当前位置：首页 > news >正文

Linux特权组全解析：识别GID带来的权限提升风险

news 来源：原创 2025/5/9 14:00:40

组ID（Group ID，简称 GID）是Linux系统中用来标识不同用户组的唯一数字标识符。每个用户组都有一个对应的 GID，通过 GID，系统能够区分并管理不同的用户组。

在Linux系统中，系统用户和组的配置文件通常包括以下内容：

/etc/passwd 文件：存储用户账户信息（包括 UID 和 GID）。
/etc/group 文件：存储用户组的信息（包括组名、GID、组成员等）。

如何查看系统中的组和 GID

1. 查看所有组信息

使用 cat 命令查看 /etc/group 文件，它列出了系统中所有组的名称、GID 和成员信息：

cat /etc/group

输出示例：

root:x:0:root
adm:x:4:syslog,john
docker:x:999:jane,root
sudo:x:27:root,john
wheel:x:10:admin
disk:x:6:root,john
tty:x:5:root

2. 查看特定用户的组信息

使用 groups 命令可以查看当前用户属于哪些组：

groups username

输出示例：

john : john adm sudo docker

这表示 john 用户属于 john、adm、sudo 和 docker 组。

3. 查看特定用户的 UID 和 GID

使用 id 命令可以查看特定用户的 UID 和 GID：

id john

输出示例：

uid=1000(john) gid=1000(john) groups=1000(john),4(adm),27(sudo),999(docker)

常见的系统组及其 GID

以下是一些常见的 Linux 系统用户组及其默认的 GID。

组名	描述	默认 GID
root	系统超级用户组，具有最高权限，通常是系统管理员所在组。	0
sys	系统管理组，通常与硬件设备操作、系统服务管理相关。	3
adm	系统日志组，通常有权限查看系统日志文件和其他监控信息。	4
tty	与终端设备相关的用户组，通常用于控制台操作、终端设备访问。	5
disk	允许用户访问和管理磁盘设备的组，通常包括对磁盘分区的操作权限。	6
mail	邮件相关用户组，用于邮件服务器的配置和管理。	8
wheel	允许通过`su`或`sudo`执行特权命令的用户组。通常用于授权管理员权限。	10
docker	Docker容器运行组，赋予用户管理Docker容器的权限。	999
sudo	允许用户通过`sudo`命令执行特权操作的用户组。通常与`wheel`组功能重叠。	27
games	游戏相关的用户组，授予游戏应用相关的权限。	60
staff	具有管理员权限的普通用户组，通常授予安装和管理软件的权限。	50
users	默认的普通用户组，系统中所有非特权用户的默认归属组。	100
lxd	LXD容器组，LXD是Linux的系统容器管理工具，用户属于此组可管理LXD容器。	101
network	网络设备相关的用户组，通常允许管理网络设备和配置。	101
plugdev	允许用户挂载和访问外部存储设备（如USB设备）的组。	46
audio	与音频设备相关的用户组，允许用户访问音频硬件。	70
video	与视频设备相关的用户组，允许用户访问视频硬件，如摄像头或显示设备。	44
cdrom	允许用户访问光驱设备的组。	24
power	控制系统电源管理权限的组，通常包括关机、重启权限。	98
storage	允许用户管理存储设备的组。通常包括对硬盘和存储设备的访问权限。	118

组ID与权限提升

`docker`（GID: 999）

GID 999 是 Docker 用户组的默认组 ID。加入 docker 组的用户可以无需 sudo 执行 Docker 命令，这种特权可能导致容器逃逸（container escape）。

提权途径：如果攻击者能够加入 docker 组，他们可以直接控制 Docker 容器。若容器以特权模式运行，攻击者可以通过容器访问宿主机文件系统，甚至执行恶意操作，进而提权至宿主机的 root 用户，获取完全控制权限。

