1. Главная
  2. Книги
  3. Керриск Майкл
  4. Linux API. Исчерпывающее руководство
  5. Страница 111
Выбрать главу

Первоначально появившись в BSD, теперь setreuid() и setregid() указаны в SUSv3 и доступны в большинстве реализаций UNIX.

К изменениям, возможным при использовании setreuid() и setregid(), как и других системных вызовов, рассматриваемых в этом разделе, применяются определенные правила. Они будут рассмотрены с точки зрения setreuid() с учетом того, что для setregid() они аналогичны, за исключением некоторых оговорок.

1. Непривилегированный процесс может присвоить реальному идентификатору пользователя только имеющееся на данный момент значение реального (то есть оставить его без изменений) или действующего идентификатора пользователя. Для действующего идентификатора пользователя может быть установлено только имеющееся на данный момент значение реального ID пользователя, действующего ID пользователя (то есть остается без изменений) или сохраненного установленного ID пользователя.

В SUSv3 говорится, что возможность использования setreuid() для изменения значения реального ID пользователя на текущее значение реального, действующего или сохраненного установленного ID пользователя не определена, и подробности того, какие в точности изменения могут вноситься в значение реального ID пользователя, варьируются в зависимости от реализации. В SUSv3 дается описание несколько отличающегося поведения setregid(): непривилегированный процесс может установить для реального ID группы текущее значение сохраненного установленного ID группы или для действующего ID группы текущее значение либо реального, либо сохраненного установленного ID группы. Подробности того, какие в точности изменения могут вноситься в значение реального идентификатора группы, также варьируются в зависимости от реализации.

2. Привилегированный процесс может вносить в идентификаторы любые изменения.

3. Как для привилегированного, так и для непривилегированного процесса сохраненный установленный идентификатор пользователя также устанавливается на то же самое значение, которое имеется у (нового) действующего идентификатора пользователя, при соблюдении одного из следующих условий:

1) значение ruid не равно –1 (то есть для реального идентификатора пользователя устанавливается в точности то же значение, которое у него уже имелось);

2) для действующего идентификатора пользователя устанавливается значение, отличающееся от того, которое имелось у реального идентификатора пользователя до вызова.

С другой стороны, если процесс использует setreuid() только для изменения действующего идентификатора пользователя на то же значение, которое имеется на данный момент у реального ID пользователя, то сохраненный установленный ID пользователя остается неизмененным, и последующий вызов setreuid() (или seteuid()) может восстановить действующий ID пользователя, присвоив ему значение сохраненного установленного ID пользователя. (В SUSv3 не определяется влияние от применения setreuid() и setregid() на сохраненные установленные идентификаторы пользователя, но в SUSv4 указывается только что рассмотренное поведение.)

Третье правило предоставляет способ, позволяющий set-user-ID-программам лишаться своего привилегированного состояния безвозвратно, с помощью следующего вызова:

setreuid(getuid(), getuid());

Процесс с установленным идентификатором привилегированного пользователя (set-user-ID-root), которому нужно изменить как свои пользовательские, так и групповые полномочия на произвольные значения, должен вызвать сначала setregid(), а затем setreuid(). Если вызов делается в обратном порядке, вызов setregid() даст сбой, потому что после вызова setregid() программа уже не будет привилегированной. Те же замечания применимы к системным вызовам setresuid() и setresgid() (рассматриваемым ниже), если они используются для достижения аналогичной цели.

Выпуски BSD до 4.3BSD включительно не имели сохраненного установленного идентификатора пользователя и сохраненного установленного идентификатора группы (наличие которых теперь предписывается в SUSv3). Вместо этого в BSD системные вызовы setreuid() и setregid() позволяли процессу сбрасывать и восстанавливать полномочия, меняя местами значения реального и действующего идентификаторов в обе стороны. В результате возникал нежелательный побочный эффект изменения реального идентификатора пользователя с целью изменения действительного идентификатора пользователя.

Извлечение реального, действительного и сохраненного установленного идентификаторов

Во многих реализациях UNIX процесс не может напрямую извлечь (или изменить) свой сохраненный установленный идентификатор пользователя и сохраненный установленный идентификатор группы. Но в Linux предоставляются два нестандартных системных вызова — getresuid() и getresgid(). Они позволяют нам решить именно эту задачу.

~ 111 ~