Владелец файла: группа не меняется в папке / proc / <pid>/ после setuid ()?

Question

У меня было требование порождать процесс как пользователь root, а затем отбрасывать его привилегии пользователю без полномочий root, поэтому для реализации этого я использовал setbit для двоичного файла и изменил владельца на root.затем я породил процесс как пользователь без полномочий root, и первоначально он запустился как пользователь root, выполнив нужную задачу, и использовал вызов setuid (getuid ()), чтобы сбросить его привилегии пользователю без полномочий root.что происходит с этим - владелец: группа всех файлов в каталоге / proc / (pid) / остается root: root.из-за чего потоки, которые порождены моим процессом (после сброса привилегий).Есть ли доступ запрещен в / proc / (pid) / exe.Кто-нибудь, кто знает, почему setuid не устанавливает владельца: группу в расположении файлов / proc / (pid)?

Answer 1

В Linux, если процесс был задан как id-идентификатор при запуске, или если у пользователя есть разрешение на выполнение двоичного файла, но не на его чтение, а также, возможно, при некоторых других условиях, флаг "dumpable" очищается внутриядро.По соображениям безопасности этот флаг предотвращает несколько вещей: он запрещает дампы ядра (дамп ядра может привести к утечке привилегированной информации), запрещает обычным пользователям подключать отладчик и ограничивает доступ к большинству файлов в /proc/<pid> для этого процесса.

После очистки этот флаг не может быть установлен снова, даже если процесс удаляется с привилегией.

(На самом деле, существует системный вызов prctl(PR_SET_DUMPABLE), который может изменить значение флага, но я считаю,системный вызов не предназначен для общего использования.)

Что еще более важно, мне интересно, что вы делаете в своей программе, это зависит от того, * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *