SUID og SGID - trenger forklaring

[petterg]

Kan noen forklare den praktiske nytten av å sette s-rettigheter på mapper?

Altså chmod u+s [mappenavn] og chmod g+s [mappenavn]

 

Jeg har fått med meg at dersom man setter suid på en fil så vil alle som kjører den fila kjøre den som om de var innlogget som eieren av denne, men hva skjer egentlig med mapper?

[GNUfan]

Dette brukes på programmer som vet hvordan de skal behandle rettigheter, men må kjøres som root. F.eks, passwd-kommandoen gir brukeren muligheten til å skifte passordet sitt. For at det skal gjøres må /etc/passwd redigeres, og bare root kan gjøre det. Men, passwd er setuid root, så når en bruker kjører kommandoen passwd, så "kjører han passwd som root", altså passwd har tilgangene til root.

 

Det som er skummelt med setuid, er hvis det er sikkerhetshull i programmene. En buffer-overflow kan i verste fall gi hvem som helst av shellbrukerne root på systemet ditt. Not good, not good.

[gspr]

Med SUID og SGID på mapper vil filer hvem som helst (som har tilgang til det) oppretter inni mappen være eid av den brukeren/gruppen som mappen er SUID/SGID.

 

Eksempel: public_html i alle home-dir'ene på serveren min er SGID apache, slik at alle filer som brukeren stapper inn i public_html-en sin automatisk blir eid av gruppen apache (dette er slik at han lettere skal kunne beskytte filer mot innsyn fra andre brukere, mens apache fortsatt skal kunne servere innholdet).

[kyrsjo]

Hmm... Det jeg må gjøre med incoming mappa på ftp'n min da.

[petterg]

Med SUID og SGID på mapper vil filer hvem som helst (som har tilgang til det) oppretter inni mappen være eid av den brukeren/gruppen som mappen er SUID/SGID.

 

Eksempel: public_html i alle home-dir'ene på serveren min er SGID apache, slik at alle filer som brukeren stapper inn i public_html-en sin automatisk blir eid av gruppen apache (dette er slik at han lettere skal kunne beskytte filer mot innsyn fra andre brukere, mens apache fortsatt skal kunne servere innholdet).

Praktisk.

 

Takk!