linux如何赋予用户sudo权限? |
您所在的位置:网站首页 › linux sudo用户 › linux如何赋予用户sudo权限? |
|
“linux如何赋予用户sudo权限”这个问题其实问的并不准确,因为根本没有"sudo"这个权限,这个问题应该说成“Linux系统的sudo命令如何让非特权的普通用户具有了执行特权操作的权限?”下面我就来解释一下这个问题。 Set-user-ID位sudo能够赋予普通用户特权的根本原因,是一个叫set-user-ID的权限位及其所对应的运行机制带来的: $ ls -l `which sudo` ---s--x--x. 1 root root 189600 Jan 27 2021 /usr/bin/sudo如上,就是那个"---s--x--x"中的"s"。 其实系统中还有很多带这个S位的程序,比如: -rwsr-xr-x. 1 root root 57328 Jul 27 2020 /usr/bin/at -rwsr-xr-x. 1 root root 74224 Aug 16 16:00 /usr/bin/chage -rws--x--x. 1 root root 32760 Jan 7 2021 /usr/bin/chfn -rws--x--x. 1 root root 24536 Jan 7 2021 /usr/bin/chsh -rwsr-xr-x. 1 root root 53800 Mar 29 2021 /usr/bin/crontab -rwsr-xr-x. 1 root root 36840 Jul 28 2020 /usr/bin/fusermount -rwsr-xr-x. 1 root root 41768 Aug 10 2020 /usr/bin/fusermount3 -rwsr-xr-x. 1 root root 78576 Aug 16 16:00 /usr/bin/gpasswd -rwsr-xr-x. 1 root root 49184 Jan 7 2021 /usr/bin/mount -rwsr-xr-x. 1 root root 42280 Aug 16 16:00 /usr/bin/newgrp -rwsr-xr-x. 1 root root 32640 Jun 3 2021 /usr/bin/pkexec -rwsr-xr-x. 1 root root 32624 Jul 29 2020 /usr/bin/passwd -rwsr-xr-x. 1 root root 36832 Jan 7 2021 /usr/bin/umount -rwsr-xr-x. 1 root root 57752 Jan 7 2021 /usr/bin/su ---s--x--x. 1 root root 189600 Jan 27 2021 /usr/bin/sudo我们管这个位叫set-user-ID位,简称suid位。同样的,还有一个set-group-ID位,简称sgid位,当然suid位比较常见。 suid位一般给一个可执行程序设置,其主要作用就是“让运行带有suid位程序的进程的有效用户ID(euid)等于这个程序文件的属主ID”。这样说可能对于不了解的人有点难懂,下面我们详细说一下。 比如如果有一个文件它的属性如下: -rwsr-xr-x. 1 userA userA 57328 Jul 27 2020 mytest那么比如我用userB执行这个程序,那么运行起来的进程的euid等于userA,而不等于userB。 那这有什么用呢?如果上面的userA是一个普通用户,那用处不太大,就是改变了进程的euid(还是有作用的)。但是如果上面的userA是root,那作用就很大了,因为如果一个进程的euid变成了root(0),那这个进程就获得了root的特权,因为它相当于在代替root做事(当然不是完全等同于root亲自执行,但是几乎等同了)。所以你看到sudo的属主就是root,我们习惯性管属主是root的suid位叫“suid root”位,你和行内的人一提suid root,他就能知道你在说什么。 设置SUID位相信很多初学Linux的人都很熟悉0777这个权限,也就是rwxrwxrwx,分别表示属主、属组和其它人的读写执行权限。也经常能看到有人说给Linux系统所有文件都改成0777,是不是就无敌了。对于这样天真的孩子我只能说你将系统安全机制想的太简单了,这还只是冰山一角而已。 即使光讨论permission bits,也不止0777这么多,777上面还有更多呢。比如我们这里提到的set-user-id位就是其中一个,其定义是: #define S_ISUID 0004000你要设置这个位,就可以写04777或者04111等。比如有一个文件的权限是0644: $ ls -l testfile -rw-r--r--. 1 test test 0 Jan 11 22:21 testfile那么我要给它加S位,就可以写: $ chmod 04644 testfile $ ls -l testfile -rwSr--r--. 1 test test 0 Jan 11 22:21 testfile我们看到这里有一个大"S",这就是set-user-id位。有人可能问了,这个S不就占了"x"的位置了吗?如果再设置上x的权限,比如04744,那会怎么样呢?答案是: $ chmod 04744 testfile $ ls -l testfile -rwsr--r--. 1 test test 0 Jan 11 22:21 testfile是的,S+x就变成了小"s",这个小s就是我们这个回答的重点,也就是具有执行权的程序同时具有suid位。 设置suid位的方法除了你直接写04xxx以外,用u+s这种方式也可以,比如: # chmod u+s testfile # chmod u-s testfile这样可以方便的增加或去掉suid位。当然有set-user-id位,也有set-group-id位,不过sgid位和sudo没有关系,我们本回答不讲。 用程序说话为了更直观的理解,我们用一个程序来说明一下suid位的作用。