suid/sgid programy

[Dan Lukes]

Jiri napsal/wrote:
>   zajimalo by me vice o tom, proc potrebuji nektere programy byt
>   suid/sgid? jak zjistim proc jsou tak nastaveny a jak zjistim, ktere
>   mohu odstranit, kdyz bych je nemusel pouzivat?


	UNIX ma, sam o sobe, jako kernel, pomerne hruby system prav - v zasade 
rozlisuje pouze tri stavy (root, moje, ostatni). S tim si nelze v praxi 
vystacit. Obcas je vhodne zpristupnit uzivateli urcite informace (ale ne 
jine) a umoznit mu za urcitych okolnosti urcite ukony (ale ne jine).

	Prikladem muze byt "pravo vypsat seznam procesu" nebo "aby lokalne 
prihlaseny uzivatel mohl namountovat disketu".

	Z hlediska systemu smi takove operace provadet (obvykle) pouze root. 
Chceme je zpristupnit uzivateli, ale nechceme aby mel kompletni prava 
"root".

	Dokazeme, pomerne lehce, napsat program, ktery dela prave jen tu 
konkretni vec, kterou chceme uzivateli umoznit - ale bezne se program 
spousti s pravy toho uzivatele, ktery ho spustil. My bychom ale 
potrebovali, aby se spoustel tak, jako by ho spoustel root.

	A to je prave prostor pro zminene dva bity - znamenaji spust program s 
pravy ne toho, kdo ho spousti, ale toho, kdo ho vytvoril (a jednou jde o 
skutecn euzivatele, u druheho bitu jde o skupinu).


	Odstranit lze suid bity u kazdeho programu, ktery nepouzivate - otazka 
k reseni v takove situaci je, zda ho treba neodstranit cely.

	Otazka, ktere programy potrebujete a pouzivate a ktere nikoliv uz nema 
obecnou odpoved.

							Dan



-- 
Dan Lukes      tel: +420 2 21914205, fax: +420 2 21914206
root  of FIONet,  KolejNET,  webmaster  of www.freebsd.cz
AKA: dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz