[英]correct way to run setuid programs in C
我有一个权限为4750的进程。我的Linux系统中存在两个用户。 root用户和appz用户。 该进程继承了以“appz”用户身份运行的进程管理器的权限。
我有两个基本的例程:
void do_root (void)
{
int status;
status = seteuid (euid);
if (status < 0) {
exit (status);
}
}
/* undo root permissions */
void undo_root (void)
{
int status;
status = seteuid (ruid);
if (status < 0) {
exit (status);
}
status = setuid(ruid);
if (status < 0) {
exit (status);
}
}
我的流程如下:
int main() {
undo_root();
do some stuff;
do_root();
bind( port 80); //needs root perm
undo_root();
while(1) {
accept commads()
if ( commands needs root user access)
{
do_root();
execute();
undo_root();
}
}
如您所见,我想以root身份执行一些命令。 我试图暂时删除权限,如果任务需要root访问权限,我将命令包装在do_root和undo_root调用之间。
然而,似乎我的程序不起作用。
做这个规范的方法是什么?
老派的方法是在do_root和undo_root中使用setreuid()来交换ruid和euid:
setreuid(geteuid(), getuid());
如果程序足够小,可以进行完整的安全审核,那么这是完全可以接受的。
新学校的方式要复杂得多,并且涉及fork()关闭一个孩子,该子女接受以root身份做什么的指令,然后做setuid(getuid())永久地在父母中删除root。孩子负责验证它收到的所有指令。 对于足够大的程序,这会丢弃必须进行安全审计的代码量,并允许用户使用作业控制来管理进程或将其终止等。
陈浩,大卫瓦格纳和德鲁迪恩有一篇论文“ Setuid Demystified ”。 它出现在USENIX 2002.它描述了setuid()
和过渡如何工作的非常详细(从2002年开始正确)。 这是值得一读的(好几次 - 我必须在一年或两年的时间内重新阅读它)。
从根本上说,正如Petesh在评论中指出的那样,当EUID为0的setuid(nuid)
使用nuid != 0
setuid(nuid)
时,无法回到root
(EUID 0)权限。 事实上,它至关重要。 否则,当您登录时,登录您的root
进程无法限制您自己的权限 - 您将能够返回到root
。 保存的UID使事情变得复杂,但我不相信它会影响EUID 0执行setuid()
的单向陷阱。
setuid
手册页说明如下:
...一个set-user-ID-root程序,希望暂时删除root权限,假设非root用户的身份,然后重新获得root权限后不能使用setuid()
这意味着你不能使用setuid()
。 你必须使用seteuid()
,可能还有setreuid()
。 有关详细信息,请参阅Setuid程序示例 。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.