setuidビットを適切に使用する

setuidビット を実行可能ファイルに設定して、実行時に、プログラムが実際のユーザーではなくファイルの所有者の権限を持っている場合、それらの権限が異なるようにすることができます。これは、effectiveuid（ユーザーID）とrealuidの違いです。

passwdなどの一部の一般的なユーティリティは、rootが所有しており、必要に応じてこのように構成されています（passwdは_/etc/shadow_にアクセスする必要があり、これはrootだけが読み取ることができます）。

これを行うときの最善の戦略は、スーパーユーザーとしてすぐに実行する必要があることをすべて実行してから、権限を下げ、rootの実行中にバグや誤用が発生する可能性を低くすることです。これを行うには、プロセスのeffectiveuidを実際のuidに設定します。 POSIX Cの場合：

_#define _POSIX_C_SOURCE 200112L // Needed with glibc (e.g., linux).
#include <stdio.h>
#include <sys/types.h>
#include <unistd.h>

void report (uid_t real) {
    printf (
        "Real UID: %d Effective UID: %d\n",
        real,
        geteuid()
    );
}

int main (void) {
    uid_t real = getuid();
    report(real);
    seteuid(real);
    report(real);
    return 0;
}
_

関連する関数。POSIXシステムで一般的に使用されている場合、ほとんどの高水準言語で同等の機能が必要です。

• getuid()： real uidを取得します。
• geteuid()： effective uidを取得します。
• seteuid()： effective uidを設定します。

最後の1つが実際のuidに不適切な場合、setuidビットが実行可能ファイルに設定されている場合を除き、何もできません。これを試すには、_gcc test.c -o testuid_をコンパイルします。次に、特権を使用して以下を実行する必要があります。

_chown root testuid
chmod u+s testuid
_

最後のものは、setuidビットを設定します。ここで、通常のユーザーとして_./testuid_を実行すると、デフォルトでプロセスが実効uid 0、rootで実行されることがわかります。

スクリプトはどうですか？

これはプラットフォームごとに異なります ですが、Linuxでは、バイトコードを含むインタープリターを必要とするものは、インタープリターで設定されていない限り、非常に愚かですが、setuidビットを使用できません。 ）。上記のCコードを模倣した単純なPerlスクリプトは次のとおりです。

_#!/usr/bin/Perl
use strict;
use warnings FATAL => qw(all);

print "Real UID: $< Effective UID: $>\n";
$> = $<; # Not an ASCII art greedy face, but genuine Perl...
print "Real UID: $< Effective UID: $>\n"; 
_

* nixyルーツに忠実に、Perlには有効なuid（_$>_）と実際のuid（_$<_）用の特別な変数が組み込まれています。しかし、コンパイルされた（前の例のCからの）実行可能ファイルで使用されているのと同じchownおよびchmodを試しても、違いはありません。スクリプトは特権を取得できません。

これに対する答えは、setuidバイナリを使用してスクリプトを実行することです。

_#include <stdio.h>
#include <unistd.h> 

int main (int argc, char *argv[]) {
    if (argc < 2) {
        puts("Path to Perl script required.");
        return 1;
    }
    const char *Perl = "Perl";
    argv[0] = (char*)Perl;
    return execv("/usr/bin/Perl", argv);
}
_

この_gcc --std=c99 whatever.c -o perlsuid_をコンパイルし、次に_chown root perlsuid && chmod u+s perlsuid_をコンパイルします。 any Perlスクリプトを、実効uid 0、誰が所有しているかに関係なく実行できるようになりました。

同様の戦略は、php、pythonなどでも機能します。But...

_# Think hard, very important:
>_< # Genuine ASCII art "Oh tish!" face
_

PLEASE PLEASEこのようなものを放置しないでください.ほとんどの場合、実際に絶対パスとしてスクリプトを記述します。つまり、main()のすべてのコードを次のコードに置き換えます：

_    const char *args[] = { "Perl", "/opt/suid_scripts/whatever.pl" }
    return execv("/usr/bin/Perl", (char * const*)args);
_

それらは、_/opt/suid_scripts_とその中のすべてが非rootユーザーに対して読み取り専用であることを確認してください。そうしないと、誰かが何でも_whatever.pl_に入れ替えることができます。

さらに、多くのスクリプト言語では、環境変数がスクリプトの実行方法を変更できるようになっていることに注意してください。たとえば、環境変数により、呼び出し元から提供されたライブラリが読み込まれ、呼び出し元がルートとして任意のコードを実行できるようになります。したがって、インタプリタとスクリプト自体の両方がすべての可能な環境変数に対して堅牢であることを知らない限り、 DO N'T DO THIS です。

では、代わりに何をすべきでしょうか？

非rootユーザーがrootとしてスクリプトを実行できるようにするより安全な方法は、 Sudo ルールを追加して、ユーザーに_Sudo /path/to/script_を実行させることです。 Sudoはほとんどの環境変数を取り除き、管理者が誰がどの引数でコマンドを実行できるかを細かく選択できるようにします。例は パスワードプロンプトなしで特定のプログラムをrootとして実行する方法？ を参照してください。