px 0px 0px 80px;font-family:courier;font-size:8pt;" | touch Dokumentatsioon.txt | ||
Revision as of 03:48, 7 December 2016
Autor
Martin Abel A41
Sissejuhatus
Setuid / SUID (set user id) on kasutajapõhine õiguste bit. Setuid-ga antakse kasutajale õigus käivitada programm / fail omanikuõigustega. Setgid / SGID (set group id) on grupipõhine õiguste bit. Setgid-ga antakse kasutajale õigused käivitada programm / fail omanikugrupi õigustega.
Setuid ja Setgid lisamine
Setuid ja Setgid õiguseid jagatakse chmod käsuga. Setuid ja Setgid saab määratleda nii loabittide (numbrite kujul). Loetavas formaadis (r - read, w - write, x - execute), kus: u - user(omanik); g - group(grupp); o - other(teised kasutajad); a - all(kõik: omanik, grupp kui ka teised kasutajad.) Setuid-i saab määrata ainult omanikuõigustele (u.) Setgid-i saab määrata ainult grupiõigustele (g.)
Näited:
Loetavas formaadis:
- Setuid lisamine:
| chmod u+s /usr/bin/passwd |
Antud käsuga anti igale kasutajale õigus muuta enda parooli. Parooli muutes käivitatakse passwd faili juurkasutaja (root) õigustega.
Tulemus:
| ls -l /usr/bin/passwd
-rwsr-xr-x 1 root root 0 2016-11-28 02:46 /usr/bin/passwd |
Vaatamaks kas failil on Setuid määratletud, kasutatakse käsku ls -l. „s“ bit näitab kasutajaõigustes Setuid määratletust.
- Setuid eemaldamine:
| chmod u-s /usr/bin/passwd |
Tulemus:
| ls -l /usr/bin/passwd
-rwxr-xr-x 1 root root 0 2016-11-28 02:46 /usr/bin/passwd |
Antud käsuga eemaldati kasutajatelt õigus muuta enda parooli. Ainult juurkasutaja (root) saab parooli muuta, sest tal on ainsana kirjutamis (write) õigus. „x“ bit näitab käivitamis (execute) õigust.
- Setgid lisamine (failid):
| chmod g+s sbin/netreport |
Tulemus:
| ls -l /sbin/netreport
-rwxr-sr-x 1 root root 0 2016-11-28 02:46 /sbin/netreport |
„s“ bit näitab grupiõigustes Setgid määratletust. Kõik kasutajad käivitavad netreport faili juurgrupi (root) õigustega.
- Setgid lisamine (kaustad):
On kaust mille omanik on root ja kaust kuulub grupile Projekt. On kaks kasutajat Mati (kodugrupp arendaja) ja Kati (kodugrupp rakadmin). Nii Mati kui ka Kati kuuluvad gruppi Projekt.
| ls -l /projekt
drwxrwxr-x 1 root Projekt 0 2016-11-28 02:46 /projekt |
d - näitab tegemist on kaustaga (directory).
Kui hetkel Mati looks faili Dokumentatsioon.txt, siis Dokumentatsioon.txt fail kuulub grupile Arendaja.:
| touch Dokumentatsioon.txt
ls -l -rwxrwxr-x 1 root Arendaja 0 2016-11-28 02:46 Dokumentatsioon.txt |
Selleks, et Kati (Rakadmin)saaks kirjutada dokumentatsioonifaili muudatusi tuleb kõigepealt määrata kaustale Projekt Setgid:
| chmod g+s /projekt |
Tulemus:
| ls -l /projekt
drwxrwsr-x 1 root projekt 0 2016-11-28 02:46 /projekt |
„s“ bit näitab grupiõigustes Setgid määratletust.
