当前位置：首页 > article >正文

Linux特权组全解析：识别GID带来的权限提升风险

article 2026/5/6 23:22:35

组ID（Group ID，简称 GID）是Linux系统中用来标识不同用户组的唯一数字标识符。每个用户组都有一个对应的 GID，通过 GID，系统能够区分并管理不同的用户组。

在Linux系统中，系统用户和组的配置文件通常包括以下内容：

/etc/passwd 文件：存储用户账户信息（包括 UID 和 GID）。
/etc/group 文件：存储用户组的信息（包括组名、GID、组成员等）。

如何查看系统中的组和 GID

1. 查看所有组信息

使用 cat 命令查看 /etc/group 文件，它列出了系统中所有组的名称、GID 和成员信息：

cat /etc/group

输出示例：

root:x:0:root
adm:x:4:syslog,john
docker:x:999:jane,root
sudo:x:27:root,john
wheel:x:10:admin
disk:x:6:root,john
tty:x:5:root

2. 查看特定用户的组信息

使用 groups 命令可以查看当前用户属于哪些组：

groups username

输出示例：

john : john adm sudo docker

这表示 john 用户属于 john、adm、sudo 和 docker 组。

3. 查看特定用户的 UID 和 GID

使用 id 命令可以查看特定用户的 UID 和 GID：

id john

输出示例：

uid=1000(john) gid=1000(john) groups=1000(john),4(adm),27(sudo),999(docker)

常见的系统组及其 GID

以下是一些常见的 Linux 系统用户组及其默认的 GID。

组名	描述	默认 GID
`root`	系统超级用户组，具有最高权限	0
`docker`	Docker 容器运行组，赋予用户 Docker 容器访问权限	999
`wheel`	允许通过 `su` 或 `sudo` 执行特权命令的用户组	10
`adm`	系统日志组，通常有权限查看日志文件	4
`disk`	允许用户访问磁盘设备的组	6
`sys`	系统管理组，通常与硬件设备操作相关	3
`staff`	用于有管理员权限的普通用户组，通常用于安装软件	50
`users`	默认的用户组	100
`games`	游戏相关的用户组	60
`mail`	邮件相关用户组	8
`tty`	与终端设备相关的用户组，通常用于控制台操作	5
`input`	输入设备相关的组	14
`audio`	音频设备访问权限组	63
`video`	视频设备访问权限组	44
`plugdev`	外部设备访问权限组	46
`netdev`	网络设备访问权限组	101

组ID与权限提升

`docker`（GID: 999）

GID 999 是 Docker 用户组的默认组 ID。加入 docker 组的用户可以无需 sudo 执行 Docker 命令，这种特权可能导致容器逃逸（container escape）。

提权途径：如果攻击者能够加入 docker 组，他们可以直接控制 Docker 容器。若容器以特权模式运行，攻击者可以通过容器访问宿主机文件系统，甚至执行恶意操作，进而提权至宿主机的 root 用户，获取完全控制权限。

例如，攻击者可以通过以下命令将容器挂载宿主机的根文件系统，进而访问宿主机所有文件：

docker run -v /:/mnt --rm -it alpine chroot /mnt sh

`disk`（GID: 6）

GID 6 是 disk 组的默认 GID。属于 disk 组的用户有权限访问磁盘设备，包括硬盘分区、挂载设备等。

提权途径：攻击者可以利用 disk 组的权限直接操作磁盘设备。通过工具如 fdisk 或 parted 修改磁盘分区表，攻击者可能绕过权限限制，访问本应受到保护的文件或设备。攻击者甚至能够通过修改启动分区来控制系统。

例如，攻击者可以执行以下操作来查看磁盘分区信息：

df -h

然后，使用 debugfs 获取磁盘分区的详细信息：

debugfs /dev/sda3

通过该方式，攻击者可对整个磁盘进行读写操作，包括读取 /root/.ssh/id_rsa（私钥）或 /etc/shadow（用户密码哈希），进而破解系统账户密码，获取更高权限。

`adm`（GID: 4）

GID 4 是 adm 组的默认 GID。该组的用户通常具有查看系统日志文件的权限，常见的日志文件包括 /var/log/auth.log 和 /var/log/syslog，这些文件可能包含系统的敏感信息，如用户登录记录和身份验证信息。

提权途径：攻击者若能访问 adm 组的权限，便可以读取日志文件，从中提取有用的信息，例如用户名、密码哈希等。结合暴力破解工具（如 John the Ripper），攻击者可以破解密码，从而进一步提升权限。

例如，攻击者可以通过查看 /var/log/auth.log 中的记录，获得用户登录信息。

`tty`（GID: 5）

GID 5 是 tty 组的默认 GID。该组的用户拥有对终端设备的访问权限，能够进行输入和输出操作。

提权途径：攻击者可以利用 tty 组的权限伪装终端设备，从而捕获用户的输入，甚至干扰其他用户的会话，获取更多的控制权。通过对终端的控制，攻击者可能会获取其他用户的凭证或执行恶意操作，进一步提升自己的权限。

`wheel`（GID: 10）

GID 10 是 wheel 组的默认 GID。该组标识可以通过 sudo 或 su 获得 root 权限的用户。

提权途径：加入 wheel 组的用户能够使用 sudo 执行任意命令，如果 sudo 配置不当，攻击者可能通过 sudo 提权至 root 用户，执行恶意命令并完全控制系统。通过此途径，攻击者可以绕过普通用户的权限限制，进行任意操作，如安装恶意软件、修改系统配置或删除日志等。

总结

Linux系统中的组ID（GID）是区分用户组和管理权限的重要手段。了解每个组及其对应的 GID，有助于管理员在系统配置和权限控制中做出更加合理的选择。然而，不当的组配置或权限分配可能为攻击者提供潜在的攻击面，导致系统安全风险。因此，在进行系统配置和渗透测试时，必须特别关注具有特殊权限的用户组，确保系统能够在最小权限原则下正常运行，并及时发现并修复安全漏洞。

系统中的某些特权组（如 docker、disk、adm、tty 和 wheel）具有较高的权限，若攻击者能够成功加入这些组，便能通过相应的权限提升手段对系统进行攻击。因此，管理员需要确保这些组的权限配置严格控制，定期审查用户组的成员，并确保敏感命令和文件的访问权限得到适当限制，从而降低潜在的安全风险。

如何查看系统中的组和 GID

1. 查看所有组信息

2. 查看特定用户的组信息

3. 查看特定用户的 UID 和 GID

常见的系统组及其 GID

组ID与权限提升

docker（GID: 999）

disk（GID: 6）

adm（GID: 4）

tty（GID: 5）

wheel（GID: 10）

总结

相关文章：

`docker`（GID: 999）

`disk`（GID: 6）

`adm`（GID: 4）

`tty`（GID: 5）

`wheel`（GID: 10）