百科问答小站 logo
百科问答小站 font logo



linux如何赋予用户sudo权限? 第1页

  

user avatar   zorrolang 网友的相关建议: 
      

“linux如何赋予用户sudo权限”这个问题其实问的并不准确,因为根本没有"sudo"这个权限,这个问题应该说成“Linux系统的sudo命令如何让非特权的普通用户具有了执行特权操作的权限?”下面我就来解释一下这个问题。

Set-user-ID位

sudo能够赋予普通用户特权的根本原因,是一个叫set-user-ID的权限位及其所对应的运行机制带来的:

       $ ls -l `which sudo` ---s--x--x. 1 root root 189600 Jan 27  2021 /usr/bin/sudo     

如上,就是那个"---s--x--x"中的"s"。

其实系统中还有很多带这个S位的程序,比如:

       -rwsr-xr-x. 1 root root 57328 Jul 27  2020 /usr/bin/at -rwsr-xr-x. 1 root root 74224 Aug 16 16:00 /usr/bin/chage -rws--x--x. 1 root root 32760 Jan  7  2021 /usr/bin/chfn -rws--x--x. 1 root root 24536 Jan  7  2021 /usr/bin/chsh -rwsr-xr-x. 1 root root 53800 Mar 29  2021 /usr/bin/crontab -rwsr-xr-x. 1 root root 36840 Jul 28  2020 /usr/bin/fusermount -rwsr-xr-x. 1 root root 41768 Aug 10  2020 /usr/bin/fusermount3 -rwsr-xr-x. 1 root root 78576 Aug 16 16:00 /usr/bin/gpasswd -rwsr-xr-x. 1 root root 49184 Jan  7  2021 /usr/bin/mount -rwsr-xr-x. 1 root root 42280 Aug 16 16:00 /usr/bin/newgrp -rwsr-xr-x. 1 root root 32640 Jun  3  2021 /usr/bin/pkexec -rwsr-xr-x. 1 root root 32624 Jul 29  2020 /usr/bin/passwd -rwsr-xr-x. 1 root root 36832 Jan  7  2021 /usr/bin/umount -rwsr-xr-x. 1 root root 57752 Jan  7  2021 /usr/bin/su ---s--x--x. 1 root root 189600 Jan 27  2021 /usr/bin/sudo     

我们管这个位叫set-user-ID位,简称suid位。同样的,还有一个set-group-ID位,简称sgid位,当然suid位比较常见。

suid位一般给一个可执行程序设置,其主要作用就是“让运行带有suid位程序的进程的有效用户ID(euid)等于这个程序文件的属主ID”。这样说可能对于不了解的人有点难懂,下面我们详细说一下。

比如如果有一个文件它的属性如下:

       -rwsr-xr-x. 1 userA userA 57328 Jul 27  2020 mytest     

那么比如我用userB执行这个程序,那么运行起来的进程的euid等于userA,而不等于userB。

那这有什么用呢?如果上面的userA是一个普通用户,那用处不太大,就是改变了进程的euid(还是有作用的)。但是如果上面的userA是root,那作用就很大了,因为如果一个进程的euid变成了root(0),那这个进程就获得了root的特权,因为它相当于在代替root做事(当然不是完全等同于root亲自执行,但是几乎等同了)。所以你看到sudo的属主就是root,我们习惯性管属主是root的suid位叫“suid root”位,你和行内的人一提suid root,他就能知道你在说什么。

设置SUID位

相信很多初学Linux的人都很熟悉0777这个权限,也就是rwxrwxrwx,分别表示属主、属组和其它人的读写执行权限。也经常能看到有人说给Linux系统所有文件都改成0777,是不是就无敌了。对于这样天真的孩子我只能说你将系统安全机制想的太简单了,这还只是冰山一角而已。

即使光讨论permission bits,也不止0777这么多,777上面还有更多呢。比如我们这里提到的set-user-id位就是其中一个,其定义是:

       #define S_ISUID 0004000     

你要设置这个位,就可以写04777或者04111等。比如有一个文件的权限是0644:

