以其他用户身份运行二进制文件

CentOS 上的每个程序都在用户帐户的环境中运行, 而不管该程序是由用户执行还是作为自动系统进程运行。但是, 有时我们希望程序以不同的限制运行, 并访问允许该帐户的这些权限。例如, 用户应该能够使用 passwd command 来重置其密码。该命令需要对/etc/passwd 的写入访问权限, 但我们不希望运行该命令的用户具有这样的访问权限。此配方教您如何设置程序的 SUID 和 SGID 权限位, 使其能够在不同用户的环境中执行。

准备

需要一个 CentOS 系统。还需要管理权限, 方法是使用根帐户登录或使用 sudo。

如何来做

请按照以下步骤操作, 以允许程序以其他用户的身份执行:

• 使用 ls 命令标识文件的所有者和组详细信息。其输出中的第三个字段列出所有者, 第四个字段列出组:

ls -l myscript.sh

• "-L" 选项以长格式显示文件列表, 其中包括所有权信息
• 如有必要, 请使用 chown 更改文件的所有权, 以便所有者是您希望脚本在其中执行其环境的所有者:

chown newuser:newgroup myscript.sh

• 将 SUID 位设置为允许程序运行, 就像它的所有者调用它一样:

chmod u+s myscript.sh

• 将 SGID 位设置为允许程序运行, 就像由其组的成员调用一样:

chmod g+s myscript.sh

它是如何工作的

设置文件的 SUID 和 SGID 位后, 程序将在其所有者或组的环境中运行, 而不是在调用它的用户的环境中运行。这通常是通过无特权用户应该有权访问的管理程序来完成的, 但程序本身需要管理权限才能正常运行。

位是使用 chown 设置的, 并设置为针对 SUID 位。具有 SUID 位设置的脚本将使用其所有者拥有的权限执行。g 设置为针对 SGID 位, 该位允许脚本以其组成员的权限执行。直觉上, + 设置位并-删除位, 然后允许程序在调用用户的环境中执行。

chmod u-s myscript.sh
chmod g-s myscript.sh

SUID 和 SGID 可以用数字方式设置, 因为 SUID 的值为 4, SGID 的值为2。这些可以汇总在一起, 并在数字权限值中显示为最左侧的数字。例如, 下面设置 SUID 位, 即文件所有者的读取、写入和执行位;读取、写入和执行组成员的位;并为其他人读取和执行位:

chmod 4775 myscript.sh

但是, 数字方法要求您指定文件的所有权限。如果您需要这样做, 并且想要同时设置 SUID 或 SGID 位, 则这不是问题。否则, 使用 + 或-添加或减去缩进位可能更方便。

使用带有 chmod 的助记符设置位也适用于标准权限。u、g 和目标为其所有者 (u 表示用户)、组 (g 表示组) 和其他人 (a 表示所有) 提供所需的位。读取访问的字符为 r、写入 w 和执行 x。下面是使用助记符的几个示例:

• 允许文件的所有者执行该文件:

chmod o+x myscript.sh

• 允许组成员读取文件:

chmod g+r myfile.txt

• 防止所有不是组所有者或成员的人写入文件:

chmod a-w readonly.txt

See also

Refer to the following resource for more information about chmod and setting the SUID and SGID bits.

• The chmod man page (https://linux.die.net/man/1/chmod)
• How to set the SetUID and SetGID bit for files in Linux and Unix (http://linuxg.net/how-to-set-the-setuid-and-setgid-bit-for-files-in-linux-and-unix/)
• Wikipedia: Setuid (https://en.wikipedia.org/wiki/Setuid)