4.7.2.- Bits de permisos especiales

Existen unas cuantas opciones más para los permisos, que se pueden indicar mediante cambios en la cadena de permisos:

Definir la ID de usuario (SUID).- La opción set user ID (SUID) se usa junto a los ficheros ejecutables y le indica a Linux que se ejecute el programa con los permisos de cualquiera de los propietarios del fichero, en lugar de con los permisos del usuario que ejecuta el programa. Por ejemplo, si un fichero que es propiedad de root y tiene definido su bit SUID, el programa se ejecutará con privilegios de root y, por lo tanto, podrá leer cualquier fichero del ordenador. Algunos servidores y otros programas del sistema ejecutan este modo, lo que se suele llamar SUID root.

bits_1

Definir la ID de grupo (SGID).- La opción set group ID (SGID) es similar a la opción SUID, pero asigna el grupo del programa en ejecución como grupo del fichero. Se indica mediante s en la posición del bit de ejecución del grupo en la cadena de permisos, como en rwxr-sr-x. Cuando s define el bit SGID en un directorio, los nuevos ficheros o subdirectorios creados en lugar de tomar el grupo por defecto del usuario actual.

GUIDSticky bit.- Se utiliza para que los ficheros puedan ser borrados por los usuarios que no son propietarios. Cuando este bit está presente en un directorio, sólo podrán borrar los ficheros del directorio los propietarios de éstos, el propietario o root. El stickly bit viene indicado por una T (en otros equipos podría ser una t) en la posición del bit de ejecución de los permisos generales como en -rwsr-s--T.

stickly_bit

 Todos los bits de permisos especiales tienen una implicaciones de seguridad. Los programas SUID y SGID (particularmente los SUID root) suponen riesgos potenciales para la seguridad. Sin embargo, algunos programas deben tener definidos sus bits SUID para poder funcionar correctamente, la mayoría no, por lo que no debemos definirlo a menos que sea necesario hacerlo. El stickly bit en cambio no es peligroso, pero afecta a quienes puedan borrar los ficheros de un directorio, imaginemos su efecto (o el efecto de no incluirlo) en un directorio a los que deben acceder muchos usuarios para poder escribir, como /tmp. Normalmente, tales directorios tienen sus stickly bit definidos.

ACL_

Anuncios