Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Unix-подобные системы

Линукс предварительное разрешение [закрыто]

На чтение 4 мин Опубликовано

Вопрос или проблема

Задачи:

как альфа-пользователь:

Создайте новый файл простого скрипта BASH и установите разрешение SUID.
Проверьте, установлен ли бит SUID на файле. Запустите файл как бета-пользователь, чтобы убедиться, что он выполняется с разрешениями владельца.
два пользователя:

Создайте новый каталог и установите разрешение SGID.
Проверьте, установлен ли бит SGID на каталоге. Создайте новый файл как бета-пользователь в каталоге и убедитесь, что он наследует групповую принадлежность.
два пользователя:

Создайте новый каталог и установите разрешение Sticky Bit.
Проверьте, установлен ли бит Sticky Bit в каталоге. Создайте новый файл в каталоге как альфа-пользователь. Попробуйте удалить или переименовать его как бета-пользователь, чтобы убедиться, что это не разрешено.

Бит SUID не работает на скриптовых файлах. Это интерпретатор, который выполняется ОС, поэтому именно интерпретатор должен иметь SUID для выполнения скрипта от имени другого пользователя, но делать интерпретатор SUID очевидно не стоит.

Используйте sudo при вызове скрипта, если нужно выполнить скрипт от имени другого пользователя, или используйте sudo для определенных команд внутри скрипта (часто нет необходимости выполнять все команды или весь скрипт таким образом). sudo — это не просто “выполнить от имени root”, а “выполнить от имени (того пользователя)”, и вы можете даже ограничить, какие команды могут быть выполнены, поэтому это единственный выход.

.

Ответ или решение

Понимание расширенных разрешений в Linux играет ключевую роль в обеспечении безопасности и функциональности системы. В контексте поставленной задачи рассматривается использование таких специальных разрешений как SUID, SGID и Sticky Bit, а также безопасность исполнения скриптов. Основная цель – продемонстрировать применение этих механизмов через конкретные задания с участием двух пользователей: alpha-user и beta-user.

Теория

  1. SUID (Set User ID)

    SUID используется для временного изменения эффективного идентификатора пользователя процесса, вызывающего файл. Это означает, что файл будет выполняться с правами владельца файла, а не с правами пользователя, его запустившего. Однако использование SUID для скриптов является небезопасным и в большинстве случаев заблокировано системами, потому что это может привести к серьезным уязвимостям безопасности. Вместо этого рекомендуется использовать sudo для выполнения скриптов от имени другого пользователя.

  2. SGID (Set Group ID)

    SGID работает по аналогии с SUID, но с фокусом на групповые разрешения. В контексте директорий SGID обеспечивает, что все файлы, созданные в директории, наследуют группу от родительской директории, а не от пользователя, который создал файл. Это особенно полезно в средах, где над проектами работают несколько пользователей и требуется общий доступ к файлам.

  3. Sticky Bit

    Sticky Bit, когда установлен на директории, ограничивает возможность удаления или переименования файлов в этой директории только владельцем файла, владельцем директории или суперпользователем. Это часто применяется в общих директориях, таких как /tmp, чтобы предотвратить случайное удаление файлов другими пользователями.

Пример

  1. Работа с SUID

    Представьте, что вам нужно написать простой скрипт, который требует выполнения с повышенными привилегиями. Однако установка SUID на скрипт – плохая практика и фактически не поддерживается. Правильным подходом будет использование sudo. Например, ваш сценарий может включать вызов к sudo следующим образом:

    #!/bin/bash
sudo command_that_needs_privileges

    За определенными командами в скрипте может быть разрешено выполнение через sudo, что дает гибкость и безопасность.

  2. Работа с SGID

    Чтобы создать директорию с SGID, выполните:

    mkdir mydirectory
chmod g+s mydirectory

    Теперь, если beta-user создаст файл в этой директории:

    touch mydirectory/newfile

    Группа владельца файла будет соответствовать группе директории, а не группе пользователя beta-user.

  3. Sticky Bit

    Чтобы установить Sticky Bit на директорию и проверить его правильность работы, выполните следующие команды:

    mkdir stickydir
chmod +t stickydir

    Сценарий проверки возможности удаления/переименования файла выполнит beta-user:

    touch stickydir/alpha_file

    Beta-user не сможет удалить alpha_file, созданный alpha-user, в этой директории.

Применение

В реальной практике все перечисленные разрешения способствуют поддержанию безопасной и управляемой среды. Использование sudo в скриптах позволяет контролировать доступ, минимизируя риск несанкционированного выполнения. SGID полезен для облегчения совместной работы над проектами, ограничивая необходимость в постоянной смене владельцев и групп файлов. Sticky Bit обеспечивает безопасность в директориях с общим доступом к файлам несколькими пользователями, предотвращая случайное или преднамеренное удаление важных данных.

Таким образом, зная о теоретических основах и примерах использования, специалисты могут эффективно применять эти механизмы для создания более безопасной и управляемой вычислительной среды. Веление времени и технологический прогресс диктуют обязательное знание и практическое использование расширенных разрешений в операционных системах на базе Linux.

bash
Оцените материал
Добавить комментарий

Капча загружается...

© 2025 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности