SetUID

SetUID

Setuid (Set User ID, manchmal auch suid) ist ein erweitertes Unix-Dateirecht für Dateien oder Verzeichnisse des Unix-Betriebssystems. Ausführbare Programme, bei denen dieses Bit gesetzt ist, werden mit den Rechten des Benutzers ausgeführt dem die Datei gehört, anstatt mit den Rechten desjenigen Benutzers, der die Datei ausführt. Auf den meisten Systemen funktioniert dies nur für ausführbare Binärdateien, nicht jedoch für interpretierte Scripts.

Dieses Vorgehen ermöglicht unprivilegierten Benutzern und Prozessen einen kontrollierten Zugriff auf privilegierte Ressourcen.

Im Falle von FreeBSD bewirkt Setuid auf Verzeichnissen, dass darin angelegte Dateien dem Eigentümer des Verzeichnisses gehören und nicht demjenigen Benutzer, der sie anlegt.

Vor- und Nachteile

Vorteil dieses Vorgehens ist seine Einfachheit. Im Systemkern muss nur wenig Funktionalität vorhanden sein, um eine große Bandbreite an Zugriffsteuerungen durch externe Programme zu implementieren. Es genügt in vielen Fällen Funktionalität nach "privilegiert" und "nicht privilegiert" zu trennen, und die Zugriffsteuerung den setuid-Programmen zu überlassen. Programme können des Weiteren in den Rechten beschnitten werden, wenn das Programm einem eingeschränkten Anwender zugeordnet wird.

Klarer Nachteil ist, dass diese setuid-Programme, die einem höher berechtigten Anwender wie root gehören, aufgrund ihrer Privilegien ein Sicherheitsrisiko darstellen. Ein Fehler in einem dieser Programme kann leicht das ganze System kompromittieren. Sie sind daher auch häufig das Ziel von lokalen Angriffen. Daher werden im Allgemeinen Mechanismen bevorzugt, die ohne setuid auskommen.

Klassische setuid-Programme

Unix-Programme, für die das setuid-Bit zur korrekten Funktion gesetzt sein muss, sind zum Beispiel su sowie sudo, welche mit den ihnen damit zur Verfügung stehenden Root-Rechten den zu startenden Prozess unter einer anderen Benutzerumgebung starten. Auch mount und sein Pendant umount benötigen üblicherweise Root-Rechte, erlauben aber normalen Benutzern üblicherweise das Ein- und Aushängen von Laufwerken, die in der Datei /etc/fstab notiert sind.

In allen drei Fällen muss den Dienstprogrammen jeweils die Möglichkeit zur Verfügung stehen, Aktionen mit Root-Rechten auszuführen. Die Entscheidung, ob dies erlaubt sein soll oder nicht, muss allerdings einer privilegierten Instanz obliegen. Sie werden meist anhand von Konfigurationsdateien beschlossen, die für normale Benutzer nicht bearbeitet werden können.

Siehe auch


Wikimedia Foundation.

Игры ⚽ Нужно решить контрольную?

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Setuid — and setgid (short for set user ID upon execution and set group ID upon execution, respectively) are Unix access rights flags that allow users to run an executable with the permissions of the executable s owner or group. They are often used to… …   Wikipedia

  • Setuid — (parfois suid) est un terme UNIX, abréviation de « Set User ID ». Sommaire 1 Setuid et Setgid pour les exécutables 2 Setgid pour les répertoires 3 Voir aussi …   Wikipédia en Français

  • Setuid — (Set User ID, manchmal auch suid) ist ein erweitertes Unix Dateirecht für Dateien oder Verzeichnisse des Unix Betriebssystems. Ausführbare Programme, bei denen dieses Bit gesetzt ist, werden mit den Rechten des Benutzers ausgeführt dem die Datei… …   Deutsch Wikipedia

  • Setuid — Este artículo o sección necesita referencias que aparezcan en una publicación acreditada, como revistas especializadas, monografías, prensa diaria o páginas de Internet fidedignas. Puedes añadirlas así o avisar …   Wikipedia Español

  • SetUID-Bit — Setuid (Set User ID, manchmal auch suid) ist ein erweitertes Unix Dateirecht für Dateien oder Verzeichnisse des Unix Betriebssystems. Ausführbare Programme, bei denen dieses Bit gesetzt ist, werden mit den Rechten des Benutzers ausgeführt dem die …   Deutsch Wikipedia

  • Suid — setuid и setgid (сокращение от set user ID upon execution (установка ID пользователя во время выполнения) и set group ID upon execution (установка ID группы во время выполнения), соответственно) являются Unix флагами прав доступа, которые… …   Википедия

  • Suid — Setuid Setuid (parfois suid) est un terme UNIX, abréviation de « Set User ID ». Il s agit d une propriété qui est appliquée aux fichiers et répertoires d un système d exploitation UNIX. Grâce à cette propriété, un processus exécutant un …   Wikipédia en Français

  • SUID — Setuid (Set User ID, manchmal auch suid) ist ein erweitertes Unix Dateirecht für Dateien oder Verzeichnisse des Unix Betriebssystems. Ausführbare Programme, bei denen dieses Bit gesetzt ist, werden mit den Rechten des Benutzers ausgeführt dem die …   Deutsch Wikipedia

  • File system permissions — Most modern file systems have methods of administering permissions or access rights to specific users and groups of users. These systems control the ability of the users affected to view or make changes to the contents of the file… …   Wikipedia

  • Set-gid-bit — Setgid (Set Group ID, manchmal auch SGID) ist ein (erweitertes) Unix Dateirecht für Dateien oder Verzeichnisse des Unix Betriebssystems. Ausführbare Programme bei denen dieses Bit gesetzt ist, werden beim angemeldeten Benutzer mit den Rechten der …   Deutsch Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”