Q&A
現在これです。 -rwsr-xr-x 1 root root /usr/bin/passwd
これでも、全ユーザーで書き換え可能な状態ではないのでしょうか??
/etc/passwdファイルなどは、一般ユーザーからは書き換えられないようになっていると思います。
-rw-r--r-- 1 root root 3103 4月 15 18:03 /etc/passwd
chmod u+s [passwdファイルをいじくるプログラム]にすれば、他のユーザーからこのプログラムを介して、passwdファイルを書き換えられますが、
SUIDというものは必要なのでしょうか??
chmod a=rwx [passwdファイルをいじくるプログラム]
同じプログラムを指定すれば、これでやってもできますよね??
なぜ、わざわざSUIDなどと言うものを作ったのでしょうか??
回答3件
0
ベストアンサー
chmod a=rwx [passwdファイルをいじくるプログラム]
同じプログラムを指定すれば、これでやってもできますよね??
できませんよ。やってみましたか?
あるいは、
chmod a=rwx /etc/passwd
の書き間違いだったのでしょうか?
そう設定すれば、誰でも自由にvi等で/etc/passwdを自由に書き換えられるというユーザー管理されていないOSになりますね。パスワードは別ファイルに保存されているので、そのファイルと整合性がとれなくなったときにどうなるのかはちょっと分かりませんが。
投稿2017/04/19 16:55
総合スコア86301
0
/etc/passwdを全ユーザー書き換え可能としてしまうと、他人のデータまで変更できてしまいます。
ということで、setuidしたpasswdプログラムで、自分のものだけ設定できるように制御しています。
投稿2017/04/19 13:51
総合スコア146581
suidした後は、passwdプログラムの中身の問題となります(バグや不正なプログラムなどがあった場合には、他のユーザー分まで書き換え可能となるかもしれませんが、それはそういうプログラムを置かせたrootの責任です)。
0
- rootの権限をもつSUID付きのプログラムはrootにしか作れない
- 充分セキュリティーに配慮したSUID付きプログラムがあればroot以外にも使用を許せる
というふうにセキュリティーと使い勝手を両立することができるという意味合いだと思います。
補足:少し仕組み的なところを捕捉します(既にご存知ならスルーしてください。)
-
OS以外のプログラムは全てプロセスの中で動く
-
プロセスにはEUID(実効ユーザーID)とEGID(実効グループID)という属性がありこれらによりそのプロセス内で動いているプログラムの権限が決まる
-
bashなどからコマンドを打ち込むと(ビルトインコマンド以外は)新しいプロセスが作られてその中で実行される
-
新プロセスが作られるとき親プロセスのEUID,EGIDが引き継がれる。
-
プログラムファイルのsetuid/setgid属性がついてない場合
新プロセスでそのようなプログラムファイルを実行するとプロセスのEUID,EGIDは変化しません。(この仕組みによってあらゆるプログラムがloginユーザーの権限で動きます。)
- プログラムファイルのsetuid/setgid属性がついている場合
新プロセスでそのようなプログラムファイルを実行するとsetuidがついているならEUIDはプログラムファイルのオーナーのuidに置き換わります。setgid/EGIDも同様です。この仕組みにより(充分にセキュリティーに配慮した特別なプログラムに限って)非特権ユーザーが一時的に特権ユーザーの権限によりプログラムを動かすことができます。
投稿2017/04/19 11:53
編集2017/04/20 00:31
総合スコア18404
セキュリティ向上ですね
一般ユーザがパスワードを変更するのに一々rootにやってもらわないといけない仕様にするとセキュリティー上はいいのですが不便すぎるということで「セキュリティー上の配慮も充分した上で、使い勝手もよくする」という両方の意味ですね。
chmod a=rwxでは、ダメで、
chmod u+s こちらなら良いということですよね
そのとおりです
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/04/20 04:32
2017/04/20 04:33
2017/04/20 04:42
2017/04/20 05:05
2017/04/20 05:19
2017/04/20 05:22
2017/04/20 05:23
2017/04/20 05:30