组ID(Group ID,简称 GID)是Linux系统中用来标识不同用户组的唯一数字标识符。每个用户组都有一个对应的 GID,通过 GID,系统能够区分并管理不同的用户组。
在Linux系统中,系统用户和组的配置文件通常包括以下内容:
/etc/passwd文件:存储用户账户信息(包括 UID 和 GID)。/etc/group文件:存储用户组的信息(包括组名、GID、组成员等)。
如何查看系统中的组和 GID
1. 查看所有组信息
使用 cat 命令查看 /etc/group 文件,它列出了系统中所有组的名称、GID 和成员信息:
cat /etc/group
输出示例:
root:x:0:root
adm:x:4:syslog,john
docker:x:999:jane,root
sudo:x:27:root,john
wheel:x:10:admin
disk:x:6:root,john
tty:x:5:root
2. 查看特定用户的组信息
使用 groups 命令可以查看当前用户属于哪些组:
groups username
输出示例:
john : john adm sudo docker
这表示 john 用户属于 john、adm、sudo 和 docker 组。
3. 查看特定用户的 UID 和 GID
使用 id 命令可以查看特定用户的 UID 和 GID:
id john
输出示例:
uid=1000(john) gid=1000(john) groups=1000(john),4(adm),27(sudo),999(docker)
常见的系统组及其 GID
以下是一些常见的 Linux 系统用户组及其默认的 GID。
| 组名 | 描述 | 默认 GID |
|---|---|---|
root | 系统超级用户组,具有最高权限 | 0 |
docker | Docker 容器运行组,赋予用户 Docker 容器访问权限 | 999 |
wheel | 允许通过 su 或 sudo 执行特权命令的用户组 | 10 |
adm | 系统日志组,通常有权限查看日志文件 | 4 |
disk | 允许用户访问磁盘设备的组 | 6 |
sys | 系统管理组,通常与硬件设备操作相关 | 3 |
staff | 用于有管理员权限的普通用户组,通常用于安装软件 | 50 |
users | 默认的用户组 | 100 |
games | 游戏相关的用户组 | 60 |
mail | 邮件相关用户组 | 8 |
tty | 与终端设备相关的用户组,通常用于控制台操作 | 5 |
input | 输入设备相关的组 | 14 |
audio | 音频设备访问权限组 | 63 |
video | 视频设备访问权限组 | 44 |
plugdev | 外部设备访问权限组 | 46 |
netdev | 网络设备访问权限组 | 101 |
组ID与权限提升
docker(GID: 999)
GID 999 是 Docker 用户组的默认组 ID。加入 docker 组的用户可以无需 sudo 执行 Docker 命令,这种特权可能导致容器逃逸(container escape)。
提权途径:如果攻击者能够加入 docker 组,他们可以直接控制 Docker 容器。若容器以特权模式运行,攻击者可以通过容器访问宿主机文件系统,甚至执行恶意操作,进而提权至宿主机的 root 用户,获取完全控制权限。
例如,攻击者可以通过以下命令将容器挂载宿主机的根文件系统,进而访问宿主机所有文件:
docker run -v /:/mnt --rm -it alpine chroot /mnt sh
disk(GID: 6)
GID 6 是 disk 组的默认 GID。属于 disk 组的用户有权限访问磁盘设备,包括硬盘分区、挂载设备等。
提权途径:攻击者可以利用 disk 组的权限直接操作磁盘设备。通过工具如 fdisk 或 parted 修改磁盘分区表,攻击者可能绕过权限限制,访问本应受到保护的文件或设备。攻击者甚至能够通过修改启动分区来控制系统。
例如,攻击者可以执行以下操作来查看磁盘分区信息:
df -h
然后,使用 debugfs 获取磁盘分区的详细信息:
debugfs /dev/sda3
通过该方式,攻击者可对整个磁盘进行读写操作,包括读取 /root/.ssh/id_rsa(私钥)或 /etc/shadow(用户密码哈希),进而破解系统账户密码,获取更高权限。
adm(GID: 4)
GID 4 是 adm 组的默认 GID。该组的用户通常具有查看系统日志文件的权限,常见的日志文件包括 /var/log/auth.log 和 /var/log/syslog,这些文件可能包含系统的敏感信息,如用户登录记录和身份验证信息。
提权途径:攻击者若能访问 adm 组的权限,便可以读取日志文件,从中提取有用的信息,例如用户名、密码哈希等。结合暴力破解工具(如 John the Ripper),攻击者可以破解密码,从而进一步提升权限。
例如,攻击者可以通过查看 /var/log/auth.log 中的记录,获得用户登录信息。
tty(GID: 5)
GID 5 是 tty 组的默认 GID。该组的用户拥有对终端设备的访问权限,能够进行输入和输出操作。
提权途径:攻击者可以利用 tty 组的权限伪装终端设备,从而捕获用户的输入,甚至干扰其他用户的会话,获取更多的控制权。通过对终端的控制,攻击者可能会获取其他用户的凭证或执行恶意操作,进一步提升自己的权限。
wheel(GID: 10)
GID 10 是 wheel 组的默认 GID。该组标识可以通过 sudo 或 su 获得 root 权限的用户。
提权途径:加入 wheel 组的用户能够使用 sudo 执行任意命令,如果 sudo 配置不当,攻击者可能通过 sudo 提权至 root 用户,执行恶意命令并完全控制系统。通过此途径,攻击者可以绕过普通用户的权限限制,进行任意操作,如安装恶意软件、修改系统配置或删除日志等。
总结
Linux系统中的组ID(GID)是区分用户组和管理权限的重要手段。了解每个组及其对应的 GID,有助于管理员在系统配置和权限控制中做出更加合理的选择。然而,不当的组配置或权限分配可能为攻击者提供潜在的攻击面,导致系统安全风险。因此,在进行系统配置和渗透测试时,必须特别关注具有特殊权限的用户组,确保系统能够在最小权限原则下正常运行,并及时发现并修复安全漏洞。
系统中的某些特权组(如 docker、disk、adm、tty 和 wheel)具有较高的权限,若攻击者能够成功加入这些组,便能通过相应的权限提升手段对系统进行攻击。因此,管理员需要确保这些组的权限配置严格控制,定期审查用户组的成员,并确保敏感命令和文件的访问权限得到适当限制,从而降低潜在的安全风险。
