Временное повышение привелегий до root в своей программе

0

0

Всем привет.
Пишу программу под embedded linux(очень урезанная система в духе LFS, основанная на busybox), программе иногда нужно иметь права root'а(смонтировать флешку, установить новую дату-время в системе, ...). Над системой имею полный контроль, то есть могу программу запустить с правами root'а из /etc/inittab. Но по секурным причинам этого делать не хочется. Видимо нужно создать пользователя с ограниченными правами и запускать программу от него. А потом в нужные моменты программа должна как-то повысить свои привилегии и соответственно затем - понизить. Может есть какие системные вызовы? Или параллельно главной программе нужно запускать привилегированный процесс и его уже просить сделать нужное?

Вобщем, какие будут соображения?

Ссылка

←	Очереди отложенных действий (work queue)

Кто печатает 'segmentation fault'?

→

вызовов нет, логичнее будет написать suid helper и делать приволегированные операции им

Sylvia ★★★★★
(26.04.10 22:06:32 MSD)

Написать вторую программу и поставить на неё SUID bit.

~~tempuser002~~ ★
(26.04.10 22:07:17 MSD)

Ссылка

Ответ на: комментарий от Sylvia 26.04.10 22:06:32 MSD

как вариант можно запустить программу от рут, форкнуть рабочий процесс с дропом привилегий, мастер процесс останется работать от root, им и выполнять привилегированные задачи

Sylvia ★★★★★
(26.04.10 22:09:03 MSD)

Ответ на: комментарий от Sylvia 26.04.10 22:06:32 MSD

>логичнее будет написать suid helper и делать приволегированные операции им

Что такое suid - знаю, а suid helper - нет и ничего не гуглится. Можно подробнее?

gogi ★
(26.04.10 22:23:43 MSD) автор топика

Ответ на: комментарий от gogi 26.04.10 22:23:43 MSD

пишете маленькую программку, или suid или запускаете ее вместе с основной

основная программа или вызывает (suid) помощника, который делает то что нужно или обращается к нему через сокет (если он постоянно запущен)

сама по себе реализация несложная, но стоит обратить внимание на механизм защиты, чтобы через хелпер не могли злонамеренно воспользоваться тем что он предоставляет, если это конечно актуально на вашей embedded

Sylvia ★★★★★
(26.04.10 22:30:20 MSD)

Ответ на: комментарий от Sylvia 26.04.10 22:30:20 MSD

можно написать много хелперов под задачи

helper.mount
helper.settimedate

выставить на них бит suid и вызывать соответственно из вашей основной программы, наиболее простой защитой будет ограничение по группе

например

chown root.suhelper <все программы>
запрещаем выполнение хелперов для тех кто не в группе, ставим suid бит
chmod 4750 helper.*

ставим sgid бит на основную программу

chmod 2750 progname

Sylvia ★★★★★
(26.04.10 22:34:34 MSD)

Ссылка

Всё давно предусмотренно, читай про действительный, эффективный и сохранённый ID пользователя и группы, системные вызовы setresuid и setresgid соответственно.

archimag ★★★
(26.04.10 22:47:54 MSD)

помнится раньше ping, по крайней мере в FreeBSD делал именно так, так что можешь смотреть сорцы :)

anonymous
(26.04.10 22:54:06 MSD)

Ссылка

Ответ на: комментарий от archimag 26.04.10 22:47:54 MSD

про saved uid/gid спасибо, тогда вопрос, почему это так нечасто используют? непортабельно на другие *nix ?

Sylvia ★★★★★
(26.04.10 22:55:13 MSD)

Ответ на: комментарий от Sylvia 26.04.10 22:55:13 MSD

> почему это так нечасто используют?

Думаю, что такое поведение не так часто нужно, потом, модель программирования всё-таки довольно сложная - надо сохранять осторожность и бдить. Про портабельность не в курсе, не интересовался.

archimag ★★★
(26.04.10 23:00:39 MSD)

Ответ на: комментарий от Sylvia 26.04.10 22:55:13 MSD

Я делал так: в самом начале делал всё что нужно от рута, потом просто вызывал

setuid(getuid());

ну соответсвенно на испол. файл ставил бит suid.

Boy_from_Jungle ★★★★
(26.04.10 23:06:30 MSD)

Ответ на: комментарий от archimag 26.04.10 23:00:39 MSD

СООТВЕТСТВИЕ СТАНДАРТАМ

Этот вызов является нестандартным.

ПРИМЕЧАНИЯ ПО ИСТОРИИ

Эта функция впервые появилась в HP-UX. В Linux она доступна начиная с Linux 2.1.44. На текущий момент она также существует в FreeBSD (для эмуляции исполняемых файлов Linux).

ЗАМЕЧАНИЯ

В HP-UX и FreeBSD прототип функции находится в <unistd.h>. В Linux прототип задан в glibc, начиная с версии 2.3.2, обеспечивая определение _GNU_SOURCE.

похоже из за того что вызов не описан в стандарте POSIX а так конечно вариант хороший, а бдить везде нужно все равно, в случае с хелпером тоже.

Для не-embedded есть PolicyKit

Sylvia ★★★★★
(26.04.10 23:06:31 MSD)

Ответ на: комментарий от Boy_from_Jungle 26.04.10 23:06:30 MSD

>в самом начале делал всё что нужно от рута

это хороший вариант если нужны права только в самом начале, а если в процессе выполнения ?)

Sylvia ★★★★★
(26.04.10 23:07:47 MSD)

Ответ на: комментарий от Sylvia 26.04.10 23:07:47 MSD

а если в процессе выполнения ?)

даже не знаю, ещё не приходилось пока

Boy_from_Jungle ★★★★
(26.04.10 23:18:53 MSD)

Ссылка

Ответ на: комментарий от Sylvia 26.04.10 23:07:47 MSD

если в процессе выполнения, то вариант только один - privilege separation. иначе - ссзб.

val-amart ★★★★★
(26.04.10 23:42:08 MSD)

Ссылка

Я бы сделал две отдельные проги, причем вторая с suid'ом.

bk_ ★★
(27.04.10 00:16:43 MSD)

Ссылка

Ответ на: комментарий от Sylvia 26.04.10 22:09:03 MSD

>запустить программу от рут, форкнуть рабочий процесс с дропом привилегий

Классика. Так сделано в kppp, например.

ttnl ★★★★★
(27.04.10 00:18:55 MSD)

Ссылка

как уже сказали смотри на: int seteuid(uid_t euid) и int setegid(gid_t egid);

urezki
(27.04.10 00:29:14 MSD)

Ссылка

Ответ на: комментарий от Sylvia 26.04.10 23:06:31 MSD

Этот вызов является нестандартным.

Есть еще getre[gu]id/setre[gu]id/gete[gu]id/sete[gu]id, они есть POSIX.1-2001. В принципе, их должно хватить в большинстве случаев.

Польза от getres[gu]id() только в том, что можно получить Saved Set-User/Group-ID, который другими (переносимыми) средствами не получить.

setresuid(ruid, euid, 0) можно переносимо выполнить так:

setreuid(ruid, 0);
seteuid(euid);

вернуть рута, соответственно,

seteuid(0);
setreuid(0, 0);

В принципе, этого должно хватить.

Если программирование чисто под Linux, есть хорошая библиотека libcap (и <sys/capability.h>) — с ее помощью можно сбрасывать все ненужные привилегии.

sjinks ★★★
(27.04.10 02:33:56 MSD)

Ссылка

может настроить /etc/sudoers, а потом через system(«sudo mount...»)?

xydo ★★
(27.04.10 12:39:46 MSD)

Ответ на: комментарий от archimag 26.04.10 22:47:54 MSD

сбросить привилегии ты сможешь, а вот обратно поднять только если posix capabilites заюзать.

true_admin ★★★★★
(27.04.10 13:05:46 MSD)

Ссылка

Ответ на: комментарий от xydo 27.04.10 12:39:46 MSD

Это embedded. Использовать suid-костыль для вызова костыля требующего рут привилегии. Не проще ли поставить suid на костыль, требующий рута?

azure ★★
(27.04.10 14:39:57 MSD)

Ответ на: комментарий от azure 27.04.10 14:39:57 MSD

ну, получим на один suid-костыль в системе больше))
насколько это соответствует принятым у ТС правилам безопасности судить не берусь.

xydo ★★
(27.04.10 14:47:26 MSD)

Ответ на: комментарий от xydo 27.04.10 14:47:26 MSD

просто ТС не придется возиться с переключением пользователя в коде его дополнительных костылей. их вообще не будет.
впрочем, может у ТС ЗП считается в зависимости от количества написанных строк кода))

xydo ★★
(27.04.10 14:51:45 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Очереди отложенных действий (work queue)

Development

Кто печатает 'segmentation fault'?

→

Похожие темы