いくつかの例を挙げて、順を追って説明していきます。
短い背景
各プロセスのような属性が含まれ、独自の「プロセスの資格」はPID、PPID、PGID、session IDおよび、実と実効ユーザーIDとグループIDを:
RUID、EUID、RGID、EGID。
それらに焦点を当てます。
パート1:UIDとGIDを理解する
次に、資格情報を使用してシェルにログインし、実行します。
$ grep $LOGNAME /etc/passwd
rotem:x:1000:1000:rotem,,,:/home/rotem:/bin/bash
私のログ名(rotem)、UIDとGIDの両方が1000であることがわかります。また、ログインしているシェルなどの詳細も表示されます。
パート2:RUIDとRGIDを理解する
すべてのプロセスには所有者がいて、グループに属しています。
シェルでは、これから実行するすべてのプロセスがユーザーアカウントの特権を継承し、同じUIDとGIDで実行されます。
それをチェックする簡単なコマンドを実行してみましょう:
$ sleep 10 & ps aux | grep 'sleep'
そして、プロセスのUIDとGIDを確認します。
$ stat -c "%u %g" /proc/$pid/
1000 1000
これらは、実 ユーザーID(RUID)と実際のグループID(RGIDの)プロセス。
(*)をチェックUIDとGIDを表示するために、他のオプションとでワンライナーでこれを取得する方法を。
今のところ、事実受け入れる EUIDとEGID属性が「冗長性」であり、ちょうどに等しいRUIDとRGID舞台裏を。
パート3:EUIDとEGIDを理解する
pingコマンドを例にとってみましょう。
whichコマンドでバイナリの場所を検索して実行しますls -la。
-rwsr-xr-x 1 root root 64424 Mar 10 2017 ping
ファイルの所有者とグループがであることがわかりますroot。これは、pingコマンドがソケットを開く必要があり、Linuxカーネルrootがそのための特権を要求するためです。
しかし、特権pingがない場合、どのように使用できrootますか?ファイル許可の所有者部分の「x」の代わりに「s」の文字に
注意してください。
これは、setuidと呼ばれる特定のバイナリ実行可能ファイル(およびなど)の特別な許可ビットです。
pingsudo
ここが、EUIDそのEGID出番です。
何が起こるかというと、setuidバイナリがping実行されると、プロセスはその実効ユーザーID(EUID)をデフォルトRUIDからこの特別なバイナリ実行可能ファイルの所有者(この場合は-)に変更しrootます。
これはすべて、このファイルにsetuidビットがあるという単純な事実によって行われます。
カーネルは、プロセスのを調べることにより、このプロセスに特権があるかどうかを判断EUIDします。これでがEUIDポイントされるrootので、操作はカーネルによって拒否されません。
注意:最新のLinuxリリースでは、このsetuidアプローチではなくLinux機能アプローチpingを採用しているため、コマンドの出力は異なるように見えます。
パート4:SUIDとSGIDはどうですか?
保存されたユーザーID(SUID)は、(rootたとえば)特権プロセスが実行されており、いくつかの非特権タスクを実行する必要がある場合に使用されます。
その場合、EUID以前の有効なUID()が内部に保存SUIDされ、非特権タスクに変更されます。非特権タスクが完了するEUIDと、の値から取得され、SUID特権アカウントに戻ります。