Início / unix / Perguntas / 772334
Accepted
Artem S. Tashkinov
Asked: 2024-03-14 21:05:03 +0800 CST

Por que o chown redefine/remove o bit SUID e reinicia os recursos?

  • 772

Este comando:

sudo chown -R root:root directory

removerá o bit SUID e redefinirá todos os recursos dos arquivos . Eu me pergunto por que isso é feito silenciosamente e não é mencionado na página de manual. Estranhamente, o bit GUID não foi removido. E não importa a quem pertencia o arquivo ou diretório antes de executar este comando.

Além disso, os bits SUID/GUID não são removidos dos diretórios (embora sejam inúteis neste caso).

Presumivelmente, isso é feito em nome da segurança, mas para mim não deve ser feito silenciosamente.

Isso fica ainda pior:

$ setcap cap_sys_rawio,cap_sys_nice=+ep test
$ getcap -v test 
test cap_sys_rawio,cap_sys_nice=ep

$ chown -c -v -R 0:0 .
ownership of './test' retained as root:root
ownership of '.' retained as root:root

$  getcap -v test 
test

O bit SUID do testarquivo é removido de forma totalmente silenciosa. É como se o comando estivesse fazendo muito mais do que o solicitado.

linux

1 respostas

  1. Best Answer

    As permissões e conjuntos de recursos não são limpos pelo chownutilitário, mas sim pela chamada do chownsistema (no Linux):

    Quando o proprietário ou grupo de um arquivo executável é alterado por um usuário sem privilégios, os bits de modo S_ISUIDe S_ISGIDsão apagados. O POSIX não especifica se isso também deve acontecer quando o root faz o chown(); o comportamento do Linux depende da versão do kernel e, desde o Linux 2.2.13, o root é tratado como outros usuários. No caso de um arquivo não executável em grupo (ou seja, um para o qual o S_IXGRPbit não está definido), o S_ISGIDbit indica bloqueio obrigatório e não é apagado por um chown().

    Quando o proprietário ou grupo de um arquivo executável é alterado (por qualquer usuário), todos os conjuntos de recursos do arquivo são limpos.

    Conforme mencionado acima, isso é parcialmente especificado pelo POSIX :

    A menos que chown seja invocado por um processo com privilégios apropriados, os bits set-user-ID e set-group-ID de um arquivo regular devem ser limpos após a conclusão bem-sucedida; os bits set-user-ID e set-group-ID de outros tipos de arquivo podem ser limpos.

    Se fosse para informar o usuário sobre isso, o chownutilitário teria que verificar explicitamente outras alterações feitas nos metadados dos arquivos ao invocar a chownfunção.

    No que diz respeito à lógica, suspeito que seja para reduzir o potencial de pegadinhas para o administrador do sistema - chown root:rootno Linux pode ser considerado seguro, mesmo que um usuário tenha preparado um binário setuid com antecedência.

    A chownpágina de manual do GNU não menciona esse comportamento, mas como costuma acontecer com o software GNU, a página de manual documenta o utilitário apenas parcialmente; sua seção “VEJA TAMBÉM” aponta para a documentação da chamada do sistema (que é reconhecidamente um exagero para a maioria dos usuários) e a página de informações , que descreve esse comportamento:

    O chowncomando às vezes limpa os bits de permissão set-user-ID ou set-group-ID. Esse comportamento depende da política e da funcionalidade da chownchamada de sistema subjacente, que pode fazer modificações no modo de arquivo dependentes do sistema fora do controle do chowncomando. Por exemplo, o chowncomando pode não afetar esses bits quando invocado por um usuário com privilégios apropriados, ou quando os bits significam alguma função diferente da permissão executável (por exemplo, bloqueio obrigatório). Em caso de dúvida, verifique o comportamento subjacente do sistema.

    (Estou limitando isso ao Linux com base em suas tags na questão; como o Linux restringe alterações de proprietário a processos privilegiados, há menos implicações de segurança do que em alguns outros sistemas estilo Unix. Consulte a explicação em chown(1) especificação POSIX para obter detalhes .)

    • 5

relate perguntas