rulinux.net - Форум - Development - сброить привелегии (impersonate) для потока http://rulinux.net/ rulinux.net - Форум - Development - сброить привелегии (impersonate) для потока http://rulinux.net/ http://rulinux.net/rss_icon.png Re: сброить привелегии (impersonate) для потока https://rulinux.net/message.php?newsid=4299&page=1#23643 https://rulinux.net/message.php?newsid=4299&page=1#23643 Wed, 09 Sep 2009 16:59:02 +0400 Хотя вру. Этож POSIX.1e! И вроде как имплементирован в FreeBSD, Solaris и Linux как минимум. Уже лучше. Заворачиваю man 7 capabilities в бумажку и затягиваюсь, спасибо :)

]]> Re: сброить привелегии (impersonate) для потока https://rulinux.net/message.php?newsid=4299&page=1#23642 https://rulinux.net/message.php?newsid=4299&page=1#23642 Wed, 09 Sep 2009 16:46:20 +0400 capabilities Linux only :( Значит придется переделывать архитектуру приложения с пула потоков на пул процессов. Правда, в винде с процессами ахтунг какой-то, fork() она не понимает. Чешу репу :(

]]> Re: сброить привелегии (impersonate) для потока https://rulinux.net/message.php?newsid=4299&page=1#23641 https://rulinux.net/message.php?newsid=4299&page=1#23641 Wed, 09 Sep 2009 13:09:31 +0400 Хм.. Ну Х/З.. Посмотри может __clone позволяет из порождённого процесса setuid делать при сохранении общего адресного пространства. А может для конкретной задачи тебе достаточно man pthreads в сочетании с man 7 capabilities.

\me ощутил знакомый запах свежих, не бывших в употреблении ещё граблей..

]]> Re: сброить привелегии (impersonate) для потока https://rulinux.net/message.php?newsid=4299&page=1#23640 https://rulinux.net/message.php?newsid=4299&page=1#23640 Wed, 09 Sep 2009 11:39:54 +0400 Microsoft под словом Process видимо понимает несколько иное :)

В MSDN ниже читаем что:

"The ImpersonateSelf function is used for tasks such as enabling a privilege ***for a single thread rather than for the entire process*** or for changing the default discretionary access control list (DACL) for a single thread."

Так что? Есть ли альтернатива форку?

]]> Re: сброить привелегии (impersonate) для потока https://rulinux.net/message.php?newsid=4299&page=1#23639 https://rulinux.net/message.php?newsid=4299&page=1#23639 Wed, 09 Sep 2009 11:21:04 +0400 > В винде вроде как можно (ImpersonateSelf)

"The ImpersonateSelf function obtains an access token that impersonates the security context of the calling process." (c) http://msdn.microsoft.com/en-us/library/aa378729%28VS.85%29.aspx

Обрати внимание на "of the calling process".

Я бы очень удивился, если бы узнал, что где-то существует возможность задавать отдельных юзеров потокам.

]]> Re: сброить привелегии (impersonate) для потока https://rulinux.net/message.php?newsid=4299&page=1#23638 https://rulinux.net/message.php?newsid=4299&page=1#23638 Wed, 09 Sep 2009 10:05:38 +0400 Честно скажу что бессилен в этом вопросе. Спроси лучше на vingrad.ru или crossplatform.ru

]]> сброить привелегии (impersonate) для потока https://rulinux.net/message.php?newsid=4299&page=1#23637 https://rulinux.net/message.php?newsid=4299&page=1#23637 Wed, 09 Sep 2009 07:58:00 +0400 Привет!

Пишется кроссплатформенный сервер, в котором должна производиться работа от имени залогиненного на сервер пользователя. Пока архитектура сервера многопоточная. Возможно ли сбросить текущие привелегии и назначить другие привелегии (setuid/setgid или т.п.) в контексте каждого отдельного потока? В винде вроде как можно (ImpersonateSelf). Или только fork()? А винде нету fork() :-E

Или присоветуйте с архитектурой такого приложения.

]]>