Вопросы Теги

использование SUID укусило для отбрасывания полномочий

Я предполагаю, что существует несколько опций для Вас испытать нестабильное ответвление "безопасно":

  • Виртуализация
  • Chrooting, посредством чего Вы выбираете альтернативный каталог в качестве своего очевидного корневого каталога. Можно таким образом создать изображение файловой системы и вручную установить необходимые пакеты. Это - сложный процесс, и это сделано намного легче в использовании случая Debian:

  • deboostrap, который, для заключения в кавычки статьи Debian Wiki в этой ссылке,

    инструмент, который установит систему основы Debian в подкаталог другого, уже установленная система. Это не требует установочного CD, просто доступ к репозиторию Debian.

    Это не должно подразумевать это debootstrap использует chrooting технику; я не знаю о его внутренней реализации.

4
19.02.2014, 16:45
2 ответа
Обычно процесс-мастер вилкирует, сбрасывает возможности или изменяет свой идентификатор пользователя, а затем выполняет новый процесс..
0
27.01.2020, 21:00

  1. Если вы правильно указали бит SUID, устанавливает эффективный идентификатор пользователя нового процесса на владельца исполняемого файла программы . Нет концепции повышения или понижения привилегий. Часто пользователь , который "suids" является пользователем root, но он также может быть любым другим, и это не меняет концепцию SUID, когда вы выберите другой, кроме того, что некоторые пользователи имеют доступ к определенным ресурсам . Однако пользователь root немного особенный, и страница руководства для setuid объясняет тонкие различия. Я не думаю, что есть специальное имя для перехода на пользователя без полномочий root, и я никогда не связывал suid, означающий повышение привилегий, просто изменение пользователя.

  2. Поскольку вы разрабатываете мастер самостоятельно, который запускается от имени пользователя root, его можно установить для любого пользователя после разветвления, но перед выполнением нового процесса , я не вижу, что бит suid должен быть используется для исполняемого файла на всех , и, кстати, если вы этого не сделаете, то, если какой-либо старый пользователь запустил проигрыватель , поскольку исполняемый файл не является suid, они не смогут запустить {{ 1}} это правильно, поскольку setuid не будет работать, если они не были root. Для меня это кажется лучшей безопасностью, чем использование битов suid в исполняемых файлах .

--- edit 1

Итак, ваш менеджер (работающий как реальный и эффективный uid = 0) запускает player, а вы кодируете / управляете игроком (не менеджером). Если вы не сделаете ничего особенного, то игрок будет работать с реальным + эффективным uid = 0, и вы хотите предотвратить это.

Вы можете просто переключить uid в плеере, без битов SUID в плеере, не нужно.

2
27.01.2020, 21:00

Теги

Похожие вопросы

  • 54
    Как я запускаю все сессии оболочки в каталоге кроме $HOME? 04.07.2014
    Когда я открываю свою оболочку невхода в систему в Ubuntu, мой существующий рабочий каталог является/home/user_name (моя переменная среды $HOME), но я хочу изменить это таким образом, что, когда я запускаю свой терминал, я нахожусь в некоторых...
  • 2
    Как подготовить бездисплейную машину? 24.02.2014
    Я в настоящее время готовлю SD-карту к своему Raspberry Pi, т.е. машину ARM, в то время как я сижу на x86 один. Поэтому я не могу просто chroot в него и работать, емкостно-резистивное обновление добавляют sshd значение по умолчанию. Так, как еще...
  • 3
    Как создать текстовый файл в каждом подкаталоге, чтобы текстовый файл содержал имя каталога 22.05.2020
    У меня 5 пустых каталогов :[X]$ ls dir _1 dir _2 dir _3 dir _4 dir _5 Как я могу создать текстовый файл в каждом из этих каталогов, чтобы текстовый файл содержал имя каталога это...
  • 2
    Установка временного раздела подкачки при загрузке 15.10.2019
    Я купил несколько твердотельных накопителей SanDisk U100 емкостью 16 ГБ на eBay и обнаружил, что у них возникла необычная проблема; они действуют как оперативная память в том смысле, что их можно разбивать на разделы/форматировать/и т. д., все тесты возвр
  • -1
    * в awk (метасимволы) 17.02.2019
    Можете ли вы объяснить мне, как * работает? У меня есть ввод: U 8649 275 Азия Канада 3852 25 Северная Америка Китай 3705 1032 Азия США 3615 237 Северная Америка Индия 1267 746 - Азия ...
  • -1
    Извлечение определенных данных в выходном файле сценария 05.05.2015
    У нас есть сценарий, который выполняет несколько команд и свертывает весь вывод и вставляет в в файл журнала. Одна из команд, которые это выполняет, "netstat-anp". Я хотел бы смочь искать этот файл все...
  • 4
    Контроль изменений брандмауэра 11.05.2013
    В данный момент я использую сценарий Python для генерации правил iptables. Каждый набор изменений предан репозиторию мерзавца перед развертыванием, таким образом, существует трассировка того, кто изменился какой и почему. Какие инструменты/...
  • 0
    tar +, как извлечь из/var/tmp для размещения каталогов под / 05.02.2014
    Я работаю с машиной solaris 9 для извлечения list.tar файла, я должен изменить каталог на / И оттуда я делаю: tar-xvf list.tar CD В качестве примера / tar-xvf list.tar x usr/local/cds/api/...
  • 3
    Awk: проверьте на длину поля 13.04.2017
    В awk. Я работаю над Солярисом 10, таким образом, это - вероятно, старая (er) версия awk. Я придумал эту элементарную остроту, которая работает, по крайней мере, для моего конкретного входа. awk-F \; '3$ ~ / [] *...............
  • 3
    Архив старых снимков OpenBSD 27.09.2015
    Иногда при установке нового снимка OpenBSD что-то ломается, и вы хотите вернуться к предыдущему снимку. Если вам повезет, есть еще зеркало, которое не синхронизировалось с последней версией. ...