Читаем Linux API. Исчерпывающее руководство полностью

1. Когда вызов setuid() осуществляется непривилегированным процессом, изменяется только действующий пользовательский идентификатор процесса. Кроме того, он может быть изменен только на то же самое значение, которое имеется либо у реального идентификатора пользователя, либо у сохраненного установленного идентификатора пользователя. (Попытки нарушить это ограничение приводят к выдаче ошибки EPERM.) Это означает, что для непривилегированных пользователей данный вызов полезен лишь при выполнении set-user-ID-программы, поскольку при выполнении обычной программы у процесса обнаруживаются одинаковые по значению реальный, действующий и сохраненный установленный пользовательские идентификаторы. В некоторых реализациях, уходящих корнями в BSD, вызовы setuid() или setgid() непривилегированным процессом имеют иную семантику, отличающуюся от применяемой другими реализациями UNIX. В BSD вызовы изменяют реальный, действующий и сохраненный установленный идентификаторы на значение текущего реального или действующего идентификатора.

2. Когда привилегированный процесс выполняет setuid() с ненулевым аргументом, все идентификаторы — реальный, действующий и сохраненный установленный пользовательский ID — получают значение, указанное в аргументе uid. Последствия необратимы, поскольку, как только идентификатор у привилегированного процесса таким образом изменится, процесс утратит все полномочия и не сможет впоследствии воспользоваться setuid(), чтобы снова переключить идентификаторы на нуль. Если такой исход нежелателен, то вместо setuid() нужно воспользоваться либо seteuid(), либо setreuid() — системными вызовами, которые вскоре будут рассмотрены.

Правила, регулирующие изменения, которые могут быть внесены с помощью setgid() в идентификаторы группы, аналогичны рассмотренным, но с заменой setuid() на setgid(), а группы на пользователя. С этими изменениями правило 1 применимо без оговорок. В правиле 2, поскольку изменение группового идентификатора не вызывает потери полномочий (которые определяются значением действующего пользовательского идентификатора, UID), привилегированные программы могут задействовать setgid() для свободного изменения групповых идентификаторов на любые желаемые значения.

Следующий вызов является предпочтительным способом для set-user-ID-root-программы, чей действующий UID в этот момент равен 0, безвозвратно сбросить все полномочия (путем установки как действующего, так и сохраненного установленного пользовательского идентификатора на то же значение, которое имеется у реального UID):

if (setuid(getuid()) == -1)

errExit("setuid");

Set-user-ID-программа, принадлежащая пользователю, отличному от root, может применять setuid() для переключения действующего UID между значениями реального UID и сохраненного установленного UID по соображениям безопасности, рассмотренным в разделе 9.4. Но для этой цели предпочтительнее обратиться к системному вызову seteuid(), поскольку он действует точно так же, независимо от того, принадлежит пользователю по имени root set-user-ID-программа или нет.

Процесс может воспользоваться системным вызовом seteuid() для изменения своего действующего пользовательского идентификатора (на значение, указанное в аргументе euid) и системным вызовом setegid() для изменения его действующего группового идентификатора (на значение, указанное в аргументе egid).

#include

int seteuid(uid_t euid);

int setegid(gid_t egid);

Оба возвращают при успешном завершении 0, а при ошибке —1

Изменения, которые процесс может вносить в свои действующие идентификаторы с использованием seteuid() и setegid(), регулируются следующими правилами.

1. Непривилегированный процесс может изменять действующий идентификатор, присваивая ему только то значение, которое соответствует реальному или сохраненному установленному идентификатору. (Иными словами, для непривилегированного процесса функции seteuid() и setegid() произведут тот же эффект, что и функции setuid() и setgid() соответственно, за исключением ранее упомянутых вопросов портируемости на BSD-системы.)

2. Привилегированный процесс может изменять действующий идентификатор, присваивая ему любое значение. Если привилегированный процесс применяет seteuid() для изменения своего действующего пользовательского идентификатора на ненулевое значение, то он перестает быть привилегированным (но в состоянии вернуть себе полномочия в силу предыдущего правила).

Использование seteuid() является предпочтительным методом для программ с полномочиями setuid и setgid с целью временного сброса и последующего восстановления полномочий. Рассмотрим пример.

euid = geteuid(); /* Сохранение исходного действующего UID

(совпадает с установленным UID) */

if (seteuid(getuid()) == -1) /* Сброс полномочий */

errExit("seteuid");

if (seteuid(euid) == -1) /* Возвращение полномочий */

errExit("seteuid");

Изначально происходящие из BSD, функции seteuid() и setegid() теперь определены в SUSv3 и встречаются во многих реализациях UNIX.