Pomoc s 's' bitem

Petr Snajdr snajdr na pvt.net
Středa Březen 26 16:27:15 CET 1997


Jaroslav Benkovsky wrote:
> 
> Petr Hajek wrote:
> >
> > Zdravim vsechny prispivatele do teto konference,
> > mam jeden problem, v zadne literature jsem nenasel odpoved na to jak

Bach : Principy OS Unix

Kapitola 7.5


> > funguje suid bit nebo 's' bit (propujceni identity).
> > V systemu linux jsem narazil na nekolik utilitek, ktere maji nastaveny
> > tyto prava:
> >
> > -rwsr-xr-x   1 root     root
> >
> > Muze se nejaky uzivatel dostat pomoci techto prav na root uzivatele ?
> >
> > Jaky je princip fungovani programu s temito pristupovymi pravy ?
> 
> chcete radu? man chmod ;-)
> 
> Strucne: program muze mit mimo jine nastaveny SUID a/nebo SGID
> bit. Kdyz potom nekdo spusti takovyto program, vytvori se
> normalni proces, ktery ale nebezi s pravy uzivatele, ktery
> ho spustil, ale s pravy vlastnika/skupiny programu.


> SUID skripty je lepsi nepsat vubec - snadno se v nich
> docili chyby umoznujici spusteni nezamysleneho procesu
> s rootovskymi pravy, navic je do nich dobre videt,
> reaguji na obskurni environment promenne apod.
> Nektere systemy ostatne bez zvlastnich uprav vubec SUID
> skripty nespousteji.

pokud se nepletu :-) pak nektere shelly  funguji se s bitem jakoby tam
nebyl. 

> 
> BTW: Jeste k tem pravum: Kazdy proces ma dvoje prava -
> efektivni a realna. Realne se nemeni, ale efektivni
> se zmeni v SUID programech. Nektere programy ovsem
> vyzaduji, aby _realna_ prava byla rootovska - a to byl
> (nebo porad je) prave pripad prikazu mount. Takze
> spousteni pres SUID programy vam na ne nepomuze.
> 

Cetl jsem si to nedavno v Bachovi a mam maly dotaz.

modelova situace:

   Potrebuji spustit  z rc.d program,ale s mensimi pravy nez root,ale
tak aby se
onen proces nebyl schopen vratit k tem puvodnim.

Existuje totiz nejenom realne UID a efektivni UID,ale jeste neco jako
"uschovane"
uid. toto uid by melo umoznit procesu  nove nastaveni efektivniho uid
tj.defakto  obnovit sve 
puvodni efektivni uid. Zajimalo by me
       - jak to funguje v linuxu
       - jak tomu zabranit 

pokud jsem tomu dobre pochopil je to tak,ze
pokud realne i efektivni  uid je rovno superuzivateli - nenastavi se
volanim suid
jen efektivni uid,ale i realne a to tak,ze nevratne ? Je to tak ?
 
 
>                                         Edheldil

s pozdravem
   Petr Snajdr


Další informace o konferenci Linux