22.2.1. Передача полномочий

22.2.1. Передача полномочий

Многие программы, которые требуют определенных прав доступа, используют эти права только во время запуска. Например, некоторые сетевые демоны могут активизироваться только привилегированным пользователем для того, чтобы они имели возможность подключиться к резервному порту с помощью функции listen(), но после этого никакие особые полномочия не понадобятся. Большинство Web-серверов используют этот прием для усиления защиты от атак путем переключения на другого пользователя (обычно пользователь называется nobody или apache) сразу после открытия TCP/IP-порта 80. В это время сервер все еще остается объектом для удаленного использования, но, по крайней мере, такая эксплуатация больше не сможет предоставить взломщику доступ к процессу, активизированному как root. Сетевые клиенты, нуждающиеся в резервных портах (таких как rsh), могут применять подобную методику. Они запускаются как setuid на root, что позволяет им открывать подходящий порт. Как только порт открыт, необходимость в привилегиях root отпадает, и особые возможности можно отключить.

Для восстановления полномочий процесса необходимо использовать один или более из следующих методов: setuid(), setgid(), setgroups(). Этот прием эффективен только в том случае, если используется настоящая действующая файловая система и для всех сохраненных идентификаторах uid (или gid) установлены соответствующие значения. Если программа является setuid (или setgid), то процесс, вероятно, пожелает присвоить данным идентификаторам uid их сохраненное значение uid. Системные демоны, передающие управление другому пользователю после запуска от имени root, должны изменять пользовательские и групповые идентификаторы, а также очищать свой дополнительный групповой список. Более подробное описание того, как процесс может изменять свои сертификаты, можно найти в главе 10.

Поделитесь на страничке

Следующая глава >

Похожие главы из других книг

4.6.3 Передача Параметров

Из книги C++ автора Хилл Мюррей

4.6.3 Передача Параметров Когда вызывается функция, дополнительно выделяется пмять под ее формальные параметры, и каждый формальный парметр инициализируется соответствующим ему фактическим парметром. Семантика передачи параметров идентична семантике инициализации. В


Глава 14. Разделение полномочий между технарями и бизнесменами

Из книги Экстремальное программирование автора Бек Кент

Глава 14. Разделение полномочий между технарями и бизнесменами Одним из основополагающих правил нашей стратегии является то, что технари концентрируются на решении технических проблем, а бизнесмены – на решении бизнес-проблем. Проект должен управляться


Передача пакетов

Из книги Skype: бесплатные звонки через Интернет. Начали! автора Гольцман Виктор Иосифович

Передача пакетов Следующий этап – это передача пакетов. Транспортировка цифрового трафика осуществляется через Интернет с помощью технологии TCP/IP. Термин TCP/IP обозначает целый набор технологий и прикладных программ, связанных с передачей данных через Интернет. Сюда


Передача параметров

Из книги ArchiCAD 11 автора Днепров Александр Г

Передача параметров До сих пор при необходимости изменения параметров объекта мы выделяли его, а затем открывали соответствующее окно или использовали инструменты, расположенные на информационной палитре. Но как быть, если нужно передать параметры одного объекта


15.8. Передача дескрипторов

Из книги UNIX: взаимодействие процессов автора Стивенс Уильям Ричард

15.8. Передача дескрипторов Когда мы говорим о передаче открытого дескриптора от одного процесса другому, обычно подразумевается одно из двух:? наследование всех открытых дескрипторов родительского процесса дочерним после вызова fork;? сохранение открытых дескрипторов при


Механизмы создания и обработки политики полномочий

Из книги Инфраструктуры открытых ключей автора Полянская Ольга Юрьевна

Механизмы создания и обработки политики полномочий Поддерживаемый PKI сервис управления полномочиями зависит от существования политик, которые описывают определенные полномочия отдельных индивидов, групп или ролей (должностей). Простой пример - список управления


Передача файлов

Из книги Самоучитель Skype. Бесплатная связь через Интернет автора Яковлева Е. С.

Передача файлов С помощью программы Skype можно легко обмениваться файлами непосредственно во время разговора или чата или в любое другое время.Отправка файла возможна одному или нескольким абонентам Skype. Очень интересно обмениваться фотографиями, музыкальными файлами,


6.2. Временное получение полномочий пользователя root

Из книги Ubuntu 10. Краткое руководство пользователя автора Колисниченко Д. Н.

6.2. Временное получение полномочий пользователя root Некоторые операции, такие, например, как установка программного обеспечения или изменение конфигурационных файлов, требуют полномочий root. Чтобы их получить, нужно использовать команду sudo следующим образом: sudo


Отмена полномочий

Из книги Firebird РУКОВОДСТВО РАЗРАБОТЧИКА БАЗ ДАННЫХ автора Борри Хелен

Отмена полномочий Оператор REVOKE требуется для удаления полномочий, назначенных операторами GRANT. Согласно стандарту, REVOKE должен каскадом отменить все привилегии, полученные всеми пользователями как результат WITH GRANT OPTION от данного пользователя. Однако вам не следует на это


Имеет ли владелец серверного процесса достаточно полномочий для открытия файлов?

Из книги Linux глазами хакера автора Флёнов Михаил Евгеньевич

Имеет ли владелец серверного процесса достаточно полномочий для открытия файлов? Полномочия к файловой системе, включая права к каталогам, могут вызвать проблемы в POSIX. Полномочия к каталогам могут вызвать проблемы в разделах Windows MTFS.Серверному процессу может


Менеджеры полномочий

Из книги Мир InterBase. Архитектура, администрирование и разработка приложений баз данных в InterBase/FireBird/Yaffil автора Ковязин Алексей Николаевич

Менеджеры полномочий Попробуйте использовать эти инструменты для упрощения управления пользователями, ролями и полномочиями SQL:* Grant Manager от Eadfost на http://www.eadsoft.com/english/products/ grantmanager. Пробная версия этого продукта под Windows доступна в качестве 30-дневной утилиты в виде отдельной


Урок № 67. Передача собственных материалов в переработку на сторону и передача продукции из давальческого сырья

Из книги автора

Урок № 67. Передача собственных материалов в переработку на сторону и передача продукции из давальческого сырья В процессе производственной деятельности предприятия часто приходится осуществлять передачу собственных материалов стороннему переработчику для выпуска


10.1.3. Передача файлов

Из книги автора

10.1.3. Передача файлов Так как протокол FTP предназначен для работы с разными системами, то для передачи файлов используются два основных режима — текстовый (ASCII) и бинарный.Допустим, что вы хотите переслать текстовый файл с компьютера Unix на компьютер Windows. В Unix для текстовых