在C中运行setuid程序的正确方法

Question

我有一个权限为4750的进程。我的Linux系统中存在两个用户。 root用户和appz用户。 该进程继承了以“appz”用户身份运行的进程管理器的权限。

我有两个基本的例程：

void do_root (void)
{
        int status;
        status = seteuid (euid);
        if (status < 0) { 
        exit (status);
        }    
}

/* undo root permissions */
void undo_root (void)
{
int status;
        status = seteuid (ruid);
        if (status < 0) { 
                exit (status);
        }
        status = setuid(ruid);
        if (status < 0) { 
                exit (status);
        }
}

我的流程如下：

int main() {
 undo_root();
 do some stuff;
 do_root();
 bind( port 80); //needs root perm
 undo_root();
 while(1) {

    accept commads()
    if ( commands needs root user access)
    {
       do_root();
       execute();
       undo_root();

    }

 }

如您所见，我想以root身份执行一些命令。 我试图暂时删除权限，如果任务需要root访问权限，我将命令包装在do_root和undo_root调用之间。

然而，似乎我的程序不起作用。

做这个规范的方法是什么？

Answer 1

老派的方法是在do_root和undo_root中使用setreuid（）来交换ruid和euid：

setreuid(geteuid(), getuid());

如果程序足够小，可以进行完整的安全审核，那么这是完全可以接受的。

新学校的方式要复杂得多，并且涉及fork（）关闭一个孩子，该子女接受以root身份做什么的指令，然后做setuid（getuid（））永久地在父母中删除root。孩子负责验证它收到的所有指令。 对于足够大的程序，这会丢弃必须进行安全审计的代码量，并允许用户使用作业控制来管理进程或将其终止等。

Answer 2

陈浩，大卫瓦格纳和德鲁迪恩有一篇论文“ Setuid Demystified ”。 它出现在USENIX 2002.它描述了setuid()和过渡如何工作的非常详细（从2002年开始正确）。 这是值得一读的（好几次 - 我必须在一年或两年的时间内重新阅读它）。

从根本上说，正如Petesh在评论中指出的那样，当EUID为0的setuid(nuid)使用nuid != 0 setuid(nuid)时，无法回到root （EUID 0）权限。 事实上，它至关重要。 否则，当您登录时，登录您的root进程无法限制您自己的权限 - 您将能够返回到root 。 保存的UID使事情变得复杂，但我不相信它会影响EUID 0执行setuid()的单向陷阱。

Answer 3

setuid手册页说明如下：

...一个set-user-ID-root程序，希望暂时删除root权限，假设非root用户的身份，然后重新获得root权限后不能使用setuid（）

这意味着你不能使用setuid() 。 你必须使用seteuid() ，可能还有setreuid() 。 有关详细信息，请参阅Setuid程序示例 。