cách chính xác để chạy các chương trình setuid trong C

Question

Tôi có một quy trình với quyền 4750. Hai người dùng tồn tại trong hệ thống Linux của tôi. Người dùng root và người dùng appz. Quá trình kế thừa quyền của người quản lý quy trình chạy dưới dạng người dùng "appz".

Tôi có hai thói quen cơ bản:

void do_root (void) 
{ 
     int status; 
     status = seteuid (euid); 
     if (status < 0) { 
     exit (status); 
     }  
} 

/* undo root permissions */ 
void undo_root (void) 
{ 
int status; 
     status = seteuid (ruid); 
     if (status < 0) { 
       exit (status); 
     } 
     status = setuid(ruid); 
     if (status < 0) { 
       exit (status); 
     } 
} 

dòng chảy của tôi là như sau:

int main() { 
undo_root(); 
do some stuff; 
do_root(); 
bind(port 80); //needs root perm 
undo_root(); 
while(1) { 

    accept commads() 
    if (commands needs root user access) 
    { 
     do_root(); 
     execute(); 
     undo_root(); 

    } 

} 

Như bạn có thể thấy tôi muốn thực hiện một số lệnh như root. Tôi đang cố gắng để giảm quyền tạm thời và nếu các nhiệm vụ cần truy cập root tôi quấn lệnh giữa một cuộc gọi do_root và undo_root.

Tuy nhiên có vẻ như chương trình của tôi không hoạt động.

Cách kinh điển để làm điều đó là gì?

Answer 1

Cách trường học cũ là trong cả hai do_root và undo_root sử dụng setreuid() để trao đổi ruid và euid:

setreuid(geteuid(), getuid()); 

này là hoàn toàn chấp nhận được nếu chương trình là đủ nhỏ để làm một kiểm toán an ninh hoàn chỉnh .

Cách học mới phức tạp hơn nhiều và liên quan đến ngã ba() đưa ra một đứa trẻ chấp nhận chỉ thị cho việc cần làm là root và sau đó làm setuid (getuid()) để thả root vĩnh viễn trong parent .. trẻ có trách nhiệm xác nhận tất cả các chỉ thị mà nó nhận được. Đối với một chương trình đủ lớn, điều này sẽ giảm số lượng mã phải được kiểm tra bảo mật và cho phép người dùng quản lý quy trình có kiểm soát công việc hoặc giết nó, v.v.

Answer 2

Trang setuid người đàn ông nói như sau:

... một chương trình set-user-ID-gốc có nhu cầu tạm thời thả rễ đặc quyền, giả danh tính của một người sử dụng không phải root, và sau đó lấy lại đặc quyền gốc sau đó không thể sử dụng setuid()

Có nghĩa là bạn không thể sử dụng setuid(). Bạn phải sử dụng seteuid() và, có thể, setreuid(). Xem Setuid Program Example để biết thêm chi tiết.

Answer 3

Có một bài báo 'Setuid Demystified' của Hao Chen, David Wagner và Drew Dean. Nó được trình bày tại USENIX 2002. Nó mô tả cách setuid() và quá trình chuyển đổi hoạt động rất chi tiết (đúng như năm 2002). Đó là giá trị đọc (nhiều lần - tôi phải là một hoặc hai năm quá hạn trên một lần đọc lại của nó).

Về cơ bản, như Petesh ghi nhận trong một chú thích, khi một quá trình với euid 0 không setuid(nuid) với nuid != 0, không có cách nào trở lại root (euid 0) đặc quyền. Và, quả thực, điều quan trọng là nó là như vậy. Nếu không, khi bạn đăng nhập, quy trình root đăng nhập bạn không thể giới hạn bạn với các đặc quyền của riêng bạn - bạn có thể quay lại root. UID đã lưu làm phức tạp mọi thứ, nhưng tôi không tin rằng nó ảnh hưởng đến bẫy một chiều của EUID 0 đang thực hiện setuid().