martes, 11 de diciembre de 2007

SUID y SGID: ejecutando ficheros con permisos de propietario

Fuente: LinuTeca

Además de los permisos de lectura(r), escritura(w), ejecución(x) y el bit pegajoso (t) existen otros dos no tan conocidos, que son el suid (set-user-id) y el sgid (set-group-id).

Con el primero conseguimos que el usuario ejecute el fichero con permisos de propietario independientemente quien sea el propietario o el grupo e incluso sin importar los permisos del mismo. Este bit o permiso se activa de la siguiente forma:

root@macbook:~# ls -l .
total 4
drwxr-xr-x 2 root root 4096 2007-11-01 22:02 Desktop
-rw-r–r– 1 root root 0 2007-11-26 21:22 prueba
-rw-r–r– 1 root root 0 2007-11-26 21:22 prueba2
root@macbook:~# chmod u+s prueba
root@macbook:~# ls -l
total 4
drwxr-xr-x 2 root root 4096 2007-11-01 22:02 Desktop
-rwSr–r– 1 root root 0 2007-11-26 21:22 prueba
-rw-r–r– 1 root root 0 2007-11-26 21:22 prueba2

Después de ejecutar el comando chmod podemos observar en el fichero prueba como el permiso de ejecución del usuario en vez de contener una “x”, contiene una “S”, la cual indica que el permiso de suid sobre el fichero está activo.

El permiso sgid funciona de igual forma que el suid pero sólo podrán ejecutar el fichero los usuarios pertenecientes al grupo del mismo y para activarlo se procede de forma parecida:

root@macbook:~# ls -l
total 4
drwxr-xr-x 2 root root 4096 2007-11-01 22:02 Desktop
-rwSr–r– 1 root root 0 2007-11-26 21:22 prueba
-rw-r–r– 1 root root 0 2007-11-26 21:22 prueba2
root@macbook:~# chmod g+s prueba2
root@macbook:~# ls -l
total 4
drwxr-xr-x 2 root root 4096 2007-11-01 22:02 Desktop
-rwSr–r– 1 root root 0 2007-11-26 21:22 prueba
-rw-r-Sr– 1 root root 0 2007-11-26 21:22 prueba2

Aquí la diferencia está en que hemos ejecutado el comando sobre el fichero “prueba2″ y podemos ver al hacer un ls -l que ahora en el fichero prueba2 en la parte de ejecución de grupo es donde aparece la “S”.

Hay que tener cuidado con dar estos permisos en el sistema ya que si por ejemplo en un servidor permitimos a los usuarios montar o desmontar carpetas con permisos de propietarios podrían borrar todos los datos de todos los usuarios, asi que ya sabéis, mucha prudencia…

No hay comentarios: