Linux进程权限

Linux进程权限 real user id, effective user id, saved set-user-id

  http://blog.csdn.net/ybxuwei/article/details/23563423

每个Linux进程都包含这些属性，这些属性共同决定了该进程访问文件的权限 ：

1. real user id

2. real group id

3. effective user id

4. effective group id

5. saved set-user-id

6. saved set-group-id

1,2 简称ruid、rgid ，由启动进程的用户决定，通常是当前登录用户（运行可执行文件的用户）；

3,4 简称euid/egid ，一般在进程启动时，直接由1,2复制而来；或者是当进程对应的可执行文件的set-user-id/set-group-id（chmod u+s）标志位为true时，为该文件的所属用户/组，这组属性决定了进程访问文件的权限；

5,6 简称suid/sgid，从euid/egid复制。

下面这张图描述了进程启动时，这些属性是怎么赋值的:

1-2 ： 由登录用户启动运行可执行文件，启动进程；

3： 设置进程的rid/rgid为当前登录用户的uid/gid；

4：设置进程的eid/egid，根据可执行文件的set-user-id/set-group-id属性（红色：0， 紫色：1），为1时，设为可执行文件的uid/gid，否则从rid/rgid拷贝。

[cpp]  view plain  copy

1. /* sample1.c， 打印本进程的ruid, euid, suid */  
2. #include <stdio.h>  
3. #include <unistd.h>  
4. #include <sys/types.h>  
5. #include <errno.h>  
6. #include <string.h>  
7. #include <fcntl.h>  
8. #include <pwd.h>  
9. int main()  
10. {  
11.     struct passwd* ruser = NULL;  
12.     struct passwd* euser = NULL;  
13.     struct passwd* suser = NULL;  
14.     uid_t uid, euid, suid;  
15.     /* get uid euid suid */  
16.     if(getresuid(&uid, &euid, &suid) != 0)  
17.     {  
18.         perror(0);  
19.         return 1;  
20.     }  
21.     /* get name of id */  
22.     ruser = getpwuid(uid);  
23.     printf("real user: %s\n", ruser->pw_name);  
24.     euser = getpwuid(euid);  
25.     printf("effective user: %s\n", euser->pw_name);  
26.     suser = getpwuid(suid);  
27.     printf("saved set-user-id user: %s\n", suser->pw_name);  
28.     return 0;  
29. }  

编译生成a.out。

执行ls -l a.out，查看可执行文件属性：

执行./a.out,  可以看到三个用户均为当前登录用户：

若执行sudo ./a.out, 则三个用户全为root用户

设置set-user-id位为1： 执行chmod u+s  a.out, 可以看到user的x属性变成了s：

 

执行sudo  ./a.out， rid为登录用户，euid/suid和a.out文件的uid一致，此时进程虽然用sudo启动，但读写文件时只具有普通用户(euid: xuwei)的权限： 

以上仅以user id为例， 对于相应的group id， 其原理是一样的。

本文提到“effective id”实际决定文件读写权限，“real id”和“saved id”有什么用呢？下节会介绍。

对于apue2中的8.11 Changing user IDs and Group IDs 重点总结如下:

#include <unistd.h> int setuid(uid_t uid); int setgid(gid_t gid);

Both return: 0 if OK, 1 on error

在apue2中有如下说明：

1.只有超级用户进程才能改变real user ID.一般情况下real user ID在我们登录的时候由login程序设置，随后将不再改变.

2.effective user ID被函数exec设置当且仅当程序文件设置了set-user-ID位.我们可以调用setuid函数在任何时候设置effective user ID为real user ID 或者saved set-user ID.

3.saved set-user ID通过函数exec复制了effective user ID.

所以最终的结果如下图所示:

ID	exec		setuid(uid)
	set-user-ID 位关闭	set-user-ID 位开启	超级用户	普通用户
real user ID	不变	不变	设置为uid	不变
effective user ID	不变	设置为程序文件的user ID	设置为uid	设置为uid
saved set-user ID	复制effective user ID	复制effective user ID	设置为uid	不变

 linux中每个进程有六个或者更多的ID与其关联：

      real user id一般是从passwd文件中获取的，一般是不会发生改变的，当然也可以改变。可以理解为启动该进程的用户，即哪个用户启动了该进程，那么该进程的real user id就是该用户的id

      effective user id决定了进程访问文件的权限，一般情况下是与real user id是相同的，但可以改变

      saved set-user-id 当该程序被执行时，save set-user-id是effective-user-id的一份copy

      user id和group id情况是类似的，通过介绍set-user-id即可了解set-group-id

      在系统中每个文件都有一个owner和group owner，这一般是通过stat结构中的st_uid来标记的。在文件的mode里面有一位叫做set-user-id的位，在设置了该位后，程序运行的时候effective-user-id等于该文件的owner id（比较拗口）

