Seltsames Verhalten für Setuid und Setgid

596
yuanlinios

Ich mache ein kleines Experiment mit speziellen Privilegien wie folgt:

[root@localhost~]# useradd user1 [root@localhost~]# cp /bin/touch /home/ [root@localhost~]# chown user1:user1 /home/touch [root@localhost~]# chmod u+s,g+s /home/touch [root@localhost~]# ls -l /home/touch -rwsr-sr-x 1 user1 user1 52656 Jun 26 14:17 /home/touch [root@localhost~]# chmod o+w /usr/local/etc/ [root@localhost~]# ls -ld /usr/local/etc drwxr-xrwx.2 root root 4096 Jun 26 14:14 /usr/local/etc/ [root@localhost~]# /home/touch /usr/local/etc/root.1 /home/touch: cannot touch '/usr/local/etc/root.1': Permission denied

Da sowohl das suid-Bit als auch das sgid-Bit für die ausführbare Datei gesetzt sind /home/touch, habe ich erwartet, dass, wenn root den Befehl ausführt /home/touch /usr/local/etc/root.1, der effektive Befehl user:groupsein user1:user1sollte, der Schreibzugriff auf das /usr/local/etcVerzeichnis haben sollte (siehe o=rwx).

Aber das Ergebnis hat mich verwirrt. Jeder, der zur rootGruppe gehört, wird wie root ausfallen, aber andere Benutzer können den obigen Befehl erfolgreich ausführen.

Erst nachdem ich den Verzeichnismodus geändert habe chmod g+w /usr/local/etc, können Benutzer, die zur rootGruppe gehören, den Befehl ohne Berechtigungsfehler ausführen.

Sollte nicht die effektive Benutzergruppe für alle Läufer /home/touchsein user1:user1? Was ist los mit der Root-Gruppe? Habe ich etwas vergessen?

Ich habe das Experiment auf RHEL 6.4 64-Bit genommen

1
Ich stelle fest, dass die Ausgabe der Berechtigungen für `/ usr / local / etc` („ drwxr-xrwx.` “) mit einem Punkt endet. Dies kann bedeuten, dass das Verzeichnis eine ACL hat. Kannst du das überprüfen? Scott vor 9 Jahren 1
Nun, ein Verzeichnis oder eine Datei mit ACL wird mit "+" anstelle von "." Beendet. yuanlinios vor 9 Jahren 0
Ich habe mir die 'ls'-Dokumentation angesehen. Es heißt: GNU 'ls' benutzt ein '.' um eine Datei mit einem SELinux-Sicherheitskontext anzuzeigen. In meiner Umgebung ist die SELinux-Funktion nur deaktiviert. yuanlinios vor 9 Jahren 0

0 Antworten auf die Frage

Verwandte Probleme