Nüüd kui Mati(Arendaja) looks uuesti faili Dokumentatsioon.txt tekiks fail kuuluks grupile Projekt, mis tagab kirjutamisõiguse ka Katile(Rakadmin):
| touch Dokumentatsioon.txt
ls -l -rwxrwxr-x 1 root Projekt 0 2016-11-28 02:46 Dokumentatsioon.txt |
- Setgid eemaldamine:
| chmod g-s sbin/netreport |
Tulemus:
| ls -l /sbin/netreport
-rwxr-xr-x 1 root root 0 2016-11-28 02:46 /sbin/netreport |
Kõik kasutajad käivitavad netreport faili vastavalt enda õigustele või gruppi kuuluvusele.
Loabittide formaadis (numbrite kujul):
Setuid määramiseks tuleb loabittide ette kirjutada 4 ja õigusbitid(775) järgi. Kus (775) on faili omanikul r,w,x õigused; (775) grupil r,w,x õigused ja (775)teistel kasutajatel r,x õigused. Read - 4; Write - 2; Execute 1 => rwx=4+2+1=7 ja rx=4+1=5
Näiteks soovime anda failile Setuid:
- lisamiseks:
| chmod 4775 kaust/failinimi |
Tulemus:
| ls -l /kaust/failinimi/
-rwsrwxr-x 1 root root 0 2016-11-28 02:46 /kaust/failinimi/ |
- eemaldamiseks:
| chmod 0775 kaust/failinimi |
Tulemus:
| ls -l /kaust/failinimi/
-rwxrwxr-x 1 root root 0 2016-11-28 02:46 /kaust/failinimi/ |
Setgid määramiseks tuleb loabittide ette kirjutada 2, sama põhimõte nagu ka Setuid-lgi.
- lisamiseks:
| chmod 2775 kaust/failinimi |
Tulemus:
| ls -l /kaust/failinimi/
-rwxrwsr-x 1 root root 0 2016-11-28 02:46 /kaust/failinimi/ |
- eemaldamiseks:
| chmod 0775 kaust/failinimi |
Tulemus:
| ls -l /kaust/failinimi/
-rwxrwxr-x 1 root root 0 2016-11-28 02:46 /kaust/failinimi/ |
Setuid ja Setgid määramiseks tuleb kasutada loabitti 6.
- lisamiseks:
| chmod 6775 kaust/failinimi |
Tulemus:
| ls -l /kaust/failinimi/
-rwsrwsr-x 1 root root 0 2016-11-28 02:46 /kaust/failinimi/ |
- eemaldamiseks:
| chmod 0775 kaust/failinimi |
Tulemus:
| ls -l /kaust/failinimi/
-rwxrwxr-x 1 root root 0 2016-11-28 02:46 /kaust/failinimi/ |
Failide leidmine millele on määratletud Setuid või Setgid:
- Setuid:
| find / -type f -perm /4000 |
- Setgid:
| find / -type f -perm /2000 |
- Setgid + Setuid:
| find / -type f -perm /6000 |
Kokkuvõte
Setuid on kasulik õiguste jagamise viis konkreetsetele failidele. Tavakasutajale ei pea andma näiteks juurkasutaja õiguseid, et kindlates failides teha muudatusi. Setuid võimaldab jagada kasutajaõiguseid paindlikumalt ilma turvariski tõstmata. Setgid on kasulik grupi õiguste jagamise viis konkreetsele failile ilma faili omanikugruppi muutmata. Võimaldab jagada grupile õiguseid paindlikumalt ilma turvariski tõstmata.
Kasutatud kirjandus:
- http://linuxg.net/how-to-set-the-Setuid-and-Setgid-bit-for-files-in-linux-and-unix/
- https://docs.oracle.com/cd/E19683-01/816-4883/secfile-69/index.html
- http://thegeekdiary.com/what-is-suid-sgid-and-sticky-bit/
- http://www.codecoffee.com/tipsforlinux/articles/028.html
- http://kuutorvaja.eenet.ee/kasutamine/os/failioigused.html
- http://linoxide.com/how-tos/stickbit-suid-guid/
