[ LUGOS ] Permissioni

[Metod Kozelj]

Howdy!

On Wed, 8 Aug 2001, Grega Fajdiga wrote:

> Kaksna je prednost dodeljevanja SUID-ja in SGID-ja v primerjavi z 
> dodeljevanjem pravic neposredno uporabniku oziroma skupini?

Uporabna je kombinacija dodeljevanja SUID z dodeljevanjem pravic doloceni
grupi.

Nastavljanje SUID je navadno smiselno samo tako, da je efektivni UID enak
root, saj je dostikrat potrebno programu dodeliti vecja dovoljenja. V
izogib vsestranski uporabi takeih programov pa se lahko omeji uporabo na
dolocene grupe.

Primer: pppd
Potrebuje root-ove privilegije za delovanje (uporaba /dev/ttyS?,
nastavljanje rut, ...). Samo za uporabo PPP pa je traparija vsakemu
uporabniku povedati root-ovo geslo. Zato progamu pppd postavimo bit SUID.
Ce pa zelimo omejiti krog uporabnikov, ki jim je dovoljeno vzpostavljeti
povezavo PPP, pa zanje naredimo posebno grupo (npr. ppp), spremenimo grupo
programa pppd v to novo narejeno grupo, dovoljenja programa pa nastavimo
tako, da ga lahko poganjajo le lastnik (root) in clani grupe (ppp), seveda
pa obenem postavimo bit SUID:

chgrp ppp pppd
chmod 1750 pppd


Pri bitih SGID je podobno, le da je uporabnost drugje: pri deljenju
skrbnistva nad dokumenti. Ce zelimo v nekem direktoriju imeti dokumente,
ki jih bodo smeli popravljati clani neke grupe, potem spremenimo grupo
direktorija in nastavimo bit SGID. Vsaka datoteka, ki bo po novem narejena
v tem direktoriju, bo imela grupo direktorija (in ne aktvino grupo
uporabnika, ki je datoteko proizvedel).

Peace!
  Mkx

---- perl -e 'print $i=pack(c5,(41*2),sqrt(7056),(unpack(c,H)-2),oct(115),10);'