setuid(2) System Calls Manual setuid(2) BEZEICHNUNG setuid - Benutzeridentitat setzen BIBLIOTHEK Standard-C-Bibliothek (libc, -lc) UBERSICHT #include int setuid(uid_t uid); BESCHREIBUNG setuid() setzt die effektive Benutzer-ID des aufrufenden Prozesses. Falls der aufrufende Prozess privilegiert ist (genauer: der Prozess verfugt uber die Capability CAP_SETUID in seinem Namensraum), so wird die reale und die gespeichert set-user-ID auch gesetzt. Unter Linux ist setuid() wie die POSIX-Version mit dem Merkmal _POSIX_SAVED_IDS implementiert. Damit kann ein (von root verschiedenes) set-user-ID-Programm samtliche Privilegien abgeben, unprivilegierte Arbeiten verrichten und anschliessend auf sichere Art und Weise die ursprungliche, effektive Benutzerkennung wieder erlangen. Wenn der Benutzer root oder das Programm set-user-ID-root ist, ist besondere Sorgfalt notwendig: setuid() uberpruft die effektive Benutzerkennung (UID) des Aufrufenden; falls es der Superuser ist, werden alle diesen Prozess betreffenden Benutzerkennungen auf uid gesetzt. Danach ist es fur das Programm unmoglich, die root-Privilegien wiederzuerlangen. Somit kann ein >>set-user-ID-root<<-Programm setuid() nicht nutzen, um vorubergehend Root-Rechte abzugeben, die Identitat eines unprivilegierten Benutzers anzunehmen und dann wieder erneut Root-Privilegien zu erlangen. Sie konnen dies mit seteuid(2) bewerkstelligen. RUCKGABEWERT Bei Erfolg wird Null zuruckgegeben. Bei einem Fehler wird -1 zuruckgegeben und errno gesetzt, um den Fehler anzuzeigen. Hinweis: In manchen Fallen kann setuid() selbst dann fehlschlagen, wenn die UID des Aufrufenden 0 ist; es ist ein gravierender Sicherheitsfehler, wenn der Test auf einen Fehlschlag von setuid() nicht ausgefuhrt wird. FEHLER EAGAIN Der Aufruf wurde die reale UID des Aufrufenden andern (das heisst, sie wurde nicht mit der realen UID des Aufrufenden ubereinstimmen), aber es gab einen temporaren Fehlschlag beim Zuweisen der notigen Datenstrukturen des Kernels. EAGAIN uid entspricht nicht der realen Benutzerkennung des Aufrufenden, und dieser Aufruf wurde die Prozesse mit der realen Benutzerkennung uid die Ressourcenbegrenzung RLIMIT_NPROC des Aufrufenden ubersteigen lassen. Seit Linux 3.1 tritt dieser Fehler nicht mehr auf (aber robuste Anwendungen sollten die Moglichkeit dieses Fehlers prufen); siehe die Beschreibung von EAGAIN in execve(2). EINVAL Die in uid angegebene Benutzerkennung ist in diesem Benutzer-Namensraum unzulassig. EPERM Der Benutzer ist nicht privilegiert (Linux: verfugt nicht uber die CAP_SETUID-Capability in seinem Benutzernamensraum) und uid entspricht nicht der realen UID oder der gespeicherten set-user-ID des aufrufenden Prozesses. VERSIONEN Unterschiede C-Bibliothek/Kernel Auf der Kernelebene sind Benutzer- und Gruppenkennungen Attribute pro Thread. POSIX verlangt aber, dass sich alle Threads in einem Prozess die gleichen Berechtigungsnachweise teilen. Die NPTL-Threading-Implementierung behandelt die POSIX-Anforderungen durch Bereitstellung von Wrapper-Funktionen fur die verschiedenen Systemaufrufe, die die UIDs und GIDs der Prozesse andern. Diese Wrapper-Funktionen (darunter die fur setuid()) verwenden eine signalbasierte Technik, um sicherzustellen, dass bei der Anderung der Berechtigungsnachweise eines Threads auch alle anderen Threads des Prozesses ihre Berechtigungsnachweise andern. Fur Details siehe nptl(7). STANDARDS POSIX.1-2008. GESCHICHTE POSIX.1-2001, SVr4. Nicht wirklich zum 4.4BSD-Aufruf kompatibel, der sowohl die reale, gespeicherte als auch die effektive Benutzerkennung setzt. Der ursprungliche Linux-Systemaufruf setuid() unterstutzte nur 16-Bit-Benutzerkennungen. Danach fuhrte Linux 2.4 mit setuid32() die Unterstutzung fur 32-Bit-Kennungen hinzu. Die Glibc-Wrapperfunktion setuid() behandelt die Unterschiede zwischen den Kernel-Versionen transparent. ANMERKUNGEN Linux verfugt uber das Konzept der Dateisystem-Benutzerkennung, die normalerweise mit der effektiven Benutzerkennung identisch ist. Der Aufruf von setuid() setzt auch die Dateisystem-Benutzerkennung des aufrufenden Prozesses (siehe setfsuid(2)). Falls sich uid von der alten effektiven UID unterscheidet, wird dem Prozess verboten, Speicherauszuge (>>core dumps<<) zu erstellen. SIEHE AUCH getuid(2), seteuid(2), setfsuid(2), setreuid(2), capabilities(7), credentials(7), user_namespaces(7) UBERSETZUNG Die deutsche Ubersetzung dieser Handbuchseite wurde von Stefan Janke , Helge Kreutzmann , Martin Eberhard Schauer und Mario Blattermann erstellt. Diese Ubersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer bezuglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG ubernommen. Wenn Sie Fehler in der Ubersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Ubersetzer . Linux man-pages 6.9.1 2. Mai 2024 setuid(2)