Вопросы с тегом «setuid»

setuidБит разрешение говорит Linux для запуска программы с эффективным идентификатором пользователя владельца вместо исполнителя: > cat setuid-test.c #include <stdio.h> #include <unistd.h> int main(int argc, char** argv) { printf("%d", geteuid()); return 0; } > gcc -o setuid-test setuid-test.c > ./setuid-test 1000 > sudo chown nobody ./setuid-test; sudo chmod +s ./setuid-test > …

185 shell  scripting  setuid  security 

У меня есть процесс, которому нужны права root при запуске обычным пользователем. Очевидно, я могу использовать «бит setuid» для достижения этой цели. Как правильно сделать это в системе POSIX? Кроме того, как я могу сделать это со скриптом, который использует интерпретатор (bash, perl, python, php и т. Д.)?

45 scripting  setuid 

Огромное приложение должно в одно конкретное время выполнить небольшое количество операций записи в файл, для которого требуются права суперпользователя. На самом деле это не файл, а аппаратный интерфейс, который представлен Linux как файл. Чтобы избежать предоставления привилегий root всему приложению, я написал скрипт bash, который выполняет критические задачи. Например, следующий …

35 privileges  setuid 

Я управляю коробкой Gentoo Hardened, которая использует файловые возможности для устранения большей части необходимости в двоичных файлах setuid-root (например, /bin/pingимеет CAP_NET_RAW и т. Д.). Infact, единственный двоичный файл, который я оставил, является этим: abraxas ~ # find / -xdev -type f -perm -u=s /usr/lib64/misc/glibc/pt_chown abraxas ~ # Если я удаляю …

26 security  linux-kernel  glibc  setuid 

Я относительно новичок в понятиях, упомянутых в вопросе, и чтение о них из разных источников только делает их более запутанными. Так вот что я понял до сих пор: Когда нам дают разрешения для файла, они выглядят так: -rwsr-xr-- 1 user1 users 190 Oct 12 14:23 file.bin Мы предполагаем, что пользователь, …

25 files  permissions  process  root  setuid 

Я написал программу, которая вызывает setuid(0)и execve("/bin/bash",NULL,NULL). Тогда я сделал chown root:root a.out && chmod +s a.out Когда я выполняю, ./a.outя получаю корневую оболочку. Однако, когда я это делаю, gdb a.outон запускает процесс как обычный пользователь и запускает пользовательскую оболочку. Итак ... могу ли я отладить программу root для setuid?

16 debugging  setuid  gdb 

Я немного поэкспериментировал и заметил кое-что странное: установка бита setuid для копии bash, расположенной в, /usr/bin/bash-testказалось, не имела никакого эффекта. Когда я запускал экземпляр bash-test, мой домашний каталог не был установлен, /rootи когда я запускал whoamiкоманду bash-test, мое имя пользователя не сообщалось как существующее root, что свидетельствует о том, что …

14 linux  bash  setuid 

Что на самом деле означает GID? Я прогуглил это, и вот что сказал linux.about.com : Идентификационный номер группы для процесса. Действительные номера групп указаны в /etc/groupи в поле GID /etc/passwdфайла. Когда процесс запускается, его GID устанавливается равным GID его родительского процесса. Но что это значит? Разрешения, которые я имею для …

14 permissions  group  setuid 

Ping - это программа, которой владеет root с установленным битом идентификатора пользователя. $ ls -l `which ping` -rwsr-xr-x 1 root root 35752 Nov 4 2011 /bin/ping Насколько я понимаю, если пользователь запускает процесс проверки связи, тогда эффективный идентификатор пользователя изменится с реального идентификатора пользователя (то есть идентификатора пользователя, запустившего процесс) …

13 security  process  ping  privileges  setuid 

Параметр «--up» в OpenVPN обычно используется для маршрутизации и т. Д. И поэтому он обрабатывается до того, как OpenVPN отбрасывает привилегии root для запуска как никто. Тем не менее, я вызываю сценарии оболочки, которые должны запускаться как непривилегированный пользователь. Как мне это сделать? Я изучил привилегии Drop Process , особенно …

13 shell-script  root  centos  privileges  setuid 

Когда обычный пользователь хочет внести изменения в файл passwd, ему по setuid будет предоставлен эффективный доступ пользователя. Пользователь временно становится пользователем root и может редактировать пароль. Однако вы можете редактировать только свой пароль правильно, и не все остальные? Однако ваш эффективный пользовательский доступ - root. Так почему же вам не …

13 setuid 

Кто-нибудь может объяснить механизм set-user-ID в Unix? Каково было обоснование этого дизайнерского решения? Чем он отличается от эффективного идентификатора пользователя?

12 command-line  process  architecture  privileges  setuid 

Процессы, которые де-эскалируют привилегии через setuid()и setgid(), кажется, не наследуют членство в группах установленного ими uid / gid. У меня есть серверный процесс, который должен быть выполнен от имени пользователя root, чтобы открыть привилегированный порт; после этого он де-эскалирует к определенному непривилегированному uid / gid, 1 - например, к пользователю …

10 permissions  group  setuid  setgid 

$ ls -l /usr/bin/sudo -rwsr-xr-x 1 root root 136808 Jul 4 2017 /usr/bin/sudo так что он sudoможет быть запущен любым пользователем, и любой пользователь, который запускается, sudoбудет иметь root в качестве эффективного идентификатора пользователя процесса, потому что установлен бит set-user-id /usr/bin/sudo. С https://unix.stackexchange.com/a/11287/674 Наиболее заметное различие между sudo и su …

10 sudo  executable  setuid 

Я знаю, что включение setuid для скриптов имеет проблемы с безопасностью и поэтому неактивно по умолчанию, но ожидаю, что оно работает для исполняемых файлов. Я создал исполняемый файл, который показывает uid в качестве вывода, следуя инструкциям, описанным в этом посте: Разрешить setuid для сценариев оболочки Но он возвращает один и …

9 permissions  executable  setuid