Читаем Linux API. Исчерпывающее руководство полностью

С другой стороны, если процесс использует setreuid() только для изменения действующего идентификатора пользователя на то же значение, которое имеется на данный момент у реального ID пользователя, то сохраненный установленный ID пользователя остается неизмененным, и последующий вызов setreuid() (или seteuid()) может восстановить действующий ID пользователя, присвоив ему значение сохраненного установленного ID пользователя. (В SUSv3 не определяется влияние от применения setreuid() и setregid() на сохраненные установленные идентификаторы пользователя, но в SUSv4 указывается только что рассмотренное поведение.)

Третье правило предоставляет способ, позволяющий set-user-ID-программам лишаться своего привилегированного состояния безвозвратно, с помощью следующего вызова:

setreuid(getuid(), getuid());

Процесс с установленным идентификатором привилегированного пользователя (set-user-ID-root), которому нужно изменить как свои пользовательские, так и групповые полномочия на произвольные значения, должен вызвать сначала setregid(), а затем setreuid(). Если вызов делается в обратном порядке, вызов setregid() даст сбой, потому что после вызова setregid() программа уже не будет привилегированной. Те же замечания применимы к системным вызовам setresuid() и setresgid() (рассматриваемым ниже), если они используются для достижения аналогичной цели.

Выпуски BSD до 4.3BSD включительно не имели сохраненного установленного идентификатора пользователя и сохраненного установленного идентификатора группы (наличие которых теперь предписывается в SUSv3). Вместо этого в BSD системные вызовы setreuid() и setregid() позволяли процессу сбрасывать и восстанавливать полномочия, меняя местами значения реального и действующего идентификаторов в обе стороны. В результате возникал нежелательный побочный эффект изменения реального идентификатора пользователя с целью изменения действительного идентификатора пользователя.

Извлечение реального, действительного и сохраненного установленного идентификаторов

Во многих реализациях UNIX процесс не может напрямую извлечь (или изменить) свой сохраненный установленный идентификатор пользователя и сохраненный установленный идентификатор группы. Но в Linux предоставляются два нестандартных системных вызова — getresuid() и getresgid(). Они позволяют нам решить именно эту задачу.

#define _GNU_SOURCE

#include

int getresuid(uid_t *ruid, uid_t *euid, uid_t *suid);

int getresgid(gid_t *rgid, gid_t *egid, gid_t *sgid);

Оба при успешном завершении возвращают 0 или –1 при ошибке

Системный вызов getresuid() возвращает текущие значения принадлежащих вызывающему процессу реального, действующего и сохраненного установленного идентификатора пользователя в те места, которые указываются тремя его аргументами. Системный вызов getresgid() делает то же самое для соответствующих групповых идентификаторов.

Изменение реального, действительного и сохраненного установленного идентификаторов

Системный вызов setresuid() позволяет вызывающему процессу независимым образом изменять значения всех его трех пользовательских идентификаторов. Новые значения для каждого из его пользовательских идентификаторов указываются тремя аргументами системного вызова. Аналогичные задачи для групповых идентификаторов может выполнять системный вызов setresgid().

#define _GNU_SOURCE

#include

int setresuid(uid_t ruid, uid_t euid, uid_t suid);

int setresgid(gid_t rgid, gid_t egid, gid_t sgid);

Оба при успешном завершении возвращают 0 или –1 при ошибке

Если не нужно изменять все идентификаторы, для того из них, который не требует изменений, указывается значение –1 аргумента. Например, следующий вызов эквивалентен seteuid(x):

setresuid(-1, x, — 1);

В отношении изменений, которые могут производиться с использованием setresuid(), действуют следующие правила (они распространяются и на вызов setresgid()).

1. Непривилегированный процесс может установить для любого из своих пользовательских идентификаторов — реального, действующего и сохраненного установленного — любое из значений его текущих ID: реального, действительного или сохраненного установленного ID пользователя.

2. Привилегированный процесс может вносить произвольные изменения в свой реальный идентификатор пользователя, действительный идентификатор пользователя и сохраненный установленный идентификатор пользователя.

3. Независимо от того, вносит ли вызов какие-либо изменения в другие идентификаторы, идентификатор файловой системы всегда установлен на то же самое значение, что и (возможно, уже новый) действительный ID пользователя.