我正在为Linux PAM编写一个模块,该模块使用setuid()将权限删除给正在进行身份验证的用户.当然,这只有在EUID是root的情况下才有效.那么,PAM堆栈是否始终以root身份运行,无论应用程序使用它?
解决方法:
并非总是如此.大多数使用pam的应用程序都标记为setuid,或者有setuid帮助程序 – 因为许多标准插件确实需要root用户 – 但如果没有调用的插件需要权限,则可以使用没有root权限的库或升级方法.
一些例子:
>使用/ etc / shadow的标准身份验证确实需要root,如果这些权限不可用,读取/ etc / shadow的PAM模块将失败,除非您的平台的用于读取/ etc / shadow的PAM模块为此捆绑了一个合适的setuid帮助程序并调用它直接来自PAM模块.
>使用LDAP进行身份验证通常不需要root,并且LDAP PAM模块可以在没有root权限的情况下使用.
完全公平 – 并且与其他模块的编写方式一致 – 如果PAM模块需要root权限并且这些权限不可用,则会失败.旨在与最广泛的PAM模块阵列兼容的软件将具有可用的权限提升路径,即使PAM库本身不提供这样的机制.
标签:c-3,setuid,linux,pam 来源: https://codeday.me/bug/20190830/1770293.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。