setfsuid -
ファイルシステムのチェックに用いられるユーザ
ID を設定する
#include <sys/fsuid.h>
int setfsuid(uid_t fsuid);
setfsuid() は、
呼び出し元のファイルシステムユーザー
ID —
ファイルシステムへの全てのアクセスのチェックにおいて
Linux
カーネルが使用するユーザ
ID —
の値を変更する。通常はファイルシステムユーザー
ID の値は実効 (effective)
ユーザID
と同じになる。実際、
実効ユーザID
が変更される度にファイルシステムユーザー
ID
もまた新しい実効ユーザ
ID の値に変更される。
通常、
setfsuid() や
setfsgid()
を明示的に呼び出すのは、Linux
NFS サーバー のように、
ファイルアクセスに用いるユーザID
/ グループID
を変更しなければならないが、
対応する実(real)/実効(effective)
ユーザID / グループID
は変更したくないような
プログラムに限られる。
NFS
サーバーのようなプログラムで、通常のユーザID
を変更すると、
プロセスを望まないシグナルにさらす可能性があり、
セキュリティホールになる。(下記参照)
setfsuid()
は、スーパーユーザによって呼び出された場合か、
fsuid
が呼び出し元の実ユーザID、実効ユーザID、
保存セットユーザID (saved
set-user-ID)、現在のファイルシステムグループ
ID
の値のいずれかに一致する場合にのみ成功する。
返り値¶
成功時も失敗時も、
この呼び出しは直前の呼び出し元のファイルシステムユーザー
ID の値を返す。
バージョン¶
このシステムコールはバージョン
1.2 以降の Linux
に存在する。
setfsuid() は Linux
特有であり、移植を想定したプログラムで使用してはいけない。
glibc が引き数がユーザID
として不正だと判断した場合は、
システムコールを行わず
errno に
EINVAL を設定して
-1 が返される。
このシステムコールが導入された当時、
あるプロセスは同じ実効ユーザー
ID
を持つ別のプロセスにシグナルを送信できた。
これは、
特権プロセスがファイルのアクセス許可をチェックするために自身の実効ユーザー
ID を変更すると、
同じユーザー ID
を持つ別の (非特権)
プロセスが送信したシグナルを受け取るようになってしまうことを意味する。そのため、
プロセスが、
受け取りたくないシグナルを受信する状態にならずに、
ファイルのアクセス許可をチェックするために自身のユーザー
ID
を変更できるように、
ファイルシステムユーザー
ID 属性が追加された。
Linux 2.0 以降では、
シグナルの送信許可の扱いは異なり
(
kill(2) 参照)、
プロセスは、
望まないプロセスからシグナルを受信してしまう状態にならずに、
自身の実効ユーザー ID
を変更することができる。
したがって、
setfsuid()
は今日では不要であり、
新規のアプリケーションでは使用すべきではない
(
setfsgid(2) も同様)。
元々の Linux の
setfsuid()
システムコールは 16
ビットのグループ ID
だけに対応していた。
その後、Linux 2.4 で、32
ビットの ID に対応した
setfsuid32() が追加された。
glibc の
setfsuid()
のラッパー関数は
カーネルバージョンによるこの違いを吸収している。
いかなる種類のエラーメッセージも返さず、
成功した場合も失敗した場合も呼び出しは同じ値を返すため、
呼び出しが成功したか失敗したかを直接判定することはできない。
その代わり、 直前の
setfsuid()
の呼び出しがファイルシステムグループ
ID
を変更したかどうかを判定するために、
呼び出し元はこの後に
setfsuid(-1)
などを呼び出して返り値を見なければならない
(
setfsuid(-1)
は常に失敗する)。
最低でも、失敗した場合は
EPERM
くらいは返すべきである
(呼び出し元には
CAP_SETUID
ケーパビリティがなかったのだから)。
関連項目¶
kill(2),
setfsgid(2),
capabilities(7),
credentials(7)
この文書について¶
この man ページは Linux
man-pages
プロジェクトのリリース
3.65 の一部
である。プロジェクトの説明とバグ報告に関する情報は
http://www.kernel.org/doc/man-pages/
に書かれている。