图说Linux进程之二
三、进程的权限
/* Objective and real subjective task credentials (COW): */
const struct cred __rcu *real_cred;
/* Effective (overridable) subjective task credentials (COW): */
const struct cred __rcu *cred;
如图的数据结构控制着Linux进程的权限。
uid是用户的id,一般是登陆或者su到的用户运行的进程的uid就是这个用户的id。
euid是effective user id,这个一般和uid是一样的,但是也有特殊情况,就是当执行文件的权限设置了set uid bit的时候。
假设一款游戏,Game,它的owner是Jerry,当Jerry玩这个游戏的时候,成功闯关,会将当前的通过的关卡写入Result文件,从而下次登录的时候,就可以接着上次的玩了。
他的朋友Tom觉得游戏不错,也想玩,于是Jerry将Game的权限扩大,不是自己group的,也可以运行r-x,于是Tom可以打开Game文件玩游戏了。
但是问题来了,当Tom成功闯过一关的时候,也需要将结果写入Result文件,可是这个文件对于Tom来说不可写,Tom发现自己白玩了。
当然一种方法是将Result文件权限放开,允许Tom写入。
还有一种方法是,对于程序Game设置set uid bit,这样Tom运行Game的时候,虽然uid还是Tom,但是euid设置成为Jerry,就可以写入Result文件了。
suid称为saved user id,当进程内部执行setuid系统调用的时候,才使用它。
fsuid保存uid或者euid,是用于真正审核访问文件的权限的。
同理group也有相应的四项。
一用户可以属于多个group,保存在group_info的结构中。
另外一个进程还会有capabilities,看过容器的同学终于见到了熟悉的东西。
可以给普通用户的进程一些权限做更高级的事情。
例如CHOWN, DAC_OVERRIDE, FSETID, FOWNER, MKNOD,NET_RAW, SETGID, SETUID, SETFCAP,SETPCAP, NET_BIND_SERVICE, SYS_CHROOT, KILL, AUDIT_WRITE
这些都定义在capability.h中。
四、资源限制
在命令行,可以通过ulimit设置,在内核里面有相应的数据结构。