実行中のユーザより実行可能なパーミッションを与える

Question

Debian 9.2で動作するBeagleBone Blackボードのライトをオン/オフする小さなC++アプリがあります。

これは、テキストファイルを更新することで行います。

// Turn light on 
fs.open("/sys/class/leds/beaglebone:green:usr0", std::fstream::out); 
fs << "1"; 
fs.close(); 

標準ユーザーとしてプログラムを実行すると、エラーなしで実行されますが、ライトは変化しません。

sudoでプログラムを実行すると、すべて正常に動作し、ライトが機能します。 私は、これらのファイルにはより高いアクセスが必要だと思います。

私はLinuxの権限に精通していませんが、ユーザーができなかったファイルにプログラムからアクセスできるようにする方法はありますか？

Answer 1

読む慎重についてsetuid約credentials(7)（とプログラムが開始されている方法ですexecve(2)）。しかし、vulnerabilitiesには注意してください。

Advanced Linux Programming（自由にダウンロードできますが、少し古い）またはLinuxプログラミングに関する新しい本をお読みください。 intro(2)とsyscalls(2)を読んでください。

また、一般的なOSの詳細については、Operating Systems: Three Easy Pieces（無料でダウンロード可能）を読むこともできます。

あなたは（適切なchown後chmod u+sで）実行可能ファイルのsetuidを行い、適切な場所でのケアsetreuid(2)でを呼び出すことができます。つまり、sudoやsuのようなプログラムが動作します（すべてがsetuidです）。場合によっては、グループ権限のみを使用できます（setgidのみ）。

しかし、このようなプログラムのバグは、巨大なセキュリティホールを開く可能性があるので注意してください。したがって、setuidプログラムを非常に小さく保ち、他の人がコードを見直すことが賢明です。可能なアプローチは、あなたの奇妙なことを実行する非常に小さなsetuid実行可能ファイルをコード化することです（例えば、ledを点滅させるだけです）。そして、より大規模で普通のプログラム（GUIの提供など）で（例えばpipe(7) -sまたは他の形式のinter-process communication）

おそらく、グループledを作成し、グループ書き込み許可を/sys/class/leds/beaglebone:green:usr0に与え、setgid手法のみを使用してシステムを構成することができます。

Answer 2

これには多くの方法があり、より適切なものは大きな設定に大きく依存します。 1つの方法は、特定のファイルのアクセス許可を変更することです（sysfsが許可しているかどうかはわかりません）。

もう1つは、これを実行するユーザーをファイルへの書き込みアクセス権を持つグループに追加することです。

もう1つは、すでに述べたsetuidビットの設定と、実行可能ファイルの所有権をrootまたはそのファイルへの書き込みアクセス権を持つユーザーに変更することです。これは、通常、より深刻なセキュリティの影響をもたらします。

また、sudoまたはsuを使用してファイルを実行する方法も有効です。セキュリティの露出を制限するために、sudoersでこの特定のコマンドを許可することができます。

上記のいずれかのバリエーションは、より低特権のプロセスからのコマンドをリスニングする永続プロセスを実行することです。

このように、これは大きな設定にどのように適合するかによって異なります。また、セキュリティホールを開くことを避けるためには、その意味を考慮する必要があります。