Centro de Conhecimento DevOps
Centro de Conhecimento DevOps

Melhores Práticas para Proteger Sistemas de Arquivos Linux com Permissões Especiais

Domine a segurança de sistemas de arquivos Linux aproveitando permissões especiais: SUID, SGID e o Sticky Bit. Este guia explica como aplicar esses modos com segurança usando notação octal para impor contexto de execução, garantir a herança de grupo em pastas compartilhadas e prevenir a exclusão não autorizada de arquivos em diretórios como /tmp, fornecendo exemplos práticos para o fortalecimento do sistema.

38 visualizações

Melhores Práticas para Proteger Sistemas de Arquivos Linux com Permissões Especiais

As permissões de arquivo do Linux formam a base da segurança do sistema, controlando quem pode ler, escrever e executar arquivos. Embora as permissões padrão de leitura/escrita/execução (rwx) sejam fundamentais, o Linux introduz bits de permissão especiais – SUID, SGID e Sticky Bit – para gerenciar o contexto de execução e a integridade de recursos compartilhados. Dominar essas permissões permite que os administradores concedam capacidades elevadas específicas com segurança, garantindo a funcionalidade necessária e minimizando os riscos de segurança.

Este guia aprofunda-se na aplicação prática e nas implicações de segurança do Set User ID (SUID), Set Group ID (SGID) e do Sticky Bit. Entender quando e como implantar esses recursos é crucial para manter a eficiência operacional sem comprometer a postura geral de segurança do seu ambiente Linux.

Entendendo o Resumo das Permissões Padrão

Antes de explorar as permissões especiais, é essencial lembrar a notação de tripleto padrão (rwx para proprietário, grupo e outros). Essas permissões são representadas numericamente usando valores octais (por exemplo, 755 ou 644).

  • r (Leitura) = 4
  • w (Escrita) = 2
  • x (Execução) = 1

As permissões especiais modificam este comportamento base e são representadas por um quarto dígito octal inicial (4, 2 ou 1).

As Permissões Especiais: SUID, SGID e o Sticky Bit

As permissões especiais adicionam funcionalidade além do controle de acesso padrão. Elas são geralmente indicadas na listagem longa (ls -l) por um s ou t substituindo o flag x padrão.

Permissão Valor Octal Efeito
SUID (Set User ID) 4 O arquivo é executado com as permissões do proprietário do arquivo (não do usuário que o está executando).
SGID (Set Group ID) 2 O arquivo é executado com as permissões do grupo do arquivo, ou novos arquivos herdam o ID de grupo do diretório pai.
Sticky Bit 1 Impede que os usuários excluam ou renomeiem arquivos pertencentes a outros usuários em um diretório compartilhado, mesmo que tenham permissão de escrita para o diretório.

1. Set User ID (SUID)

O bit SUID é poderoso e potencialmente perigoso se mal utilizado. Quando definido em um arquivo executável, qualquer usuário que execute esse arquivo executa o processo com as permissões do proprietário.

Caso de Uso Prático: Utilitários que exigem privilégios de root para realizar uma tarefa específica, mas que não devem conceder acesso root geral ao usuário.

Exemplo: SUID em /usr/bin/passwd

O comando /usr/bin/passwd tipicamente requer acesso root para modificar o arquivo seguro /etc/shadow. Ele tem o bit SUID definido, permitindo que um usuário padrão obtenha temporariamente os privilégios do proprietário (root) apenas durante a execução de passwd para alterar sua própria senha.

Visualizando SUID: Note o s no slot de execução do proprietário:

ls -l /usr/bin/passwd
# Output example: -rwsr-xr-x 1 root root ... /usr/bin/passwd

Definindo SUID: Use o valor octal 4 combinado com as permissões padrão (por exemplo, 755 torna-se 4755):

# Assumindo que 'my_script' pertence a 'appuser'
chmod 4755 /path/to/my_script

Aviso de Segurança para SUID: Nunca defina o bit SUID em shells de propósito geral (como /bin/bash) ou scripts que interpretem entrada externa, pois isso concede acesso root irrestrito a qualquer pessoa que execute o arquivo.

2. Set Group ID (SGID)

O bit SGID tem duas funções principais, dependendo se é aplicado a um arquivo ou a um diretório.

A. SGID em Arquivos Executáveis

Quando definido em um arquivo executável, o processo é executado com as permissões associadas à propriedade de grupo do arquivo, e não ao grupo primário do usuário.

B. SGID em Diretórios (Crucial para Ambientes Compartilhados)

Quando definido em um diretório, qualquer novo arquivo ou subdiretório criado dentro dele herda automaticamente a propriedade de grupo do diretório pai, em vez do grupo primário do usuário que criou o novo arquivo.

