Esse tipo de debate aqui na lista é uma verdadeira aula, mto bom! 2009/8/31 Flávio Pereira Da Silva <[email protected]>
> > > > Gostei bastante de sua explicação e confesso que é por isso que gosto do > linux e de softwarelivre, mas creio que o assunto é bem complexo. Nunca > endendi direito o SUID e as razões para se temer , apesar de saber explorar. > Gostaria de mais contribuiçoes a respeito do SUID, afinal me parece que esse > modo de permissão pode ser danoso ao sistema se um usuário mal intensionado > explorar ele para escalar previlégios. > > Flávio > > 2009/8/29 Hugo Azevedo <[email protected]> > > >> >> Bom dia, Flávio. >> >> O SUID é uma permissão especial que faz com que arquivos executáveis sejam >> executados por qualquer usuário como se ele fosse o dono. >> Muitos arquivos binários, executáveis ou scripts fazem diversas chamadas >> ao sistema e/ou acessam vários arquivos durante a execusão. Mesmo que o >> usuário tenha permissão de executar aquele arquivo, se durante a >> execução houver alguma chamada ao sistema ou for necessário acessar outros >> arquivos que somente o dono tenha permissão, o arquivo não terminará a sua >> execusão e um erro aparecerá (permissão negada). >> É neste momento que entra o SUID. Como qualquer usuário terá as mesmas >> permissões do dono, então o arquivo será executado sem maiores problemas. >> >> Um exemplo clássico seria com o comando "ifconfig" (usado na maioria das >> vezes para configurar um endereço IP numa interface de rede. Veja abaixo as >> permissões desse executável: >> >> # ls -lh /sbin/ifconfig >> -rwxr-xr-x 1 root root 58K 2005-12-04 02:52 /sbin/ifconfig >> >> Veja que o dono é o "root" e ele tem a permisão de ler, escrever e >> executar. Quem pertence ao grupo "root" pode ler e executar. Já qualquer >> outro usuário pode ler e executar. Então, se executarmos o "ifconfig" com >> qualquer usuário consiguiremos executá-lo. Veja: >> >> # su hugo --> (logando com o usuário chamado "hugo") >> $ /sbin/ifconfig --> (executei o "ifconfig" com o usuário "hugo" e >> apareceu as informações de rede tranquilamente) >> >> Ok. Até aqui tudo funcionou. Mas se tentarmos mudar o endereço IP da ETH0 >> logado o usuário "hugo", será que conseguiríamos? A princípio sim, pois >> qualquer usuário tem permissão de executar. Então, vamos lá: >> >> $ /sbin/ifconfig eth0 192.168.1.4 >> SIOCSIFADDR: Permissão negada >> SIOCSIFFLAGS: Permissão negada >> >> Poxa, apareceram duas mensagem de permissão negada e o IP não foi mudado. >> Por que será que isto aconteceu? >> Isto aconteceu porque durante a execução do "ifconfig" houveram chamadas >> ao sistema que somente o "root" poderia fazer. Como o usuário era outro, >> então apareceram as mensagem de permissão negada. >> >> Mas agora vem outra pergunta: Por que ao digitar somente "/sbin/ifconfig" >> o comando funcionou? >> Funcionou proque não houverem chamadas que necessitassem das permissões do >> root. >> >> Agora, se acrescentássemos o SUID ao "/sbin/ifconfig", qualquer usuário >> poderia, por exemplo, mudar o IP da ETH0 ou de qualquer interface de rede >> tranquilamente. >> >> >> >> Att, >> Hugo Azevedo >> www.hugoazevedo.eti.br >> *"Na caixa dizia: Requer Microsoft Windows ou superior, então eu instalei >> o GNU/Linux!"* >> *"On the box said: Requires Microsoft Windows or better, so I installed >> the GNU/Linux!"* >> >> >> --- Em *sex, 28/8/09, Flávio Pereira Da Silva <[email protected]>*escreveu: >> >> >> De: Flávio Pereira Da Silva <[email protected]> >> Assunto: [lpi] Duvida - Permissões SUID >> Para: [email protected] >> Data: Sexta-feira, 28 de Agosto de 2009, 6:51 >> >> >> Gostaria de saber se alguém pode explicar a função do BIT SUID e >> porque ele é tão perigoso ao sistema se não for bem gerenciado pelo root >> >> Exemplo. >> >> # chmod a+s teste.sh >> >> Com esta linha de comando, o arquivo teste.sh pode ser executado por >> qualquer usuário (parâmetro a - all), utilizando as permissões do dono do >> arquivo. >> >> >> ------------------------------ >> Veja quais são os assuntos do momento no Yahoo! + Buscados: Top >> 10<http://br.rd.yahoo.com/mail/taglines/mail/*http://br.maisbuscados.yahoo.com/>- >> Celebridades<http://br.rd.yahoo.com/mail/taglines/mail/*http://br.maisbuscados.yahoo.com/celebridades/>- >> Música<http://br.rd.yahoo.com/mail/taglines/mail/*http://br.maisbuscados.yahoo.com/m%C3%BAsica/>- >> Esportes<http://br.rd.yahoo.com/mail/taglines/mail/*http://br.maisbuscados.yahoo.com/esportes/> >> > > > > -- > > A Vida só é real quando eu sou!!! > >
