Linux における SUID、SGID、SBIT の素晴らしい使い方の詳細な説明

序文

Linux のファイル権限管理はとにかく素晴らしいです。SUID、SGID、SBIT の機能を確認し、まとめてみましょう。

実際、SUID と SGID の機能は sudo の機能と似ています。ユーザー A が、本来ユーザー B が所有する実行ファイルを実行したい場合、B のファイルに suid ビットが設定されていれば、A はユーザー B として実行します。

SUID は Set UID の略で、ユーザー ID を設定するという意味です。少しぎこちない感じがしますが、SUID が最も簡潔だと思います。これは、ファイル所有者の権限の実行ビットに表示されます。この権限を持つファイルが実行されると、呼び出し元は一時的にファイル所有者の権限を取得します。たとえば、次のコマンドを使用します。

ls -l /usr/bin/passwd

次のような結果が得られます。

-rwsr-xr-x 1 ルートルート 42824 2012年9月13日 /usr/bin/passwd

ご覧のとおり、ファイル所有者の実行ビットは x ではなく s なので、passwd プログラムには SUID 権限があります。ユーザーパスワードを変更するときは passwd コマンドを使用すること、また Linux ではユーザーパスワードが /etc/shadow ファイルに保存されることがわかっています。まず、/etc/shadow ファイルの権限を確認します。

ls -l /etc/shadow

返される結果は次のとおりです。

-rw-r----- 1 ルートシャドウ 1138 12月13日 20:00 /etc/shadow

上記の結果から、root のみがシャドウファイルにデータを書き込むことができ、他のユーザーにはそれを表示する権限すらないことを知ることができます。では、通常、パスワードはどのように変更するのでしょうか?はい、SUID に関連しています。 passwd コマンドを使用すると、passwd の所有者、つまり root の権限が取得され、shadow ファイルに書き込むことができます。

SUID を使用する場合は、次の点を満たす必要があります。

1.SUIDはバイナリファイルにのみ有効です

2. 呼び出し元はファイルに対する実行権限を持っている

3. 実行プロセス中、呼び出し側は一時的にファイルの所有者権限を取得します。

4. この権限はプログラムの実行中のみ有効です

「Bird BrotherのLinuxプライベートレシピ」には、この意味を特に表現した写真があります。

SGID は Set GID の略です。ファイルが属するグループ権限の実行ビットに表示されます。通常のバイナリファイルとディレクトリに有効です。通常のファイルに対して動作する場合、SUID と同様に、ファイルを実行するときに、ユーザーはファイルが属するグループの権限を取得します。 SGID がディレクトリに適用されると、非常に重要になります。ユーザーがディレクトリに対して書き込み権限と実行権限を持っている場合、そのユーザーはそのディレクトリ内にファイルを作成できます。ディレクトリが SGID で変更された場合、そのディレクトリ内にユーザーが作成したファイルは、そのディレクトリが属するグループに属します。

SBIT は Sticky Bit の略です。他のユーザー権限の実行ビットに表示され、ディレクトリを変更するためにのみ使用できます。ディレクトリに SBIT 権限がある場合、このディレクトリにファイルを作成できるユーザーは、このディレクトリとルートでそのユーザーが作成したファイルのみを削除できますが、他のユーザーは削除できません。例えば：