Caso de Uso Prático: Pastas de projetos compartilhados onde todos os colaboradores devem ter acesso de grupo unificado para colaboração.

Definindo SGID em um Diretório: Use o valor octal 2 combinado com as permissões padrão (por exemplo, 775 torna-se 2775):

# Define a propriedade do grupo como 'developers' e habilita SGID
chgrp developers /srv/shared_project
chmod 2775 /srv/shared_project

3. O Sticky Bit

O Sticky Bit (ou Atributo Salvar Texto) é usado quase exclusivamente em diretórios compartilhados para controlar a exclusão de arquivos.

Quando o Sticky Bit é definido em um diretório, apenas o proprietário de um arquivo dentro desse diretório, ou o usuário root, pode excluir ou renomear esse arquivo, mesmo que o próprio diretório permita acesso de escrita para 'outros' (o+w).

Caso de Uso Prático: Diretórios públicos compartilhados como /tmp ou pastas de upload departamentais onde os usuários devem ser capazes de gerenciar apenas os arquivos que criaram.

Exemplo: O Diretório /tmp

O diretório /tmp frequentemente tem permissões como 1777. O 1 indica que o Sticky Bit está ativo.

ls -ld /tmp
# Output example: drwxrwxrwt 15 root root 4096 Mar 10 11:30 /tmp

O t no final confirma que o sticky bit está definido. Sem ele, qualquer usuário poderia excluir arquivos criados por outros usuários em /tmp.

Definindo o Sticky Bit: Use o valor octal 1 combinado com as permissões padrão (por exemplo, 777 torna-se 1777):

chmod 1777 /var/public_uploads

Gerenciamento Abrangente: Combinando Permissões Especiais

As permissões especiais são frequentemente combinadas. O quarto dígito inicial é a soma dos bits especiais desejados (4+2+1 = 7).

Permissões Desejadas Valor Octal
Padrão rwxr-xr-x (755) 755
SUID + rwxr-xr-x 4755
SGID + rwxr-xr-x 2755
Sticky Bit + rwxrwxrwx 1777
SUID + SGID + Sticky Bit + rwx (Raramente necessário) 7777

Exemplo de Combinação de SGID e Sticky Bit para Pastas Compartilhadas:

Para criar um diretório de colaboração seguro e compartilhado onde todos os usuários façam parte do grupo 'team', os novos arquivos herdem o grupo 'team' e os usuários não possam excluir os arquivos uns dos outros:

  1. Definir a propriedade de Grupo: chgrp team /data/projectX
  2. Aplicar SGID (2) + rwx Padrão (7) + Sticky Bit (1) $\rightarrow 2+1 = 3$ para os bits especiais.
    • Usando a soma explícita: SGID (2) + Sticky Bit (1) = 3. Permissões padrão 775.
    • Comando Total: chmod 3775 /data/projectX

Ao visualizar isto: drwxrwxrw t (ou drwxrwsrw t se o bit de grupo também foi usado para execução).

Melhores Práticas para Segurança de Permissões Especiais

Devido aos privilégios elevados que o SUID e o SGID concedem, eles devem ser gerenciados com extrema cautela.

  1. Limitar o Escopo do SUID: Defina SUID apenas em executáveis binários compilados que são necessários para operações padrão (como passwd, ping). Nunca aplique SUID a scripts interpretados (Shell, Python, Perl), a menos que estejam encapsulados em um executável wrapper seguro que valide a entrada.
  2. Auditoria Regular: Analise periodicamente o sistema de arquivos em busca de arquivos SUID/SGID incomuns usando o comando find:
    bash # Encontra todos os arquivos com SUID definido find / -perm /4000 2>/dev/null # Encontra todos os arquivos com SGID definido find / -perm /2000 2>/dev/null
  3. Use SGID para Consistência de Grupo: Prefira SGID em vez de gerenciar manualmente a propriedade do grupo de arquivos em estruturas de dados compartilhadas; ele automatiza a herança de grupo.
  4. Sticky Bit para Áreas Públicas de Escrita: O Sticky Bit é essencial para qualquer diretório destinado ao uso geral do usuário, onde a exclusão por não proprietários deve ser restrita (por exemplo, /tmp, /var/tmp).

Ao empregar o SUID com cautela para tarefas elevadas necessárias, o SGID para gerenciamento consistente de grupo e o Sticky Bit para integridade de diretório compartilhado, os administradores podem construir um ambiente de sistema de arquivos Linux altamente funcional, mas robustamente seguro.