       $ ls -l testfile -rw-r--r--. 1 test test 0 Jan 11 22:21 testfile     

那么我要给它加S位,就可以写:

       $ chmod 04644 testfile $ ls -l testfile -rwSr--r--. 1 test test 0 Jan 11 22:21 testfile     

我们看到这里有一个大"S",这就是set-user-id位。有人可能问了,这个S不就占了"x"的位置了吗?如果再设置上x的权限,比如04744,那会怎么样呢?答案是:

       $ chmod 04744 testfile $ ls -l testfile -rwsr--r--. 1 test test 0 Jan 11 22:21 testfile     

是的,S+x就变成了小"s",这个小s就是我们这个回答的重点,也就是具有执行权的程序同时具有suid位。

设置suid位的方法除了你直接写04xxx以外,用u+s这种方式也可以,比如:

       # chmod u+s testfile # chmod u-s testfile     

这样可以方便的增加或去掉suid位。当然有set-user-id位,也有set-group-id位,不过sgid位和sudo没有关系,我们本回答不讲。

用程序说话

为了更直观的理解,我们用一个程序来说明一下suid位的作用。假设我现在的系统上有一个id是1000的用户叫test,还有一个id是1001的用户叫userA,当然还有id是0的root用户,我用test用户作为测试用户,编写并执行下面的程序(mytest.c):

       #include <stdio.h> #include <unistd.h> #include <sys/types.h>  int main() {         printf("The process' uid is: %u
", getuid());         printf("The process' euid is: %u
", geteuid());          return 0; }     

这个程序编译后得到的可执行程序现在的属性是:

       [test]$ ls -l mytest -rwxr-xr-x. 1 test test 25800 Jan 11 20:52 mytest     

我用uid是1000的用户test来执行它:

       [test]$ ./mytest The process' uid is: 1000 The process' euid is: 1000     

接下来我们(用root用户操作)改变这个文件的属主:

       [root]# chown userA mytest [root]# ls -l mytest -rwxr-xr-x. 1 userA test 25800 Jan 11 20:52 mytest     

再用id为1000的test用户执行:

       [test]$ ./mytest  The process' uid is: 1000 The process' euid is: 1000     

结果进程的uid和euid还是1000(test)。

现在我(用root用户操作)给这个程序设置suid位:

       [root]# chmod u+s mytest [root]# ls -l mytest -rwsr-xr-x. 1 userA test 25800 Jan 11 20:52 mytest     

再用test用户用执行:

       [test]$ ./mytest  The process' uid is: 1000 The process' euid is: 1001     

这次我们看到进程的euid变成了1001,不再是1000了,这个1001就是userA的ID:

       [test]$ id userA uid=1001(userA) gid=1001(userA) groups=1001(userA)     

这就是suid位的作用,但是在程序文件的属主是普通用户的情况下,除了能获得属主相同的euid外,没有别的影响。

因为现代Linux系统已经区别于过去的Unix系统,分出了各种细节的权能(具体可man capabilities),为了能看一下当前程序的特权,我修改了一下程序,将特权信息打出来:

       #include <stdio.h> #include <unistd.h> #include <sys/types.h> #include <sys/capability.h>  int main() {         printf("The process' uid is: %u
", getuid());         printf("The process' euid is: %u
", geteuid());          cap_t caps = NULL;         char *txt_caps = NULL;         caps = cap_get_proc();         if (!caps) {                 perror("cap_get_proc");                 return 1;         }         txt_caps = cap_to_text(caps, NULL);         if (!txt_caps) {                 perror("cap_to_text");                 return 2;         }         printf("Current capabilities: %s
", txt_caps);                  return 0; }     

编译后重新将suid位设置好,属主改为userA(跟上面一样),再用test用户执行:

       [test]$ gcc -o mytest mytest.c -lcap -Wall [root]# chown userA mytest [root]# chmod u+s mytest [test]$ ./mytest The process' uid is: 1000 The process' euid is: 1001 Current capabilities: =     

