Scroll to navigation

SETRESUID(2) Podręcznik programisty Linuksa SETRESUID(2)

NAZWA

setresuid, setresgid - ustawienie rzeczywistego, efektywnego i zachowanego ID użytkownika lub grupy

SKŁADNIA

#define _GNU_SOURCE /* Patrz feature_test_macros(7) */
#include <unistd.h>

int setresuid(uid_t ruid, uid_t euid, uid_t suid);
int setresgid(gid_t rgid, gid_t egid, gid_t sgid);

OPIS

setresuid() ustawia dla bieżącego procesu rzeczywisty i efektywny identyfikator użytkownika (UID) oraz wartość zachowanego set-user-ID.

Proces nieuprzywilejowany może zmienić rzeczywisty UID, efektywny UID i zachowany set-user-ID na jeden z: bieżący rzeczywisty UID, bieżący efektywny UID lub bieżący zachowany set-user-ID.

Proces uprzywilejowany (pod Linuksem - mający atrybut CAP_SETUID) może ustawić rzeczywisty UID, efektywny UID i zachowany set-user-ID na dowolne wartości.

Jeżeli którykolwiek z parametrów jest równy -1, to odpowiadająca mu wartość nie jest zmieniana.

Niezależnie od zmian rzeczywistego UID, efektywnego UID i zachowanego set-user-ID, filesystem-UID jest zawsze ustawiany na taką samą wartość, jaką ma (być może nowy) efektywny UID.

Analogicznie, setresgid() ustawia rzeczywisty identyfikator grupy (GID), efektywny GID i zachowany set-group-ID bieżącego procesu (i zawsze ustawia filesystem-GID na wartość efektywnego GID), z takimi samymi ograniczeniami dla procesów nieuprzywilejowanych.

WARTOŚĆ ZWRACANA

Po pomyślnym zakończeniu zwracane jest zero. Po błędzie zwracane jest -1 i odpowiednio ustawiane errno.

Uwaga: są przypadki, gdy setresuid() może zawieść nawet wówczas, gdy wywołujący ma UID 0. Pominięcie sprawdzenia zwrotu niepowodzenia z setresuid() jest poważnym zagrożeniem bezpieczeństwa.

BŁĘDY

EAGAIN
Wywołanie mogłoby zmienić rzeczywisty UID wywołującego (tzn. ruid nie pasowałby do rzeczywistego UID wywołującego), lecz wystąpiło tu tymczasowe niepowodzenie w przydzieleniu niezbędnych struktur danych jądra.
EAGAIN
ruid nie pasuje do rzeczywistego UID wywołującego, a to wywołanie spowodowałoby przekroczenie limitu zasobów RLIMIT_NPROC wywołującego przez liczbę procesów należących do rzeczywistego ID użytkownika ruid. Od Linuksa 3.1 błąd ten już się nie pojawia (lecz solidne aplikacje powinny dokonywać jego sprawdzenia); zob. opis EAGAIN w execve(2).
EINVAL
Jeden lub więcej docelowych identyfikatorów użytkownika lub grupy jest nieprawidłowych w tej przestrzeni użytkownika.
EPERM
Proces wywołujący nie jest procesem uprzywilejowanym (nie ma atrybutu CAP_SETUID) i próbował ustawić niedozwoloną wartość któregoś z identyfikatorów.

WERSJE

Opisywane wywołania systemowe są dostępne w Linuksie od wersji 2.1.44.

ZGODNE Z

Opisywane wywołania systemowe są niestandardowe; występują również na HP-UX i niektórych systemach BSD.

UWAGI

Na HP-UX i FreeBSD prototyp funkcji można znaleźć w <unistd.h>. Pod Linuksem prototyp jest dostarczany przez glibc od wersji 2.3.2.

Oryginalne, linuksowe wywołania setresuid() i setresgid() obsługiwały tylko 16-bitowe identyfikatory użytkownika i grupy. Następnie w Linuksie 2.4 dodano setresuid32() i setresgid32(), obsługujące 32-bitowe identyfikatory. Funkcje opakowujące setresuid() i setresgid() biblioteki glibc obsługują te warianty wywołań w różnych wersjach jądra w sposób przezroczysty dla użytkownika.

Różnice biblioteki C/jądra

Na poziomie jądra, identyfikatory użytkownika i grupy są atrybutami przynależnymi wątkowi. Jednak POSIX wymaga, aby wszystkie wątki procesu dzieliły te same poświadczenia. Implementacja wątkowania NPTL obsługuje wymagania POSIX za pomocą funkcji opakowujących dla różnych wywołań systemowych zmieniających UID-y i GID-y procesów. Te funkcje opakowujące (w tym te dla setresuid() i setresgid()) wykorzystują technikę opartą na sygnałach aby zapewnić, że gdy jeden wątek zmieni swe poświadczenia, wszystkie inne wątki procesu również to uczynią. Więcej szczegółów w podręczniku nptl(7).

ZOBACZ TAKŻE

getresuid(2), getuid(2), setfsgid(2), setfsuid(2), setreuid(2), setuid(2), capabilities(7), credentials(7), user_namespaces(7)

O STRONIE

Angielska wersja tej strony pochodzi z wydania 4.07 projektu Linux man-pages. Opis projektu, informacje dotyczące zgłaszania błędów, oraz najnowszą wersję oryginału można znaleźć pod adresem https://www.kernel.org/doc/man-pages/.

TŁUMACZENIE

Autorami polskiego tłumaczenia niniejszej strony podręcznika man są: Robert Luberda <robert@debian.org> i Michał Kułach <michal.kulach@gmail.com>.

Polskie tłumaczenie jest częścią projektu manpages-pl; uwagi, pomoc, zgłaszanie błędów na stronie http://sourceforge.net/projects/manpages-pl/. Jest zgodne z wersją 4.07 oryginału.

2015-07-23 Linux