ড্রপ প্রক্রিয়া বিশেষাধিকার

আমার কাছে এমন একটি প্রক্রিয়া রয়েছে যা মূল হিসাবে চলমান কোনও শয়তান দ্বারা শুরু হয়, এখন আমি আপনার গড় ব্যবহারকারীর কাছে এই প্রক্রিয়াটির সুবিধাগুলি "ডাউনগ্রেড" করতে চাই। এটা কি সম্ভব? হ্যাঁ কিভাবে?

পিএস: ম্যাকের উপর ইউনিক্স চালানো

প্রক্রিয়া নিজেই সেটুইড কল করতে হবে (2)। আপনার যদি এটি ইতিমধ্যে না থাকে তবে এটিকে ক্রুট (8) এর মধ্যে চালানোও তদন্ত করা উচিত। আমি যতদূর জানি, অন্য কোনও প্রক্রিয়ার জোড় পরিবর্তন করার জন্য রুটের কোনও উপায় নেই।

যদি আপনি এটিকে মূল হিসাবে চালাচ্ছেন বন্দরগুলি আবদ্ধ করার জন্য, আমি এটি উচ্চতর বন্দরে সাধারণ ব্যবহারকারী হিসাবে চালানো এবং ওএস এক্স-তে আইপিএফডাব্লু (8) ব্যবহার করে 80/443 / ইত্যাদি পোর্টকে উচ্চতর বন্দরে ফরোয়ার্ড করার পরামর্শ দিচ্ছি:

http://support.crashplanpro.com/doku.php/recipe/forward_port_443_to_pro_server_on_mac_osx

sudo tcpdump -Z নিজস্ব প্রক্রিয়াটির মূল সুবিধাগুলি ছাড়তে initgroups (3), setgid (2) এবং setuid (2) ব্যবহার করে।

# code taken from: 
# http://www.opensource.apple.com/source/tcpdump/tcpdump-32/tcpdump/tcpdump.c

/* Drop root privileges and chroot if necessary */
static void
droproot(const char *username, const char *chroot_dir)
{
...
            if (initgroups(pw->pw_name, pw->pw_gid) != 0 ||
               setgid(pw->pw_gid) != 0 || setuid(pw->pw_uid) != 0) {
                    fprintf(stderr, "tcpdump: Couldn't change to '%.32s' uid=%lu gid=%lu: %s\n",
                        username, 
                        (unsigned long)pw->pw_uid,
                        (unsigned long)pw->pw_gid,
                        pcap_strerror(errno));
                    exit(1);
            }
...
}

আপনি অন্যান্য ব্যবহারকারী হিসাবে কমান্ড চালাতে পারেন su:

 su USERNAME -c COMMAND

COMMANDনামিয়ে দেওয়া সুবিধাগুলি দিয়ে চলবে USER।

উল্লেখ্য, ডিফল্টরূপে, suকমান্ডটি চালানোর জন্য লক্ষ্য ব্যবহারকারীর শেল ইন্টারপ্রেটার ব্যবহার করবে। বিপরীতে, এর ডিফল্ট আচরণ sudoহ'ল COMMANDস্থায়ী প্রোগ্রাম হিসাবে আচরণ করা , যা বর্তমান পরিবেশটি চালিত হয়। অবশ্যই এই ডিফল্ট আচরণগুলি বিভিন্ন সুইচ এবং পরিবেশের ভেরিয়েবলের মাধ্যমে পরিবর্তন করা যেতে পারে be

সুবিধাগুলি ছাড়তে, আপনাকে এড়াতে কোনও রুটবিহীন ব্যবহারকারীর প্রয়োজন। তারপরে এটি কেবল সেই ব্যবহারকারীর কাছে স্যুইচ করার বিষয়:

#define UNPRIV_UID  48
#define UNPRIV_GID  48

if (getuid() == 0) { // we are root
    // setting UID/GID requires root privileges, so if you don't set
    // the GID first, you won't be able to do it at all.
    if (setgid(UNPRIV_GID)!=0) die("Failed to set nonroot GID");
    if (setuid(UNPRIV_UID)!=0) die("Failed to set nonroot UID");
}

ASSERT(getuid() != 0); 

নোট করুন যে এটি একটি মোড়কের স্ক্রিপ্টের পরিবর্তে প্রোগ্রামের মধ্যেই করা হয়ে থাকে। অনেকগুলি প্রোগ্রামের নির্দিষ্ট উদ্দেশ্যে (যেমন একটি স্বল্প সংখ্যাযুক্ত বন্দরকে আবদ্ধ করা) জন্য মূল অধিকারগুলির প্রয়োজন হয়, তবে এর পরে মূলের প্রয়োজন হয় না। সুতরাং এই প্রোগ্রামগুলি রুট হিসাবে শুরু হবে, তবে তার পরে আর প্রয়োজনের পরে সুযোগগুলি বাদ দিন।

আপনার যদি মোটামুটি রুট সুবিধার দরকার না হয় তবে কেবল এটি রুট হিসাবে চালাবেন না। উদাহরণ:

# Change this:
myprog -C /my/config/file

# To this:
sudo -u someuser myprog -C /my/config/file
# Or this
su someuser -c "myprog -C /my/config/file"

আপনি যদি execveঅন্য কোনও execনির্বাহযোগ্যকে কার্যকর করছেন, যেমন আপনি কল করছেন বা কোনও ফ্যামিলির পরিবারকে কল করছেন , সম্ভবত পরোক্ষভাবে systemবা এর মতো কোনও ফাংশনের মাধ্যমে popen, এবং শিশু প্রক্রিয়াটি শুরু থেকে কোনও সুযোগ সুবিধা ছাড়াই চলতে হবে, তবে সবচেয়ে সহজ উপায় হ'ল একটি শেল জড়িত, এবং কল su। কোডটি পার্লের মতো দেখতে কেমন হতে পারে তার একটি সংক্ষিপ্ত বিবরণ এখানে দেখানো হয়েছে:

$shell_command = quotemeta($path_to_executable) . " --option";
$shell_command =~ s/'/'\\''/; # protect single quotes for the use as argument to su
$su_command = sprintf("su -c '%s' %s", $shell_command, quotemeta($user_name));
open(PIPE, "$su_command |") or die;

যদি শিশু প্রক্রিয়াটি মূল হিসাবে শুরু করতে হয় তবে পরে সুবিধাগুলি বাদ দেয় তবে এই উত্তরের কোডটি দেখুন , যা কোনও প্রক্রিয়াতে কীভাবে সুযোগ-সুবিধাগুলি ডাউনগ্রেড করতে হবে তা চিত্রিত করে।