我们看到euid变成了1001,最后一行那个"="的意思你可以简单理解为"All=nothing",也就是什么特权都没有。这里我不想展开解释capabilities的东西,展开的话又够另一个篇章了。

现在我们将mytest的属主变成root,然后还用test用户执行:

       [root]# chown root mytest [root]# chmod u+s mytest [root]# ls -l mytest -rwsr-xr-x. 1 root test 25936 Jan 11 21:32 mytest [test]$ ./mytest The process' uid is: 1000 The process' euid is: 0 Current capabilities: =ep     

这次我们看到进程的uid还维持是test用户的id=1000,但是euid变成了0,而且当前的特权是"=ep",也就是"ALL=ep",“ep”分别表示Effective特权集和Permitted特权集,也就是这两个特权集都是满的,这里我不展开解释Permitted, Effective和Inheritable特权集合的概念了,总之这里你可以理解为当前进程具有全部的特权。

这就是suid root的作用,让一个程序即使被普通用户执行,也可以越权。sudo程序就是借助suid root这个特性获得的特权,让普通用户可以执行特权操作。

结语:

这里说的一些概念只是Linux安全相关的冰山一角,感兴趣的可以自己去学习更多。上面之所以euid是0的进程直接就具有了全部特权,那是从古老的Unix系统至今的一种使用习惯的继承,现在的Linux系统其实可以配置成将root超级用户的特权分开分给几个具有不同用途的管理员,而取消root的使用,我们也做过这样的课题和研究,也确实能做到分权,但是目前对于普通的使用者来说将系统配成那样过于不便,所以目前的系统状态仍然是主流。但是将来系统去root化是一个研究方向和发展趋势。

关于sudo我还写过下面一个回答,感兴趣的可以看一下,并不属于技术问题。


user avatar   pansz 网友的相关建议: 
      

将用户加入可以 sudo 的用户组即可,如果不知道怎样将用户加入某个指定名称的用户组,可单独查找相关问题的答案。

Linux 中的权限是以用户组来划分的

至于,什么用户组拥有sudo权限?很抱歉这个问题没有统一的答案,因为每个Linux发行版有不同的设定。

你可以启动 sudo visudo 查看哪个用户组拥有sudo权限。

例如我手头这个发行版含有这样的字样:

       # Allow members of group sudo to execute any command %sudo   ALL=(ALL:ALL) ALL      

可以看出在这个发行版中,名为 sudo 的用户组具备 sudo 权限。

于是,你选择将你需要加的用户加入 sudo 用户组,就能令其具备 sudo 权限了。

再次声明一下:不同发行版的用户组名称不同,其它发行版中的 sudo 权限用户组并不一定叫 sudo,你需要先使用 sudo visudo 查询一下才知道。


另外补充一下:某位RH工程师回答的内容本身是正确的,但他似乎并没有理解题主所问的问题。或者说他可能将题主的问题想复杂了。




  

相关话题

  为什么现在很多人对网络空间安全专业持劝退态度? 
  程序计数器(Program Counter)是一个实际存在的寄存器吗? 
  Windows 9x的存储控制器驱动程序是怎么样的? 
  形式化方法的研究方向到底是干什么的? 
  苹果麦金塔操作系统(macOS)比微软视窗操作系统(Windows) 好用吗? 
  俄罗斯人编程为什么那么厉害? 
  Linux大神都是怎么记住这么多命令的? 
  既然华为有能力自研手机操作系统,为什么不自研电脑操作系统? 
  作为一个 Emacs、终端、浏览器的重度用户,在考虑价格因素的情况下,你是否认为 Mac OS 比 Linux 发行版更值得使用? 
  你有自制的操作系统吗? 

前一个讨论
国产游戏商该如何应对《原神》大火所引发的“恶劣”局势变化?
下一个讨论
为什么HIFI系统通常只使用双声道立体声而不是多声道环绕声?





© 2024-11-21 - tinynew.org. All Rights Reserved.
© 2024-11-21 - tinynew.org. 保留所有权利