chgrpが「setuidビット」をクリアしないようにする方法

RHベースのLinuxイメージがあります。私たちの製品の最新の開発バージョンにアップグレードするために、いくつかの「特別なアーカイブ」を「適用」する必要があります。

アーカイブを作成した人は、ベースイメージ内で一部の権限が間違っていることに気付きました。私たちは走るように言われました

sudo chgrp -R nobody /whatever

私たちはそれをしました。その後、アプリケーションの実行中に、あいまいな問題が発生しました。

後で見つけたもの：chgrpを呼び出すと、/ whatever内のバイナリのsetuidビット情報がクリアされます。

そして実際の問題は次のとおりです。一部のバイナリは、正しく機能するためにそのsetuidビットが設定されている必要があります。

短い話：私のsetuidビットを殺さずに "chgrp"コマンドを実行する方法はありますか？

私はローカルUbuntuで以下を実行しました。同じ結果につながる：

mkdir sticky
cd sticky/
touch blub
chmod 4755 blub 
ls -al blub 

->背景が赤のファイル名が表示されます->そう、そうです、setuid

chgrp -R myuser .
ls -al blub 

->赤い背景なしでファイル名を表示します-> setuidがなくなっています

chgrp -R nobody /whateversetuidビットを保持したまま実装したい場合は、次の2つのfindコマンドを使用できます

find /whatever ! -type l -perm -04000 -exec chgrp nobody {} + \
                                      -exec chmod u+s {} +
find /whatever ! -type l ! -perm -04000 -exec chgrp nobody {} +

このfind ... -perm 04000オプションは、setuidビットが設定されたファイルを取得します。最初のコマンドは次にを適用しchgrp、次にa chmodを適用して、ノックオフされたsetuidビットを復元します。2番目の方法chgrpは、setuidビットを持たないすべてのファイルに適用されます。

いずれの場合も、シンボリックリンクを呼び出しchgrpたりchmod、ターゲットに影響を与えるため、シンボリックリンクを使用しないでください! -type l。

SUIDおよびSGIDビットをchgrp（またはchown）クリアすることは完全に合理的です。セキュリティ上の問題を防ぐための安全対策です。SGIDの場合（実行可能ファイルでは、私は推測する）は、グループ所有者の有効なグループでこのプログラムを実行することを意味します。

グループの所有者を変更すると、セキュリティとアクセス制御の点でこれはまったく異なるものになります。つまり、実効グループで実行する代わりにuvw、プログラムは実効グループで実行されるようになりxyzます。

したがって、所有権の変更時に明示的にSUIDまたはSGIDビットを復元する必要があります。

補遺：chgrp（またはchown）はSGID（またはSUID、それぞれ）のみをクリアする必要があるという主張について

chownINGのかchgrpINGのあなたは、実行可能ファイルのセキュリティ設定を変更し、この属性を上昇させる任意の特権をクリアするのに十分な理由です。Unixの威力は概念の単純さに由来し、Unixのセキュリティはすでにかなりトリッキーです。この目的のために、所有権の変更時にSUIDとSGIDを削除することは、単なる安全策です。結局のところ、Unix / Linuxの歴史には、SUIDまたはSGID設定の誤解によるかなりの脆弱性がありました。

したがって、Unixがこのように動作する深い理由はありません。これは、保守的な設計上の決定にすぎません。

非ディレクトリのsetuid、setgidビット（少なくともLinuxでは）のクリアは、それ自体ではなく、によってchown()行われるシステムコール時にカーネルによって行わchgrpれchgrpます。したがって、後でそれを復元するのが唯一の方法です。

また、セキュリティ機能もクリアされます。

したがって、GNU Linuxでは：

chown_preserve_sec() (
  newowner=${1?}; shift
  for file do
    perms=$(stat -Lc %a -- "$file") || continue
    cap=$(getfattr -m '^security\.capability$' --dump -- "$file") || continue
    chown -- "$newowner" "$file" || continue
    [ -z "$cap" ] || printf '%s\n' "$cap" | setfattr --restore=-
    chmod -- "$perms" "$file"
  done
)

そして（としてroot）：

chown_preseve_sec :newgroup file1 file2...

権限を保持しようとしながらグループを変更します。

再帰的に、次のことができます：

# save permissions (and ACLs). Remove the "# owner" and "# group" lines
# to prevent them being restored!
perms=$(getfacl -RPn . | grep -vE '^# (owner|group): ')
# save capabilities
cap=$(getfattr -Rhm '^security\.capability$' --dump .)

chgrp -RP nobody .

# restore permissions, ACLs and capabilities
printf '%s\n' "$perms" | setfacl --restore=-
[ -z  "$cap" ] || printf '%s\n' "$cap" | setfattr -h --restore=-

（それ以外に何も同時にファイルをめちゃくちゃにしていないことを前提としています）。

いつものように管理することには多くの方法があります。

私が配置したソリューションは次のようになります：

cd /home/me
getfacl -R /whatever > whatever-permissions.org 2> /dev/null

# A) change lines starting with      # group: root
# to                                 # group: whatineed
sed 's/^# group: root/# group: whatineed/g' whatever-permissions.org > whatever-permissions.new

# B) change lines with               group::x.y
# to                                 group::xwy
# (where x, y mean: whatever was there before)
sed 's/^group::\(.\).\(.\)/group::\1w\2/g' whatever-permissions.new > whatever-permissions.new

cd /
setfacl --restore /home/me/whatever-permissions.new