web-dev-qa-db-fra.com

Impossible d'entrer dans le superutilisateur avec su

Chaque fois que j'essaie de courir

su
Password:

Ensuite, il montre une erreur

setgid: Operation not permitted

Ce problème est survenu après la modification des autorisations à l'aide de chown

La sortie de ls -lsa /bin/su est:

40 -rwxrwxr-x 1 jheel root 40128 May 17 2017 /bin/su
command-linepermissionsrootsu
4
Jheel rathod

Les autorisations correctes de /bin/su devraient être: - rwsr-xr-x 

-rwsr-xr-x 1 root root 40128 May 17  2017 /bin/su*

Afin de résoudre ce problème spécifique, vous devez:

  1. Changer le propriétaire du fichier pour qu'il soit root: root
  2. Modifier l'autorisation de fichier pour qu'elle soit - rwsr-xr-x

Cela peut être fait en utilisant:

Sudo chown root:root /bin/su
Sudo chmod 4755 /bin/su
  • La première commande qui modifie le propriétaire du fichier en root.
  • La commande suivante modifiera l’autorisation permettant à tout utilisateur de lire/exécuter et mettra le bit s sur la commande /bin/su.

Q: Pourquoi exécuter chown sur /bin/su a également supprimé les bits set-user-id/set-group-id?

R: De par la conception, l'exécution de chown peut supprimer les bits set-user-id/set-group-id. Lorsque ces bits sont définis, l'exécution de ce fichier entraînera son exécution en tant que propriétaire du fichier binaire, au lieu du propriétaire du processus qui exécute le fichier. Si vous modifiez le propriétaire (ou le groupe) du fichier sans supprimer le bit set-user-id, vous obtiendrez un fichier qui sera exécuté en tant qu'utilisateur différent de celui initialement planifié, ce qui pourrait entraîner une faille de sécurité.

Quelques références:

norme POSIX chown

Unless chown is invoked by a process with appropriate privileges, the set-user-ID and set-group-ID bits of a regular file shall be

autorisé en cas de réussite; les bits set-user-id et set-group-ID d'autres types de fichiers peuvent être effacés.

page de manuel Ubuntu chown suggère d'exécuter info coreutils 'chown invocation' afin d'obtenir la documentation complète de chown

13.1 ‘chown’: Change file owner and group
=========================================

‘chown’ changes the user and/or group ownership of each given FILE to
NEW-OWNER or to the user and group of an existing reference file.
Synopsis:

....

   The ‘chown’ command sometimes clears the set-user-ID or set-group-ID
permission bits.  This behavior depends on the policy and functionality
of the underlying ‘chown’ system call, which may make system-dependent
file mode modifications outside the control of the ‘chown’ command.  For
example, the ‘chown’ command might not affect those bits when invoked by
a user with appropriate privileges, or when the bits signify some
function other than executable permission (e.g., mandatory locking).
When in doubt, check the underlying system behavior.
12
Yaron