关于奇奇怪怪的权限编程问题

haulm

以下程序用root执行能得出setuid和seteuid的区虽和使用，可以肯定的是内核对权限的提升有了越来越多的限制
所以估计如果需要提升权限，必需要提供一个root id 执行的服务提供临时的权限提升，目前的内核根本上堵死直接修改uid提升权限的危险做法，所以新内核普通用户不能用mxd拔号也很正常了，新内核停止了rp-pppoe-gui组件的权限提升方法。
还可以给passwd这个指令设置s标志，不管你加了suid权限还是去掉，MGC下普通用户无法用passwd更换自己的密码。。。，所以解决普通用户权限的问题只能依靠已经成为标准权限服务的组件，具体的我希望nihui能给个有效的例程以供大家学习（上回两个例子没一个可以用）。

1. #include <unistd.h> //setuid() and getuid()
   
2. #include <iostream>
   
3. #include <fstream>
   
4. using namespace std;
   
5. void test_read_file(const char *name)
   
6. {
   
7. ifstream f(name);
   
8. if(f.fail())
   
9. cout<<"=[ERROR]: read failed."<<endl;
   
10. else
    
11. cout<<"=[OK]: read successful."<<endl;
    
12.   }
    
13. //打印uid和euid.
    
14. inline void p_states(void)
    
15. {
    
16. int uid,euid;
    
17.      cout<<"-----Current states--------------------------"<<endl;
    
18.      cout<<"real uid\t"<<getuid()<<endl;
    
19.      cout<<"effective uid\t"<<geteuid()<<endl;
    
20.      cout<<"---------------------------------------------"<<endl;
    
21. }
    
22. //调用setuid.
    
23. inline void run_setuid_fun(int uid)
    
24.   {
    
25.      if(setuid(uid) == -1)
    
26.           cout<<"=[ERROR]: setuid("<<uid<<") error"<<endl;
    
27.       p_states();
    
28.   }
    
29. //调用seteuid.
    
30.   inline void run_seteuid_fun(int uid)
    
31.   {
    
32.       if(seteuid(uid) == -1)
    
33.            cout<<"=[ERROR]: seteuid("<<uid<<") error"<<endl;
    
34.       p_states();
    
35.   }
    
36. 
    
37.    int main()
    
38.   {
    
39.           int t_re=0;
    
40.           const char * file = "./root_only.txt";
    
41.    
    
42.           cout<<endl<<"TEST 1: "<<endl;
    
43.           p_states();
    
44.           //[1]此时 real uid= login user id
    
45.           //     effective uid = root
    
46.           //     saved uid = root
    
47.           test_read_file(file);
    
48.    
    
49.           cout<<endl<<"TEST 2: seteuid(503)"<<endl;
    
50.           run_seteuid_fun(503);
    
51.           //[2]此时 real uid= login user id
    
52.           //     effective uid = login user id
    
53.           //     saved uid = root
    
54.           test_read_file(file);
    
55.    
    
56.           cout<<endl<<"TEST 3: seteuid(0)"<<endl;
    
57.         run_seteuid_fun(0);
    
58.           //[3]此时 real uid= login user id
    
59.           //     effective uid = root
    
60.           //     saved uid = root
    
61.           test_read_file(file);
    
62.    
    
63.           cout<<endl<<"TEST 4: setuid(0)"<<endl;
    
64.           run_setuid_fun(0);
    
65.           //[4]此时 real uid= root
    
66.           //     effective uid = root
    
67.           //     saved uid = root
    
68.           test_read_file(file);
    
69.    
    
70.           cout<<endl<<"TEST 5: setuid(503)"<<endl;
    
71.           run_setuid_fun(503);
    
72.           //[5]此时 real uid= login user id
    
73.           //     effective uid = login user id
    
74.           //     saved uid = login user id
    
75.           test_read_file(file);
    
76.    
    
77.           cout<<endl<<"TEST 6: setuid(0)"<<endl;
    
78.           //[6]此时 real uid= login user id
    
79.           //     effective uid = login user id
    
80.           //     saved uid = login user id
    
81.           // 运行setuid(0)是将返回错误值-1.
    
82.           run_setuid_fun(0);
    
83.           test_read_file(file);
    
84.           return 0;
    
85.       }
    
86.    
    
87.    

复制代码

haulm

也可以说是直接建立一个pppoe-start服务，它本身就已经准备在执行拔号了，这时如果普通用户给它一个信号，那么pppoe-start服务就直接拔号了，如果是这样，根本和权限没有任何关系了。Linux 的安全机制看来要围得水泄不通。

nihui

新内核停止了rp-pppoe-gui组件的权限提升方法

这个不应该的，理论上不会，按照软件发展模式也不会。
上次给的那两个例子用的是 polkit，不是 pppoe-wrapper 用的 suid 的那套，要我写也不过就这样了

haulm

polkit 认证，手头有个写文件的例子，就在培训论坛，测试也都通过了，不过我想要的是能运行程序的例子，polkit 认证dbus接口，有点杂乱，得理清看懂才行。