Как открыть/создать файл из под другого пользователя?

Question

[I_dont_known]

Озадачился переносом своей библиотечки под линукс, но опыта не имею. Затык получился с правами доступа - нужно создать или открыть файл из под другого пользователя (креды известны). Под виндой делал LogonUser + ImpersonateLoggedOnUser + CreateFile. Как это правильно сделать под линукс? Буду признателен, если подкинете ссылки на статейки или литературу.

Comments

[Lynn «Кофеман»]

Но зачем? Из-под какого пользователя запускается программа?

[I_dont_known]

Алексей Тен: Из под обычного пользователя, не root. В основном нужен доступ к файлам root пользователя, к остальным менее важно.

[Lynn «Кофеман»]

Это как бы противоречит вообще всей идеологии разделения прав.

[Андрей Мывреник]

I_dont_known: Я бы не позволил каким-то библиотекам получать root права по своему желанию.

[Lynn «Кофеман»]

Может вы лучше опишите что делает ваша библиотека и зачем ей доступ к чужим файлам?

Меня вообще смущает концепция, что библиотеке нужен какое-то изменение привилегий пользователя. Это всё-таки скорее прерогатива конкретной программы, а дело библиотеки просто ругнуться и упасть если ей недостаточно прав для каких-то действий.

[I_dont_known]

Алексей Тен: В начале разработки для упрощения последующего портирования я сделал библиотеку реализующую разные платформозависимые вещи (типа примитовов синхронизации, абстракция файловой системы и т. д.). Могу привести пример - есть конфиг, на чтение можно открыть, но запись из под root. Хочется уменьшить количство действий (зайти от root, запустить прграмму и ...) - просто показать пользователю диалог авторизации и получить права на работу с этим конфигом без остановки основной программы. Как только закончим работу с конфигом, вернуть привилегии к исходному состоянию. В общем как я и написал нужен аналог LogonUser + ImersonateLoggedOnUser если таковой имеется.

[Lynn «Кофеман»]

I_dont_known: Не нужен. Если в конфиг должен кто-то писать он не должен принадлежать руту.
Стандартно конфиги делятся на системные и пользовательские. Посмотрите на тот же bash или git

Answer 1

[CityCat4]

Никак. Это противоречит идеологии линуха. Конфиги системы принадлежат руту. Точка. Никто кроме рута не должен их править. Точка. Если у программы могут быть пользовательские настройки, она должна создать свой локальный пользовательский конфиг, который будет читаться после системного. Никакая библиотека, запускаемая из-под пользователя не должнаписать в рутовое пространство - пользователь пишет только в домашку и /tmp. И уже тем более не должна делать это втихушку.
Все проблемы винды оттого, что однажды в угоду удобству сделали возможным писать кому угодно куда угодно. В линухе это не так. Это надо принять как данность, а не лепить костыли. Если это библиотечка для индивидуального личного пользования - тут конечно можете воротить все что угодно. Но если рассчитываете, что ею будет пользоваться кто-то еще - лучше следовать Linux-way

Answer 2

[Saboteur]

Создавать и открывать файлы из-под другого пользователя - некорректно.

Почему бы не добавить всех нужных пользователей в группу, и пользоваться групповыми правами?

Второй вариант - дать пользователю право на sudo, тогда он может от имени рута выполнять su (чтобы выполнить комнаду от другого пользователя), либо от имени рута выполнить команду chown (сменить владельца)

Третий вариант - настроить ssh ключи на локальной машине для пользователя, чтобы он мог выполнять команды через remsh
remsh user2@localhost

Answer 3

[Данил Бирюков-Романов]

Для временного поднятия прав есть sudo, но нужно понимать, что предполагаемое решение идет полностью в разрез с политикой доступа в Linux

Answer 4

[Павел Селиванов]

Проще создать файл и дать нужному пользователю права на него. Если нужно вот прям именно создать из-под другого пользователя - man7.org/linux/man-pages/man2/setuid.2.html man7.org/linux/man-pages/man2/seteuid.2.html

Answer 5

[Дмитрий]

sudo -i -u