Как предотвратить изменение бита setuid процесса обратно на RUID в самом процессе
Вы увидите такие частные IP-адреса только за маршрутизатором NAT . Они обычно используются дома или в небольших офисах, поскольку они защищают довольно скудные адреса IPv4 от использования и в качестве побочного эффекта также помогают защитить потребительские устройства от сетевых атак.
Выделенные серверы находятся непосредственно в Интернете, поэтому к ним можно получить доступ как к серверам и, следовательно, они имеют маршрутизируемый IP-адрес, который в настоящее время вы можете увидеть в интерфейсе eno1 . Они также подвержены сетевым атакам, поэтому брандмауэры должны быть включены и настроены должным образом.
Ваш PPTP-сервер получит новый IP-адрес на сервере. Это должно быть из диапазона частных IP-адресов. Удаленный клиент будет другим адресом в той же подсети. Вам также необходимо включить IP-переадресацию и NAT на сервере, чтобы трафик мог проходить между этой частной сетью и Интернетом.
В C вы бы сделали что-то вроде:
egid = getegid();
setresgid(egid, egid, egid);
euid = geteuid();
setresuid(euid, euid, euid);
, чтобы установить ваши реальные, действующие и сохраненные идентификаторы пользователя/группы на действующий, что предотвратит любые будущие изменения. Вы могли бы написать простую программу-оболочку, которая делала бы это тогда exec'd PHP, но на самом деле есть куча других вещей, которые следует учитывать для программ безопасного набора -uid, и, к счастью, обертки уже существуют... и я предполагаю тот, который вы ищете, это Apache suexec .