unix中将root帐户的权限下放给其他用户

在实际工作中,Unix系统工程师可能需要将一些本来应该是root用户才能够运行的一些命令程序下放给普通的用户进行执行.如passwd命令,默认情况下只有root管理员才能够修改用户帐户的密码.不过系统工程师更喜欢用户自己来修改密码.如此的话,用户自己的密码只有自己知道,可能更加的安全.当用户忘记了自己的密码之后,系统工程再利用root帐户的权限去初始化用户的密码.在Windows系统中,这个功能可以轻而易举的实现.不过在Unix系统中,实现起来就没有这么容易了.在这篇文章中,笔者就跟大家讨论一下这个话题.

　　一、有效的UID与真实的UID.

　　当系统管理员在shell环境中运行passwd命令时,shell会创建另一个shell进程.新创建的shell进程映像将载入passwd可执行映像并覆盖自己的映像,passwd进程就开始运行.当一个进程被创建之后,passwd进程会从shell父进程中继承大部分的属性.跟今天这个话题有关的属性主要有两个.一是进程真实的UID.这个属性与程序文件有关.这个参数代表了运行这个进程的用户(而非程序文件)的UID,通常情况下这个参数保存在/etc/passwd中与用户有关的记录中.二是进程有效的UID.这个参数其实就表示程序文件的所有者,即谁能够执行这个命令.通常情况下,进程的有效UID与真实UID是相同的.但是当非root用户运行passwd命令时,他们就会不同.

　　二、PASSWD文件的特殊性.

　　在讲解如何实现将root帐户的权限下放给其他用户之前,笔者要先给大家介绍一下passwd这个命令文件跟其他文件的不同.如下图所示,系统管理员可以运行图中所示的命令,来查看passwd程序文件与其它程序文件(如vi)的不同.

对比以上两个文件的属性,大家会发现在passwd文件里的一个权限位上标有s这个特殊的字符.这个参数就被称为属主身份设置位,英文简称为SUID,它可以用来改变一般用户的权限模式.当非root用户执行passwd更改自己帐户的名字时,真实的UID就是这个用户自己的UID,即运行这个程序的用户.但是有效的UID则不是.有效的UID是root用户,即这个程序文件的所有者.通常情况下,进程或者命令的存取、运行权限不是由真是UID而是有有效UID决定的,故如果没有这个s这个特殊属主身份设置时,其他用户将无法使用这个命令.而现在其他用户也可以利用passwd命令来更改自己的命令,可见这个属主身份设置位可以改变一般用户的权限模式,可以将本来只有root帐户才能够运行的进程下放给其他用户运行.

　　三、临时权限SUID.

　　将本来只有root帐户才能够运行的进程下放给其他用户运行,有专家就把这种权限的转移叫做临时权限SUID.大部分的Unix系统都有这么一个特殊的权限设置模式,允许用户更新一些敏感的系统文件.往往在这些文件的用户权限组里面有一个特殊的字母s,就代表一种特殊的模式,即属主身份设置位.利用这种模式系统工程师可以让进程暂时拥有文件所有者的特权.因此当一个非特权用户执行passwd命令时,进城有效的UID并不是用户真实的UID.Passwd命令真是利用这个特性让其他非特权用户可以执行这个passwd命令.Passwd命令默认情况下系统就允许其他非特权用户运行.但是其他一些系统维护命令,如网络配置文件则不是.如果系统工程师要把网络维护的工作分配给他人,就需要借鉴passwd的配置,将网络配置文件的修改权限下放给其他用户.

　　四、临时权限的设置.

　　正如上面所说的,默认情况下只有少数的只有root用户才能够执行的命令其他用户也可以执行.如果在日常工作中,系统工程师希望其他用户也能够执行root权限才能够执行的命令,则系统管理员需要进行额外的配置.这个配置也比较简单,就是跟passwd命令文件一样,也在需要配置的文件权限组中加入s属主设置位即可.

通常情况下,Unix操作系统可以利用两种方式来添加这个S属主设置位

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!