      下面给出一个例子：

       从上面的例子中可以看出set-user-id的思想：当其他用户运行我这个程序时，如果我设置了set-user-id位，那么其他用户就可以像我一样运行该程序了（这里主要是指对文件的访问权）

      例如passwd程序是一个set-user-id程序（即设置了set-user-id位），这是因为passwd程序在修改用户密码时需要访问/etc/passwd文件，而该文件只有对root用户是可写的，其他用户都是只有读权限。那么在将passwd程序设计成set-user-id成后就可以方便了很多了。其他一般的用户可以执行passwd程序，在执行的时候passwd进程的real-uer-id是用户的id，而effective-user-id确实root用户（因为passwd的owner是root），而effective-uer-id决定着进程访问文件的权限，这样的话就使得其他一般用户也可以通过passwd程序来修改自己的密码了。

下面是网上找的一个类似总结：

http://abao.cn/?post=41

       process里面有三个user id,刚开始真是一个令人感觉头痛的地方。因为很容易混淆。但是慢慢的，抓住了一些关键的原因和特点，就可以比较容易理解了。process的三个ID分别是real user id, effective user id,saved set-user-id。对于group有相同的情况，我们可以照下文类推。

      首先要注意的是，real user id是真正process执行起来的用户user id，这个是比较清楚的，这个进程是哪个用户调用的，或者是哪个父进程发起的，这个都是很明显的。通常这个是不更改的，也不需要更改。

      然后要注意的是，当判定一个进程是否对于某个文件有权限的时候，要验证的ID是effective user id，而非real user id。那effective user id是如何被设置进来的呢？

      Linux通常都不建议用户使用root权限去进行一般的处理，但是普通用户在做很多很多services相关的操作的时候，可能需要一个特殊的权限。为了满足这样的要求，许多services相关的executable有一个标志，这就是set-user-id bit。当这个ser-user-id bit=ON的时候，这个executable被用exec启动之后的进程的effective user id就是这个executable的owner id，而并非parent process real user id。如果set-user-id bit=OFF的时候，这个被exec起来的进程的effective user id应该是等于进程的user id的。

      那这样我们就清楚了，设定一个effective user id的意义在于，它可能和real user id不同。那么为什么要设置一个saved set-user-id呢？它的意义是，它相当于是一个buffer，在exec启动进程之后，它会从effective user id位拷贝信息到自己。对于非root用户，可以在未来使用setuid()来将effective user id设置成为real user id和saved set-user-id中的任何一个。但是非root用户是不允许用setuid()把effective user id设置成为任何第三个user id。 
对于root来说，就没有那么大的意义了。因为root调用setuid()的时候，将会设置所有的这三个user id位。所以可以综合说，这三个位的设置为为了让unprivilege user可以获得两种不同的permission而设置的。 
      APUE的例子是，普通用户去执行一个tip进程，set-user-id bit=ON，执行起来的时候，进程可以有uucp (executable owner)的权限来写lock文件，也有当前普通用户的权限来写数据文件。在两种文件操作之间，使用setuid()来切换effective user id。但是正是因为setuid()的限制，该进程无法获得更多的第三种用户的权限。 
其他东西

•       saved set-user-id是无法取出来的，是kernel来控制的。
• 注意saved set-user-id是进程中的id，而set-user-id bit则是文件上的权限。我用了比较长的时间才分清楚。

实验 - 目的在于看看各种运行状态下的uid和euid。

/* main.c */ 
#include <stdio.h> 
#include <unistd.h> 
void print_user_id(void); 
void print_user_id(){ 
    printf("user id=%d/n", getuid()); 
    printf("effective user id=%d/n", geteuid()); 
} 
int main() 
{ 
    print_user_id(); 
}

之后编译 
gcc -o main main.c 
直接run（当前的user id =1000) 
$ ./main 
user id=1000 
effective user id=1000

用root的身份run(root user id =0) 
$ sudo ./main 
user id=0 
effective user id=0 
$ sudo chown mysql main 
注意owner改了，但是当前用户是没有变的，所以和第一次run的结果一致。 
$ ./main 
user id=1000 
effective user id=1000

设置set-user-id bit=ON，再试试看，就有效果了 
$ sudo chmod u+s main 
$ ./main 
user id=1000 
effective user id=112