假设我现在的系统上有一个id是1000的用户叫test,还有一个id是1001的用户叫userA,当然还有id是0的root用户,我用test用户作为测试用户,编写并执行下面的程序(mytest.c): #include #include #include int main() { printf("The process' uid is: %u\n", getuid()); printf("The process' euid is: %u\n", geteuid()); return 0; }这个程序编译后得到的可执行程序现在的属性是: [test]$ ls -l mytest -rwxr-xr-x. 1 test test 25800 Jan 11 20:52 mytest我用uid是1000的用户test来执行它: [test]$ ./mytest The process' uid is: 1000 The process' euid is: 1000接下来我们(用root用户操作)改变这个文件的属主: [root]# chown userA mytest [root]# ls -l mytest -rwxr-xr-x. 1 userA test 25800 Jan 11 20:52 mytest再用id为1000的test用户执行: [test]$ ./mytest The process' uid is: 1000 The process' euid is: 1000结果进程的uid和euid还是1000(test)。 现在我(用root用户操作)给这个程序设置suid位: [root]# chmod u+s mytest [root]# ls -l mytest -rwsr-xr-x. 1 userA test 25800 Jan 11 20:52 mytest再用test用户用执行: [test]$ ./mytest The process' uid is: 1000 The process' euid is: 1001这次我们看到进程的euid变成了1001,不再是1000了,这个1001就是userA的ID: [test]$ id userA uid=1001(userA) gid=1001(userA) groups=1001(userA)这就是suid位的作用,但是在程序文件的属主是普通用户的情况下,除了能获得属主相同的euid外,没有别的影响。 因为现代Linux系统已经区别于过去的Unix系统,分出了各种细节的权能(具体可man capabilities),为了能看一下当前程序的特权,我修改了一下程序,将特权信息打出来: #include #include #include #include int main() { printf("The process' uid is: %u\n", getuid()); printf("The process' euid is: %u\n", geteuid()); cap_t caps = NULL; char *txt_caps = NULL; caps = cap_get_proc(); if (!caps) { perror("cap_get_proc"); return 1; } txt_caps = cap_to_text(caps, NULL); if (!txt_caps) { perror("cap_to_text"); return 2; } printf("Current capabilities: %s\n", txt_caps); return 0; }编译后重新将suid位设置好,属主改为userA(跟上面一样),再用test用户执行: [test]$ gcc -o mytest mytest.c -lcap -Wall [root]# chown userA mytest [root]# chmod u+s mytest [test]$ ./mytest The process' uid is: 1000 The process' euid is: 1001 Current capabilities: =我们看到euid变成了1001,最后一行那个"="的意思你可以简单理解为"All=nothing",也就是什么特权都没有。这里我不想展开解释capabilities的东西,展开的话又够另一个篇章了。 现在我们将mytest的属主变成root,然后还用test用户执行: [root]# chown root mytest [root]# chmod u+s mytest [root]# ls -l mytest -rwsr-xr-x. 1 root test 25936 Jan 11 21:32 mytest [test]$ ./mytest The process' uid is: 1000 The process' euid is: 0 Current capabilities: =ep这次我们看到进程的uid还维持是test用户的id=1000,但是euid变成了0,而且当前的特权是"=ep",也就是"ALL=ep",“ep”分别表示Effective特权集和Permitted特权集,也就是这两个特权集都是满的,这里我不展开解释Permitted, Effective和Inheritable特权集合的概念了,总之这里你可以理解为当前进程具有全部的特权。 这就是suid root的作用,让一个程序即使被普通用户执行,也可以越权。sudo程序就是借助suid root这个特性获得的特权,让普通用户可以执行特权操作。 结语:这里说的一些概念只是Linux安全相关的冰山一角,感兴趣的可以自己去学习更多。上面之所以euid是0的进程直接就具有了全部特权,那是从古老的Unix系统至今的一种使用习惯的继承,现在的Linux系统其实可以配置成将root超级用户的特权分开分给几个具有不同用途的管理员,而取消root的使用,我们也做过这样的课题和研究,也确实能做到分权,但是目前对于普通的使用者来说将系统配成那样过于不便,所以目前的系统状态仍然是主流。但是将来系统去root化是一个研究方向和发展趋势。 关于sudo我还写过下面一个回答,感兴趣的可以看一下,并不属于技术问题。 |
今日新闻 |
推荐新闻 |
| CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |