问题[setuid](unix)

我有一个从 C 源文件编译的可执行二进制文件

可执行文件具有 setuid 权限

我注意到，如果可执行文件的所有者是root，我可以使用

setuid(geteuid());

在编译文件以将运行可执行文件的进程的真实 UID设置为root时。然后，运行可执行文件的任何人都可以以root身份运行它。

但是，我注意到只有当可执行文件的所有者是root时才会发生这种情况。当我尝试授予test_user可执行文件的所有权（并修复权限以再次包含 setuid）时，它不起作用。在阅读了这些文档页面（1、2、3）并阅读了这篇文章后，我注意到这setuid(new_euid)是为了更改有效 UID而不是运行可执行文件的进程的真实 UID。只是碰巧，在特定情况下（有效的 UID是 root），setuid(new_euid)还设置了真实的 UID和保存的 UID运行可执行文件的进程到new_euid.

我通过使用setreuid代替解决了这个问题setuid，如下：

setreuid(geteuid(), geteuid());

这允许我将进程的真实 UID设置为有效 UID（可执行文件的所有者）并将有效 UID重置为其值（冗余）。

我知道这在某些条件下会起作用，但同样适用于使用,或更改真实 UID、保存的 UID或有效的 UIDsetuid()时更容易混淆，因为它们总是有效？setreuid()setresuid()seteuid()

此外：我知道这seteuid()似乎与此处setuid()解释的差异相同（有效的 UID是 root）。这应该不允许 root 特权程序在删除它们后重新获得特权（因为所有 3 个 UID 都将使用 更改为相同的值）？那么我是否应该只使用root 特权程序，即使它与例如相比不那么清楚？setuid()setuid()setresuid()

我认为这setuid()可能是安全的，因为它不允许 root 特权程序在删除后重新获得特权，但是可以使用其他提到的功能来实现这种行为，而不会造成太大的混乱。

另一件事getuid()返回进程的真实 UID，同时setuid()用于修改有效 UID（除非特权），这也令人困惑。

假设你是 user x，所以运行id给出

uid=1001(x) gid=1001(x) groups=1001(x)

还有一个y用户

uid=1002(y) gid=1002(y) groups=1002(y)

现在我们在用户的主目录中root创建一个文件，如下所示：readmex

# cd /home/x
# touch readme
# echo "hello" > readme
# chown root:y readme
# chmod 640 readme

我们制作一份less

# cd /home/x
# cp /usr/bin/less .
# chown y:x less
# chmod 6110 less

由于 setuid 和 setgid，我希望用户x能够readme通过运行./less readme来阅读，但我收到“权限被拒绝”错误。为什么？

这是我的逻辑，但可能有问题。

chmod 6110仅授予所有者 ( y) 和组成员( )执行权x。由于用户x属于组x，他可以执行less。然后 setuid 使有效 UID 与 相同y，而 setgid 使有效 GID 与所有者的组相同，再次y。并且由于readme's group is y，less应该具有读取权限。

我有一个C程序来演示capability leak关于 set-uid 的攻击。

// cap_leak.c
#include <unistd.h>
#include <stdio.h>
#include <stdlib.h>
#include <fcntl.h>

void main()
{  
    int fd;  char *v[2];  
    /* Assume that /etc/zzz is an important system file, and it is owned by root with permission 0644. Before running this program, you should create the file /etc/zzz first. */  

    fd = open("/etc/zzz", O_RDWR | O_APPEND);

    // Print out the file descriptor value  
    printf("fd is %d\n", fd);    
    if (fd == -1) 
    {     
        printf("Cannot open /etc/zzz\n");     
        exit(0);  
    }  
    // Permanently disable the privilege by making the  
    // effective uid the same as the real uid  
    setuid(getuid()); 
    printf("Real user id is %d\n", getuid());    
    printf("Effective user id is %d\n", geteuid());    

    // Execute /bin/sh  
    v[0] = "/bin/sh"; v[1] = 0;  
    execve(v[0], v, 0);        
}

最初，cat /etc/zzz给出：

this is a very important file

现在我编译这个程序：

gcc -o cap_leak cap_leak.c

将所有者更改为 root 并打开 setuid 位：

sudo chown root cap_root
sudo chmod 4755 cap_root

现在，当我从普通用户运行程序时，我得到一个 shell 提示：

fd is 3
Real user id is 1000
Effective user id is 1000
$whoami
$seed
$echo bbbbbb >&3
$cat /etc/zzz
$this is a very important file
 bbbbbb

最后一次写入fd = 3ie/etc/zzz是成功的，尽管在打开文件后setuid()调用了该函数，该函数基本上将真实、有效和保存的 uid 设置为原始 uid。我的问题是，为什么最后一次写入是成功的，即使它是在之后执行的，setuid()并且在这种情况下为了防止能力泄漏，应该把setuid()它放在哪里，为什么？

我正在尝试编写一个程序，该程序将在不提示输入密码或确认的情况下快速关闭笔记本电脑。笔记本电脑运行的是 Linux，特别是 Manjaro。

为此，我正在尝试制作一个使用固定参数执行的setuid可执行文件（并且还生成一个 shell）。我在这里只是为了保持程序简短，从安全的角度来看这是一个糟糕的主意。downnowshutdownsystem

// downnow.c
#include <stdlib.h>

int main() {
  system("shutdown --no-wall --halt now");
  return 0;
}

然后我编译downnow，把它移到/bin，改变它的所有者并给它 setuid 和 setgid 权限：

$ sudo chown root /bin/downnow 

$ sudo chgrp root /bin/downnow 

$ sudo chmod u+s /bin/downnow 

$ sudo chmod g+s /bin/downnow 

但是，当我尝试以downnow非特权用户身份执行时，它无法与 systemd 通信。

$ downnow 
Failed to halt system via logind: Interactive authentication required.
Failed to talk to init daemon.

ch{own,grp,mod}我在ing之前和之后收到相同的消息。

stat/bin/downnow在和上报告相同的权限/usr/bin/sudo。

$ stat /bin/downnow 
  File: /bin/downnow
  Size: XXXX        Blocks: XX         IO Block: XXXX   regular file
Device: XXXXX/XXXXX Inode: XXXXXX     Links: 1
Access: (6755/-rwsr-sr-x)  Uid: (    0/    root)   Gid: (    0/    root)

$ stat /usr/bin/sudo
  File: /usr/bin/sudo
  Size: XXXXXX      Blocks: XXX        IO Block: XXXX   regular file
Device: XXXXX/XXXXX Inode: XXXXXXX     Links: 1
Access: (4755/-rwsr-xr-x)  Uid: (    0/    root)   Gid: (    0/    root)

为什么在完美运行downnow时可能无法提升其特权？sudo