查看原文
其他

图说Linux进程之二

刘超 刘超的通俗云计算 2019-03-29


图说Linux进程


三、进程的权限


/* Objective and real subjective task credentials (COW): */

const struct cred __rcu *real_cred;


/* Effective (overridable) subjective task credentials (COW): */

const struct cred __rcu *cred;



如图的数据结构控制着Linux进程的权限。


uid是用户的id,一般是登陆或者su到的用户运行的进程的uid就是这个用户的id。


euid是effective user id,这个一般和uid是一样的,但是也有特殊情况,就是当执行文件的权限设置了set uid bit的时候。


假设一款游戏,Game,它的owner是Jerry,当Jerry玩这个游戏的时候,成功闯关,会将当前的通过的关卡写入Result文件,从而下次登录的时候,就可以接着上次的玩了。


他的朋友Tom觉得游戏不错,也想玩,于是Jerry将Game的权限扩大,不是自己group的,也可以运行r-x,于是Tom可以打开Game文件玩游戏了。


但是问题来了,当Tom成功闯过一关的时候,也需要将结果写入Result文件,可是这个文件对于Tom来说不可写,Tom发现自己白玩了。


当然一种方法是将Result文件权限放开,允许Tom写入。


还有一种方法是,对于程序Game设置set uid bit,这样Tom运行Game的时候,虽然uid还是Tom,但是euid设置成为Jerry,就可以写入Result文件了。


suid称为saved user id,当进程内部执行setuid系统调用的时候,才使用它。


fsuid保存uid或者euid,是用于真正审核访问文件的权限的。


同理group也有相应的四项。


一用户可以属于多个group,保存在group_info的结构中。



另外一个进程还会有capabilities,看过容器的同学终于见到了熟悉的东西。

可以给普通用户的进程一些权限做更高级的事情。


例如CHOWN, DAC_OVERRIDE, FSETID, FOWNER, MKNOD,NET_RAW, SETGID,  SETUID, SETFCAP,SETPCAP, NET_BIND_SERVICE, SYS_CHROOT, KILL, AUDIT_WRITE


这些都定义在capability.h中。



四、资源限制


在命令行,可以通过ulimit设置,在内核里面有相应的数据结构。




    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存