UNIX-domain-sockets nicht zugänglich für Benutzer?

Bin ich mit einem client/server-Anwendung auf Red Hat Enterprise mit der ZMQ für message-passing. Das IPC-socket zum verknüpfen eines client mit dem server ist implementiert mit einem Unix-domain-socket.

Wenn Benutzer A startet den server-Prozess, wie es scheint, nur clients gestartet, indem der Benutzer Eine Verbindung herstellen können und die Kommunikation über diesen socket. Unser Projekt erfordert, dass die clients in der Lage sein, die von verschiedenen Benutzern, so ist dies ein wichtiger Knackpunkt.

Dem sockel befindet sich unter /tmp/ipc_assoc mit Standard 755 Berechtigungen. chmod 777 nicht das problem zu beheben. chown userB erlaubt user B den Zugriff auf die Steckdose, aber user A verliert dann den Zugriff. Nicht einmal root-Zugriff auf die Steckdose. Es gibt keine ACL oder SeLinux im Einsatz auf der Maschine.

Ist dies ein typisches Verhalten für die Unix-domain-sockets? Hat jemand herausgefunden, wie man es umgehen?

InformationsquelleAutor Dana Leonard | 2010-08-11
  1. 4

    chmod(en.sun_path, 0777); nach dem hören der Steckdose.

    domain = AF_UNIX;
name = servname;
port = -1;

n = MakeLocalSocket(s);
if (n == 0) {
    fatal("can't create socket");
}

unlink(s.sun_path);

if (bind(fd, & s, n) < 0) {
    fatal("can't bind socket");
}

if (listen(fd, 5) != 0) {
    fatal("can't listen to socket");
}

/* UNIX domain sockets need to be mode 777 on 4.3 */
chmod(s.sun_path, 0777);
    • warum tut 777 der Arbeit, während die 770 nicht? Ich bin verwirrt, ich habe beide Benutzer unter der gleichen Gruppe und nicht gehen...
    • Sicher nicht. Doch, laut man7.org/linux/man-pages/man7/unix.7.html "POSIX macht keine Aussage über die Wirkung der Berechtigungen auf eine socket-Datei, und auf einigen Systemen (z.B. ältere BSDs), die socket-Berechtigungen werden ignoriert. Portable Programme sollten sich nicht auf diese Funktion für die Sicherheit."
    • eigentlich habe ich das problem gelöst: der Benutzer, dass ich zu der Gruppe Hinzugefügt hatte, re-login für diese änderung wirksam wird! aber vielen Dank für dein Kommentar
    • (OffTopic NB: Liebe dein Profilbild, das ist aus meinem Lieblingsfilm 😀 )
    InformationsquelleAutor Homer6
  2. 2

    Vorübergehend ändern der umask:

    mode_t umask_ = umask(0000); /* let the socket be mode 0777 so that other users can connect */
int err = bind(fd, (struct sockaddr *)&unix_bind_addr, sizeof(unix_bind_addr));
umask(umask_); /* restore old umask (0777 is a pretty bad choice for normal stuff) */
if (err) {
  /* handle bind error here */
}

    Natürlich, das ist eine schlechte Idee, wenn Sie die Verwendung von threads.

    InformationsquelleAutor thejh
  3. 1

    Mit etwas Hilfe von der ZMQ mailing-Liste, die ich gemacht habe, eine Arbeit um. Es ist hässlich, scheint aber konsequent zu arbeiten.

    Hatte ich ein Unterverzeichnis unter /tmp und chmod 777 es. Der server erstellt nun die Buchse in diesen neuen Ordner. Es auch programmgesteuert chmod 777 den sockel. Nun, solange der server als root ausgeführt werden, kann jeder Benutzer die Ausführung einer client-und reden an den server.

    Ich weiß nicht, warum UNIX-domain-socket auf diese Weise Verhalten, aber es ist sicher nervig.

    • warum tut 777 der Arbeit, während die 770 nicht? Ich bin verwirrt, ich habe beide Benutzer unter der gleichen Gruppe und nicht gehen...
    InformationsquelleAutor Dana Leonard
  4. 0

    Haben Sie versucht, indem UserA und UserB in einem gemeinsamen user group?

    • Jeder scheint zu sein, in der gleichen Gruppe bereits.
    • Ist ein symbolischer link zu einer anderen Datei mit verschiedenen Berechtigungen?
    • Nein, wenn Sie ls -l auf den sockel, es druckt "srwxr-xr-x ... ipc_assoc"
    • Nun, dies scheint zu zeigen, dass der sockel ist nur r/w/x für die Besitzer, nicht die Gruppe. Beim erstellen der Datei in dem server-Prozess zu verwenden, wird die umask für den Prozess 755, programmgesteuert ändern Sie entweder die Maske oder den chmod der Datei auf 770.
    InformationsquelleAutor Adrian Regan
Schreibe einen Kommentar