~에서
man sudosudo가 명령을 실행할 때 보안 정책은 명령의 실행 환경을 지정합니다. 대개,실제적이고 유효한 사용자, 그룹 및 ID가 대상 사용자와 일치하도록 설정됩니다., 비밀번호 데이터베이스에 지정된 대로, 그룹 벡터는 그룹 데이터베이스에 대해 초기화됩니다(-P 옵션이 지정되지 않은 경우).
왜
sudo바꿔?둘 다유효하고 실제 사용자/그룹 ID는 대상 사용자의 ID가 아닌오직유효한 사용자/그룹 ID입니까?유효 사용자/그룹 ID는 대상 사용자에 대한 권한을 얻는 데 필요한 고유 ID가 아닌가요?
~에서https://unix.stackexchange.com/a/333245/674
프로세스의 유효 사용자 및 그룹 ID를 변경하는 것은 프로세스의 권한을 변경하는 한 가지 방법일 뿐입니다. sudo.conf에 정의된 보안 정책은 위 목록의 다른 유형의 매개변수를 사용할 수 있습니다.
권한을 변경하려면 유효 사용자/그룹 ID를 변경하는 것 외에 다른 방법이 있나요? 이것들은 무엇입니까?
감사해요.
내 질문은 다음에서 영감을 얻었습니다.`sudo`가 프로세스의 유효 사용자 및 그룹 ID를 변경할 수 있습니까?
답변1
sudo실제 유효 사용자 ID를 다음과 같이 변경하세요.한계결과 프로세스의 권한. 변경할 유효 ID는 다음과 같습니다.적절한새 프로세스에 요청된 사용자의 권한을 부여하지만 그렇게만 하면 취약점이 남습니다.setuid그런 다음 이를 사용하여 호출 사용자의 권한을 가정할 수 있습니다. 이를 방지하려면sudo실제 사용자 ID도 설정해야 합니다.가능성 목록은 다음과 같습니다.
sudo맨페이지당신이 언급 한 답변에 인용되었습니다. 이들 중 일부는 SELinux 역할 및 유형, Solaris 프로젝트 및 권한, BSD 로그인 클래스 등 하위 프로세스의 권한에 영향을 미칩니다.