例如，攻击者可以通过以下命令将容器挂载宿主机的根文件系统，进而访问宿主机所有文件：

docker run -v /:/mnt --rm -it alpine chroot /mnt sh

`disk`（GID: 6）

GID 6 是 disk 组的默认 GID。属于 disk 组的用户有权限访问磁盘设备，包括硬盘分区、挂载设备等。

提权途径：攻击者可以利用 disk 组的权限直接操作磁盘设备。通过工具如 fdisk 或 parted 修改磁盘分区表，攻击者可能绕过权限限制，访问本应受到保护的文件或设备。攻击者甚至能够通过修改启动分区来控制系统。

例如，攻击者可以执行以下操作来查看磁盘分区信息：

df -h

然后，使用 debugfs 获取磁盘分区的详细信息：

debugfs /dev/sda3

通过该方式，攻击者可对整个磁盘进行读写操作，包括读取 /root/.ssh/id_rsa（私钥）或 /etc/shadow（用户密码哈希），进而破解系统账户密码，获取更高权限。

`adm`（GID: 4）

GID 4 是 adm 组的默认 GID。该组的用户通常具有查看系统日志文件的权限，常见的日志文件包括 /var/log/auth.log 和 /var/log/syslog，这些文件可能包含系统的敏感信息，如用户登录记录和身份验证信息。

提权途径：攻击者若能访问 adm 组的权限，便可以读取日志文件，从中提取有用的信息，例如用户名、密码哈希等。结合暴力破解工具（如 John the Ripper），攻击者可以破解密码，从而进一步提升权限。

例如，攻击者可以通过查看 /var/log/auth.log 中的记录，获得用户登录信息。

`tty`（GID: 5）

GID 5 是 tty 组的默认 GID。该组的用户拥有对终端设备的访问权限，能够进行输入和输出操作。

提权途径：攻击者可以利用 tty 组的权限伪装终端设备，从而捕获用户的输入，甚至干扰其他用户的会话，获取更多的控制权。通过对终端的控制，攻击者可能会获取其他用户的凭证或执行恶意操作，进一步提升自己的权限。

`wheel`（GID: 10）

GID 10 是 wheel 组的默认 GID。该组标识可以通过 sudo 或 su 获得 root 权限的用户。

提权途径：加入 wheel 组的用户能够使用 sudo 执行任意命令，如果 sudo 配置不当，攻击者可能通过 sudo 提权至 root 用户，执行恶意命令并完全控制系统。通过此途径，攻击者可以绕过普通用户的权限限制，进行任意操作，如安装恶意软件、修改系统配置或删除日志等。

总结

Linux系统中的组ID（GID）是区分用户组和管理权限的重要手段。了解每个组及其对应的 GID，有助于管理员在系统配置和权限控制中做出更加合理的选择。然而，不当的组配置或权限分配可能为攻击者提供潜在的攻击面，导致系统安全风险。因此，在进行系统配置和渗透测试时，必须特别关注具有特殊权限的用户组，确保系统能够在最小权限原则下正常运行，并及时发现并修复安全漏洞。

系统中的某些特权组（如 docker、disk、adm、tty 和 wheel）具有较高的权限，若攻击者能够成功加入这些组，便能通过相应的权限提升手段对系统进行攻击。因此，管理员需要确保这些组的权限配置严格控制，定期审查用户组的成员，并确保敏感命令和文件的访问权限得到适当限制，从而降低潜在的安全风险。

如何查看系统中的组和 GID

1. 查看所有组信息

2. 查看特定用户的组信息

3. 查看特定用户的 UID 和 GID

常见的系统组及其 GID

组ID与权限提升

docker（GID: 999）

disk（GID: 6）

adm（GID: 4）

tty（GID: 5）

wheel（GID: 10）

总结

相关文章：

`docker`（GID: 999）

`disk`（GID: 6）

`adm`（GID: 4）

`tty`（GID: 5）

`wheel`（GID: 10）