Программе, устанавливающей идентификатор пользователя (или группы), привилегии обычно требуются для выполнения какой-то определенной операции. В остальное время эти привилегии должны быть отключены (особенно если они принадлежат администратору). Если вы знаете, что они больше не потребуются, от них следует полностью избавиться. Иными словами, программа всегда должна работать с минимальными привилегиями, достаточными для выполнения текущей задачи. Для этих целей была предусмотрена возможность сохранять устанавливаемый идентификатор (см. раздел 9.4).
Программа, устанавливающая идентификатор пользователя, может временно отказаться от привилегий и восстановить их позже, применив такую последовательность вызовов seteuid():
uid_t orig_euid;
orig_euid = geteuid();
if (seteuid(getuid()) == –1) /* Отказываемся от привилегий */
errExit("seteuid");
/* Непривилегированная работа */
if (seteuid(orig_euid) == –1) /* Восстанавливаем привилегии */
errExit("seteuid");
/* Привилегированная работа */
Первый вызов делает действующий пользовательский идентификатор процесса таким же, как его реальный идентификатор. Второй вызов восстанавливает действующий UID, сохраненный ранее.
Программы, устанавливающие идентификатор группы, сохраняют исходный действующий GID, а вызов setegid() позволяет отказаться от привилегий или получить их заново. Функции seteuid(), setegid() и похожие системные вызовы, которые упоминаются ниже, описаны в главе 9 и собраны в табл. 9.1.
Наиболее безопасным подходом является отказ от привилегий сразу же при запуске программы и временное их восстановление при дальнейшей работе. Если в какой-то момент станет ясно, что привилегии вам больше не понадобятся, вы должны отказаться от них навсегда; для этого нужно изменить сохраненный пользовательский идентификатор. Это позволяет исключить восстановление привилегий обманным путем — например, с помощью повреждения стека, описанного в разделе 38.9.
Если программа, устанавливающая UID или GID, завершила все задачи, требующие особых прав, она должна навсегда отказаться от повышенных привилегий, чтобы устранить любые риски безопасности, связанные с ошибками или непредвиденным поведением. Полный отказ от привилегий достигается за счет сбрасывания пользовательских (групповых) идентификаторов процесса к значению реального UID (GID).
Если действующий пользовательский ID программы равен 0 (то есть она имеет привилегии администратора), можyj сбросить для нее все UID с помощью такого кода:
if (setuid(getuid()) == –1)
errExit("setuid");
Однако код, приведенный выше,
/* Исходные UID: реальный=1000, действующий=0, сохраненный=0 */
/* 1. Вызов который обычно приводит к временному сбрасыванию привилегий */
orig_euid = geteuid();
if (seteuid(getuid() == –1)
errExit("seteuid");
/* UID изменились, теперь реальный=1000, действующий=1000, сохраненный=0 */
/* 2. Похоже на правильный способ окончательного сбрасывания привилегий (НЕПРАВИЛЬНО) */
if (setuid(getuid() == –1)
errExit("setuid");
/* UID изменились: реальный=1000, действующий=1000, сохраненный=0 */
Вместо этого перед окончательным отказом от привилегий мы снова должны их получить, вставив следующий вызов между первым и вторым шагом:
if (seteuid(orig_euid) == –1)
errExit("seteuid");
С другой стороны, если программой владеет любой пользователь, кроме администратора, для окончательного сбрасывания привилегированного ID следует применить один из двух вызовов — setreuid() или setresuid(), так как setuid() для этого оказывается недостаточно. Например, можно достичь желаемого результата с помощью setreuid(), как показано ниже:
if (setreuid(getuid(), getuid()) == –1)
errExit("setreuid");
Этот код полагается на особенность реализации вызова setreuid() в Linux: если первый аргумент (ruid) не равен –1, значит, сохраненному пользовательскому идентификатору присваивается значение (нового) действующего UID. Этот нюанс не описан в стандарте SUSv3, но присутствует во многих других системах.
Аналогично для окончательного отказа от привилегированного идентификатора группы необходимо применить вызов setregid() или setresgid(), поскольку setgid(), если действующий UID программы не равен 0, изменяет действующий GID только для вызывающего процесса.
