我有一个使用一些 C 库的 C++ 程序。该程序以“非特权”用户身份执行,但程序加载的库 (.so) 的一个且只有一个函数需要 root 权限(它需要写入 /dev/mem)。
是否有一种方法可以只让那个函数或那个库以 root 身份执行,而让所有其余代码“无特权”?
谢谢大家, 克里斯蒂安
【问题讨论】:
快速回答是否。您不能在每个库的基础上切换用户 ID,因为用户身份是每个进程的属性(如果您尝试深入了解 /dev/mem 设备,您至少应该知道这一点)。
运行时库加载是一个库任务(它是由我的系统中称为动态加载器的共享对象ld-linux-x86-64.so.2 完成的)并且它是在运行时完成的,因此为了安全起见,不能授予它特权访问权限原因。
无论如何,程序的 setuid 属性允许您在 有效 用户(这是 setuid 用户)和 real 用户(执行程序)并返回,所以在root帐户的特殊情况下,您可以使用它来访问/dev/mem。
无论如何,除了访问问题之外,写入/dev/mem 是非常危险的,因为它映射到机器的物理地址空间(因此,它作为物理页面存在,来自不同的进程和内核,没有明显命令)。这必须通过可用的转换表来完成,因为页面以非常动态的方式来来去去交换。无论如何,您都在触及内核内存,因此在此处写入时必须格外小心。我不知道你想做什么,但你最好在写之前三思而后行(从你的问题来看,你对进程的属性不够了解,很可能你也不知道内核中保存的页面的虚拟到物理转换)。
但是,如果您想使系统崩溃,这是一个完美的方法。无论如何,如果那是您追求的目标,那么只需将整个程序设置为根(如果您知道这句话的意思)并继续。或者更好的是,以 root 用户身份进行操作,这样您就无需担心 setuid 之类的问题。
【讨论】:
/dev/kmem 可能会更好。这样,您可以使用内核内存映射,而不必自己翻译。无论如何,一个简单的设备开发将是一个更好的解决方案,因为您继续进行的方式,没有机会能够阻止或阻止同时访问同一个地方,并使整个系统崩溃。我认为您不知道自己在计划什么……设备驱动程序将是实现此目的的解决方案。
/dev/kmem,而是编写驱动程序...驱动程序是控制设备的唯一东西.....如果您尝试通过写入来控制它/dev/kmem 你也会让事情崩溃...... /dev/kmem 强烈反对使用。请永远不要说我建议使用/dev/kmem 来停止设备......我从来没有这样做过。而且,为什么不是问问题的开发人员。你觉得在这两者之间需要你吗?
以 root 身份启动程序并将 /dev/mem 作为文件打开。然后将用户 ID 更改为不那么具有侵入性的内容。该文件将保留其原始权限。
【讨论】: