删除进程权限

sudo tcpdump -Z使用 initgroups(3)、setgid(2) 和 setuid(2) 来删除其自身进程的 root 权限。

# code taken from: 
# http://www.opensource.apple.com/source/tcpdump/tcpdump-32/tcpdump/tcpdump.c

/* Drop root privileges and chroot if necessary */
static void
droproot(const char *username, const char *chroot_dir)
{
...
            if (initgroups(pw->pw_name, pw->pw_gid) != 0 ||
               setgid(pw->pw_gid) != 0 || setuid(pw->pw_uid) != 0) {
                    fprintf(stderr, "tcpdump: Couldn't change to '%.32s' uid=%lu gid=%lu: %s\n",
                        username, 
                        (unsigned long)pw->pw_uid,
                        (unsigned long)pw->pw_gid,
                        pcap_strerror(errno));
                    exit(1);
            }
...
}

进程本身必须调用 setuid(2)。如果还没有的话，您还应该研究在 chroot(8) 内运行它。据我所知，root无法更改另一个进程的uid。

如果您以 root 身份运行它的原因是为了绑定端口，我建议您以普通用户身份在较高端口上运行它，并在 OS X 上使用 ipfw(8) 将端口 80/443/etc 转发到较高端口：

http://support.crashplanpro.com/doku.php/recipe/forward_port_443_to_pro_server_on_mac_osx

您可以使用以下命令以其他用户身份运行命令su：

 su USERNAME -c COMMAND

COMMAND将以权限下降到 的方式运行USER。

请注意，默认情况下，su将使用目标用户的 shell 解释器来运行该命令。相比之下， 的默认行为sudo是将 视为COMMAND独立程序，即在当前环境中运行。当然，这些默认行为可以通过各种开关和环境变量来更改。

如果您正在执行不同的可执行文件，即您正在调用execve或 函数系列中的另一个，可能是通过像or 之exec类的函数间接调用，并且子进程从一开始就应该在没有特权的情况下运行，那么最简单的方法是获取shell 涉及，并调用.下面概述了 Perl 中的代码，显示了所需的引用：systempopensu

$shell_command = quotemeta($path_to_executable) . " --option";
$shell_command =~ s/'/'\\''/; # protect single quotes for the use as argument to su
$su_command = sprintf("su -c '%s' %s", $shell_command, quotemeta($user_name));
open(PIPE, "$su_command |") or die;

如果子进程需要以 root 身份启动但稍后删除权限，请参阅这个答案中的代码，它说明了如何在进程中降级权限。