Board logo

标题: Unix中将root权限下放给其他用户 [打印本页]

作者: wuyangbo11    时间: 2010-3-17 10:08     标题: Unix中将root权限下放给其他用户

  在实际工作中,Unix系统工程师可能需要将一些本来应该是root用户才能够运行的一些命令程序下放给普通的用户进行执行。如passwd命令,默认情况下只有root管理员才能够修改用户帐户的密码。不过系统工程师更喜欢用户自己来修改密码。如此的话,用户自己的密码只有自己知道,可能更加的安全。当用户忘记了自己的密码之后,系统工程再利用root帐户的权限去初始化用户的密码。在Windows系统中,这个功能可以轻而易举的实现。不过在Unix系统中,实现起来就没有这么容易了。在这篇文章中,笔者就跟大家讨论一下这个话题。
  一、有效的UID与真实的UID。
  当系统管理员在shell环境中运行passwd命令时,shell首先会创建另一个shell进程。新创建的shell进程映像将载入passwd可执行映像并覆盖自己的映像,passwd进程就开始运行。当一个进程被创建之后,passwd进程会从shell父进程中继承大部分的属性。跟今天这个话题有关的属性主要有两个。一是进程真实的UID。这个属性与程序文件有关。这个参数代表了运行这个进程的用户(而非程序文件)的UID,通常情况下这个参数保存在/etc/passwd中与用户有关的记录中。二是进程有效的UID。这个参数其实就表示程序文件的所有者,即谁能够执行这个命令。通常情况下,进程的有效UID与真实UID是相同的。但是当非root用户运行passwd命令时,他们就会不同。
  二、PASSWD文件的特殊性。
  在讲解如何实现将root帐户的权限下放给其他用户之前,笔者要先给大家介绍一下passwd这个命令文件跟其他文件的不同。如下图所示,系统管理员可以运行图中所示的命令,来查看passwd程序文件与其它程序文件(如vi)的不同。

  对比以上两个文件的属性,大家会发现在passwd文件里的一个权限位上标有s这个特殊的字符。这个参数就被称为属主身份设置位,英文简称为SUID,它可以用来改变一般用户的权限模式。当非root用户执行passwd更改自己帐户的名字时,真实的UID就是这个用户自己的UID,即运行这个程序的用户。但是有效的UID则不是。有效的UID是root用户,即这个程序文件的所有者。通常情况下,进程或者命令的存取、运行权限不是由真是UID而是有有效UID决定的,故如果没有这个s这个特殊属主身份设置时,其他用户将无法使用这个命令。而现在其他用户也可以利用passwd命令来更改自己的命令,可见这个属主身份设置位可以改变一般用户的权限模式,可以将本来只有root帐户才能够运行的进程下放给其他用户运行。
  三、临时权限SUID。
  将本来只有root帐户才能够运行的进程下放给其他用户运行,有专家就把这种权限的转移叫做临时权限SUID。大部分的Unix系统都有这么一个特殊的权限设置模式,允许用户更新一些敏感的系统文件。往往在这些文件的用户权限组里面有一个特殊的字母s,就代表一种特殊的模式,即属主身份设置位。利用这种模式系统工程师可以让进程暂时拥有文件所有者的特权。因此当一个非特权用户执行passwd命令时,进城有效的UID并不是用户真实的UID。Passwd命令真是利用这个特性让其他非特权用户可以执行这个passwd命令。Passwd命令默认情况下系统就允许其他非特权用户运行。但是其他一些系统维护命令,如网络配置文件则不是。如果系统工程师要把网络维护的工作分配给他人,就需要借鉴passwd的配置,将网络配置文件的修改权限下放给其他用户。
作者: oyqa    时间: 2010-3-17 10:09

四、临时权限的设置。
  正如上面所说的,默认情况下只有少数的只有root用户才能够执行的命令其他用户也可以执行。如果在日常工作中,系统工程师希望其他用户也能够执行root权限才能够执行的命令,则系统管理员需要进行额外的配置。这个配置也比较简单,就是跟passwd命令文件一样,也在需要配置的文件权限组中加入s属主设置位即可。
  通常情况下,Unix操作系统可以利用两种方式来添加这个S属主设置位,即相对模式与绝对模式。不过需要注意的是,无论是采取哪种模式,都必须以root帐户来执行。如果是采用相对模式,则特权用户可以利用chmod命令修改文件的属主设置位,即添加s来设置这个权限。如果系统工程师通过全队方式来设置临时权限,则只需要在权限的八进制数前面加入一个4即可。如原来用户的权限八进制数为775(所有者具有读修改执行权限、同组其他用户具有读修改执行权限、其他用户具有读与修改权限),则要实现临时权限SUID的话,只需要在775前面加入4变为4775即可。不过笔者建议,还是采用相对模式为好。因为相对模式设置起来相对简单,而且还不容易出错。
  五、临时权限的安全隐患。
  临时权限SUID机制虽然可以满足一些日常工作的需要,但是这个机制存在着一定的安全风险。如特权用户将shutdown这个关机命令权限赋予给其他用户的话,则就存在着一定的安全隐患。因为Unix操作系统是一个多用户的操作系统,在同一个时刻允许多个用户登录到操作系统中。如果每个用户都可以使用shutdown命令进行关机的话,而此时其他用户可能正在编辑一个文件或者进行其他操作,则此时就会影响其他用户的正常作业。故对于这些具有临时权限的SUID程序文件系统工程师需要给与特殊的关注。临时权限SUID让用户通过运行一个root用户的文件来拥有本来不具有的权限。作为一个合格的系统工程师,必须跟中所有属于root用户的SUID程序,这些程序有可能被普通用户用来创建文件或者复制文件。
  为了保证这个临时权限SUID措施在给系统维护带来方便的同时,不影响Unix系统的安全,笔者有如下两个建议。
  一是不要随便通过设置SUID(属主设置位)的方式让普通用户通过运行一个root用户的文件来拥有本来不具有的权限。特别是一些对所有用户都具有影响的命令文件,更加要谨慎。如对于shutdown这中对系统当前登录帐户都会造成不利影响的命令文件,还是掌握在特权用户一个人手中为好。不然的话,因为一个普通用户的不恰当操作,而给其他用户造成不利的影响,那系统工程师就是得不偿失了。故笔者建议,系统工程师这个权限的关口还是要把握住的,不要因为贪图方便而随便把权限下放给其他用户。这是一个很危险的操作。
  二是在日常工作中要时常跟踪一下这些文件。如可以利用find命令来查找系统中到底有多少这些文件。利用find命令如果发现显示的权限属性里多了一位八进制数4则表示这文件设置了临时权限suid,unix系统会将4前面的-符号当作其他的任意权限。笔者在这里跟大家分享一个很好的工作技巧。系统工程师可以利用cron等任务调度命令,每隔一段时间运行一次find命令。并把这个命令的结果通过电子邮件发送给系统工程师。如此的话,系统工程师就可以省去每次手工运行这个命令的麻烦事,又可以实时的追踪这些特殊的文件。一举两得,即可以偷懒,又不会误事。
  总之,通过设置临时权限SUID,系统工程师确实可以减少很多系统维护的工作量。如用户需要更改密码等等类似的简单工作,就不需要找系统工程师来完成了。但是,系统工程师对于这个临时权限SUID可能带来的安全隐患仍然要深记与心。




欢迎光临 110互动论坛 (http://bbs.110.com/) Powered by Discuz! 6.1.0