- Gỡ bỏ quyền hạn truy cập đã được chỉ định từ một file hoặc thư mục
Quyền hạn truy cập SUID và SGID (thiết lập ID cá nhân và nhóm) trong Unix/Linu
nhân và nhóm) trong Unix/Linux
Thông thường khi một lệnh được chạy, nó sẽ phải chạy cùng với các đặc quyền đặc biệt để thực hiện nhiệm vụ của nó.
Như một ví dụ, khi bạn thay đổi mật khẩu với lệnh passwd, mật khẩu mới được giữ trong tệp /etc/shadow.
Khi là một người sử dụng thường, bạn không có được quyền truy cập để đọc hoặc viết tới file này do các lý do bảo mật, nhưng khi bạn thay đổi mật khẩu, bạn cần có quyền viết tới file này. Điều này có nghĩa là chương trình passwd phải cung cấp cho bạn các quyền thêm để bạn có thể viết etc/shadow.
Các quyền thêm vào được cung cấp tới chương trình thông qua một kỹ thuật được biết đến
là Thiết lập ID người sử dụng (Set User ID – SUID bit) và Thiết lập ID nhóm (Set Group ID – SGID
bit).
Khi bạn chạy một chương trình mà có quyền hạn truy cập SUID, bạn sử dụng nó để thay đổi sở hữu của chương trình đó. Các chương trình mà không thiết lập SUID thì đang chạy với quyền hạn truy cập của người sử dụng mà khởi động chương trình.
Điều này là đúng với SGID. Các chương trình thông thường chạy với quyền hạn truy cập nhóm, nhưng thay vào đó, nó chỉ thay đổi sở hữu nhóm cho chương trình đang chạy chứ không thay đổi cho chương trình khác của nhóm.
http://vietjack.com/ Trang chia sẻ các bài học online miễn phí Page 26 Các bit SUID bit và SGID bit sẽ xuất hiện bằng ký tự “s” nếu quyền hạn truy cập là có sẵn. SUID “s” Các bit SUID bit và SGID bit sẽ xuất hiện bằng ký tự “s” nếu quyền hạn truy cập là có sẵn. SUID “s” bit sẽ được đặt trong các permission bit, nơi mà người sở hữu thực thi sẽ có thẩm quyền. Ví dụ, lệnh sau:
$ ls -l /usr/bin/passwd
-r-sr-xr-x 1 root bin 19031 Feb 7 13:47 /usr/bin/passwd* $
Điều này chỉ rằng SUID bit được thiết lập và lệnh được sở hữu bởi sở hữu gốc. Ký tự viết hoa S trong vị trí thực thi thay cho chữ thường s chỉ rằng bit của thực thi không được thiết lập.
Nếu sticky bit được cho phép trên thư mục, các file chỉ có thể được gỡ bỏ nếu bạn là một trong những người sử dụng sau:
Người sở hữu của thư mục sticky; Người sở hữu của các file bị gỡ bỏ; Người sở hữu gốc
Để thiết lập các SUID bit và SGID bit cho bất kỳ thư mục, bạn thử cú pháp sau:
$ chmod ug+s dirname $ ls -l
drwsr-sr-x 2 root root 4096 Jun 19 06:45 dirname $