it-swarm.com.de

Bedeutung der Zugriffsrechte "rws" und "root root" von / usr / bin / sudo

Bei den folgenden Zugriffsberechtigungen bin ich mir nicht sicher, wofür die zweite "root" steht.

Der erste ist der Besitzer, der über die Berechtigung rws verfügt (wofür steht das?), Und der zweite ist die Gruppe mit dem Namen root. Handelt es sich um eine spezielle Gruppe, in der nur der Root-Benutzer Mitglied ist?

$ ls -l /usr/bin/Sudo
-rwsr-xr-x 1 root root 157760 Jan 11 2016 /usr/bin/Sudo

Wenn ich mich irre, was bedeuten dann die oben genannten Zugriffsberechtigungen?

2
user3142443

Das s in rws steht für setuid und bedeutet die festgelegte Benutzer-ID . Dies ist ein spezielles Berechtigungsbit, mit dem das Programm, wenn es von einem beliebigen Benutzer ausgeführt wird, mit der effektiven UID des Besitzers, in diesem Fall root, ausgeführt werden kann. Wenn Sie also als normaler Benutzer die ausführbare Datei Sudo ausführen, tun Sie dies effektiv als root. Dieses Berechtigungsbit ist ein Sicherheitsrisiko und sollte nur angewendet werden, wenn dies unbedingt erforderlich ist.

Erklärung des setuid -Bits aus The Linux Command Line von William E. Shotts Jr :

Bei der Anwendung auf eine ausführbare Datei wird die effektive Benutzer-ID des tatsächlichen Benutzers (des Benutzers, der das Programm ausführt) auf die des Programmbesitzers festgelegt. Am häufigsten wird dies auf einige Programme angewendet, die dem Superuser gehören. Wenn ein gewöhnlicher Benutzer ein Programm mit der Bezeichnung "setuid root" ausführt, wird das Programm mit den effektiven Berechtigungen des Superbenutzers ausgeführt. Auf diese Weise kann das Programm auf Dateien und Verzeichnisse zugreifen, auf die ein normaler Benutzer normalerweise keinen Zugriff haben würde. Da dies Sicherheitsbedenken aufwirft, muss die Anzahl der Setuid-Programme auf ein absolutes Minimum beschränkt werden.

Das zweite root in der Auflistung ist die Gruppe , der die Datei gehört, und ja, nur der Benutzer root befindet sich im Gruppenstamm:

$ getent group root
root:x:0:

Hier ist ein Beispiel für eine Datei mit unterschiedlichem Benutzer- und Gruppenbesitz:

-rw-r----- 1 root shadow 1456 Nov 22 20:08 /etc/shadow

Dies bedeutet, dass die Datei nur von root gelesen und beschrieben werden kann. Mitglieder der Gruppe shadow können jedoch auch die Datei lesen.

3
Zanna