O usuário normal é capaz de modificar um arquivo de propriedade do root

Isso está acontecendo por causa de duas coisas:

• vim(pelo menos neste caso) e sed, ao fazer a edição no local, exclua o arquivo original e crie um novo com o mesmo nome.

• a capacidade de excluir um arquivo depende das permissões do diretório que contém o arquivo, e não das permissões do arquivo em si.

Então, o que está acontecendo aqui é que você tem permissão de gravação no diretório, o que significa que você pode alterar o conteúdo do diretório, incluindo excluir e criar arquivos. Portanto, quando você executa sed -iou salva com :w!, você está excluindo o original e criando um novo arquivo. É também por isso que a propriedade muda: na verdade, este é um arquivo diferente.

Você pode demonstrar isso verificando o inode do arquivo antes e depois da edição:

$ ls -ld foo/
drwxr-xr-x 2 terdon terdon 266240 Nov 16 13:43 foo/
$ cd foo
$ sudo sh -c 'echo foo > file'
$ ls -l 
total 4
-rw-r--r-- 1 root root 4 Nov 16 13:43 file

Após esses comandos, tenho file, de propriedade do root, no diretório foo/no qual meu usuário regular tem permissão de gravação. Agora, vamos ls -iverificar o inode e, em seguida, fazer uma alteração sede verificar novamente:

$ ls -li file 
26610890 -rw-r--r-- 1 root root 4 Nov 16 13:43 file
$ sed -i 's/foo/bar/' file
$ ls -li file 
26610859 -rw-r--r-- 1 terdon terdon 4 Nov 16 15:40 file

Você também pode ver vimfazendo a mesma coisa executando

strace vim file 2> strace.out

Em seguida, edite o arquivo e salve com a extensão :w!. No seu strace.out, você verá:

    unlink("file")                           = 0
    open("file", O_WRONLY|O_CREAT|O_TRUNC, 0644) = 4
    write(4, "bar\n", 11)            = 11

Então, primeiro o arquivo foi excluído ( unlink("file")), depois foi criado um novo arquivo com o mesmo nome ( open("file", O_WRONLY|O_CREAT|O_TRUNC, 0644)) e nele foram gravadas as modificações que eu havia feito ( write(4, "bar\n", 11)).

Como você pode ver acima, o inode mudou: este é um novo arquivo com o mesmo nome. Então você não alterou realmente um arquivo ao qual não tinha acesso de gravação, você alterou um diretório ao qual tinha acesso de gravação excluindo um arquivo nesse diretório e criando um novo arquivo no diretório com o mesmo nome que o antigo.

Eu respondi a uma pergunta semelhante aqui: https://askubuntu.com/a/815849/85695 .

vimnão pode modificar o arquivo, mas se tiver acesso de gravação ao diretório ao qual o arquivo está vinculado e o tbit não estiver definido para esse diretório, ele poderá excluí-lo e substituí-lo por uma nova cópia de sua propriedade.

Para evitar isso, rootpode

• defina o sinalizador immutable( chattr +i) ou append-only( chattr +a) no arquivo (então rootnão será possível excluí-lo)
• certifique-se de que apenas roottenha acesso de gravação ao diretório pai¹ (de propriedade roote wbit apenas para o usuário; chown root:, chmod u=rwx,go=rx)
• ter o diretório de propriedade de root, possivelmente gravável por outros, mas ter o tbit (de exclusão restrita²) ( chmod o+t) nas permissões (para que os usuários possam excluir/renomear apenas os arquivos de sua propriedade).

^{¹ Esteja ciente de que, para um arquivo chamado /a/b/fileif usertem acesso de gravação /a, então também pode renomear /a/be /a/b.oldrecriar um /a/barquivo /a/b/filepróprio dentro dele.}

^{² você pode ter ouvido o termo sticky bit para esse bit, mas é quando aplicado a arquivos executáveis ​​​​regulares (e apenas em sistemas muito antigos), onde instrui (usado para instruir) o sistema a manter o texto do executável na memória. Quando aplicado a um diretório, esse bit tem um significado diferente e não relacionado.}