如何安全地设置 unix 域套接字的组所有权?
How to securely set the group ownership of a unix domain socket?
我想创建一个仅限于特定组的 Unix 域套接字。所以我最理想的做法是(忽略错误检查)像这样:
// Set the "address" (ie filesystem path)
struct sockaddr_un addr;
memset(&addr, 0, sizeof(addr));
addr.sun_family = AF_UNIX;
strcpy(addr.sun_path, "./my.sock");
int fd = socket(AF_UNIX, SOCK_DGRAM, 0); // create the socket
// Set the group owner and permissions
fchmod(fd, 0770); // This seems to succeed
fchown(fd, -1, wanted_group_id); // Silently fails
// Create the filesystem entry
bind(fd, (struct sockaddr *)&addr, sizeof(addr));
然而,fchown 在套接字 has no effect 上,因此似乎 chown 之后是设置组的唯一方法。我想避免让不应允许访问它的进程临时访问套接字。
我最好的想法是:
int fd = socket(...);
fchmod(fd, 0700); // Remove group permissions
bind(fd, ...); // Create fs entry
chown("./my.sock", -1, wanted_group_id); // set the correct group owner
fchmod(fd, 0770); // And restore group permissions
对于 Unix 套接字来说,这当然是一件很常见的事情,并且有一种规范的方法可以实现这一点,但我还没有找到任何明确的答案。
我只对 Linux 感兴趣,但是对仅依赖于 POSIX 的东西加分。
这样做的方法是将套接字放入具有正确权限的目录中。目录可以自动创建(或重命名到位),一旦目录存在,套接字本身的权限就不是很重要。这也适用于 Unixes,其中套接字本身的权限并不总是受到尊重。
我想创建一个仅限于特定组的 Unix 域套接字。所以我最理想的做法是(忽略错误检查)像这样:
// Set the "address" (ie filesystem path)
struct sockaddr_un addr;
memset(&addr, 0, sizeof(addr));
addr.sun_family = AF_UNIX;
strcpy(addr.sun_path, "./my.sock");
int fd = socket(AF_UNIX, SOCK_DGRAM, 0); // create the socket
// Set the group owner and permissions
fchmod(fd, 0770); // This seems to succeed
fchown(fd, -1, wanted_group_id); // Silently fails
// Create the filesystem entry
bind(fd, (struct sockaddr *)&addr, sizeof(addr));
然而,fchown 在套接字 has no effect 上,因此似乎 chown 之后是设置组的唯一方法。我想避免让不应允许访问它的进程临时访问套接字。
我最好的想法是:
int fd = socket(...);
fchmod(fd, 0700); // Remove group permissions
bind(fd, ...); // Create fs entry
chown("./my.sock", -1, wanted_group_id); // set the correct group owner
fchmod(fd, 0770); // And restore group permissions
对于 Unix 套接字来说,这当然是一件很常见的事情,并且有一种规范的方法可以实现这一点,但我还没有找到任何明确的答案。
我只对 Linux 感兴趣,但是对仅依赖于 POSIX 的东西加分。
这样做的方法是将套接字放入具有正确权限的目录中。目录可以自动创建(或重命名到位),一旦目录存在,套接字本身的权限就不是很重要。这也适用于 Unixes,其中套接字本身的权限并不总是受到尊重。