更改用户ID和更改组ID
在UNIX系统中,特权以及访问控制,是基于用户ID和组ID的。当需要增加特权或需要访问并不允许访问的资源时,我们需要更换自己的用户ID或组ID,使得新ID具有合适的特权或访问权限。与此类似,当程序需要降低其特权或阻止对某些资源的访问时,也需要更换用户ID或组ID,新ID不具有相应特权或访问这些资源的能力。
最小特权模型降低了由恶意用户试图哄骗我们的程序以未预料的方式使用特权造成的安全性风险。
可以用setuid函数设置实际用户ID和有效用户ID。
可以用setgid函数设置实际组ID和有效组ID
#include <unistd.h>
int setuid(uid_t uid);
int setgid(gid_t gid);
实际用户ID和实际用户组ID:标识我是谁。也就是登录用户的uid和gid,比如我的Linux以simon登录,在Linux运行的所有的命令的实际用户ID都是simon的uid,实际用户组ID都是simon的gid(可以用id命令查看)。
有效用户ID和有效用户组ID:进程用来决定我们对资源的访问权限。
int setreuid(uid_t ruid, uid_t euid);
int setregid(uid_t rgid, uid_t egid);
函数说明
setreuid()用来将参数ruid 设为目前进程的真实用户识别码,将参数euid 设置为目前进程的有效用户识别码。如果参数ruid 或euid值为-1,则对应的识别码不会改变。
一个非特权用户总能交换实际用户ID和有效用户ID。这就允许一个设置用户ID程序