Що трапляється, коли користувач, що не користується коренем, надсилає сигнали до процесу користувача root?

Мені цікаво про безпеку сигналів UNIX.

SIGKILLвб'є процес. Отже, що відбувається, коли некористувацький користувальницький процес надсилає сигнал користувачу root-процесу? Чи все ще процес виконує обробник сигналу?

Я дотримуюсь прийнятої відповіді (gollum's), і я набираю man capabilites, і я знаходжу багато речей про ядро ​​Linux. Від man capabilities:

NAME

   capabilities - overview of Linux capabilities
DESCRIPTION

   For the purpose of performing permission checks, traditional UNIX
   implementations distinguish two categories of processes: privileged
   processes (whose effective user ID is 0, referred to as superuser or
   root), and unprivileged processes (whose effective UID is nonzero).
   Privileged processes bypass all kernel permission checks, while
   unprivileged processes are subject to full permission checking based
   on the process's credentials (usually: effective UID, effective GID,
   and supplementary group list).

   Starting with kernel 2.2, Linux divides the privileges traditionally
   associated with superuser into distinct units, known as capabilities,
   which can be independently enabled and disabled.  Capabilities are a
   per-thread attribute.

У Linux це залежить від можливостей файлу.

Візьміть таке просте mykill.cджерело:

#include <stdio.h>
#include <sys/types.h>
#include <signal.h>
#include <stdlib.h>

void exit_usage(const char *prog) {
        printf("usage: %s -<signal> <pid>\n", prog);
        exit(1);
}

int main(int argc, char **argv) {
        pid_t pid;
        int sig;

        if (argc != 3)
                exit_usage(argv[0]);

        sig = atoi(argv[1]);
        pid = atoi(argv[2]);

        if (sig >= 0 || pid < 2)
                exit_usage(argv[0]);

        if (kill(pid, -sig) == -1) {
                perror("failed");
                return 1;
        }
        printf("successfully sent signal %d to process %d\n", -sig, pid);

        return 0;
}

побудуйте його:

gcc -Wall mykill.c -o /tmp/mykill

Тепер, як користувацький корінь запускає процес сну у фоновому режимі:

root@horny:/root# /bin/sleep 3600 &
[1] 16098

Тепер як звичайний користувач намагається його вбити:

demouser@horny:/home/demouser$ ps aux | grep sleep
root     16098  0.0  0.0  11652   696 pts/20   S    15:06   0:00 sleep 500

demouser@horny:/home/demouser$ /tmp/mykill -9 16098
failed: Operation not permitted

Тепер, як користувач root змінити /tmp/mykillлітери:

root@horny:/root# setcap cap_kill+ep /tmp/mykill

І спробуйте знову як звичайний користувач:

demouser@horny:/home/demouser$ /tmp/mykill -9 16098
successfully sent signal 9 to process 16098

Нарешті, будь ласка, видаліть /tmp/mykillіз зрозумілих причин;)

Нічого:

strace kill -HUP 1
[...]
kill(1, SIGHUP)    = -1 EPERM (Operation not permitted)
[...]

kill(2) man page пояснює:

Linux Notes

У різних версіях ядра Linux застосував різні правила щодо дозволів, необхідних для непривілейованого процесу для передачі сигналу іншому процесу. У ядрах від 1.0 до 1.2.2 сигнал може бути надісланий, якщо ефективний ідентифікатор користувача відправника відповідає ідентифікатору приймача, або реальний ідентифікатор користувача відправника збігається з таким у приймача. З ядра 1.2.3 до 1.3.77 сигнал може бути надісланий, якщо ефективний ідентифікатор користувача відправника збігається з реальним або ефективним ідентифікатором користувача одержувача. Поточні правила, які відповідають POSIX.1-2001, були прийняті в ядрі 1.3.78.

сигнал буде нести, але власник процесу належить root. тож інший користувач не має права припиняти процес, тому ви отримаєте проблему з помилкою дозволу.

припинити процес можливо лише тоді, коли ви володієте правом власності (належні права) на процес.