叁叁肆

这个世界会好吗

453篇博客

图说Linux进程之二

叁叁肆2018-11-06 13:20

此文已由作者刘超授权网易云社区发布。

欢迎访问网易云社区,了解更多网易技术产品运营经验。


三、进程的权限

/* Objective and real subjective task credentials (COW): */
const struct cred __rcu *real_cred;

/* Effective (overridable) subjective task credentials (COW): */
const struct cred __rcu *cred;


如图的数据结构控制着Linux进程的权限。


uid是用户的id,一般是登陆或者su到的用户运行的进程的uid就是这个用户的id。


euid是effective user id,这个一般和uid是一样的,但是也有特殊情况,就是当执行文件的权限设置了set uid bit的时候。


假设一款游戏,Game,它的owner是Jerry,当Jerry玩这个游戏的时候,成功闯关,会将当前的通过的关卡写入Result文件,从而下次登录的时候,就可以接着上次的玩了。


他的朋友Tom觉得游戏不错,也想玩,于是Jerry将Game的权限扩大,不是自己group的,也可以运行r-x,于是Tom可以打开Game文件玩游戏了。


但是问题来了,当Tom成功闯过一关的时候,也需要将结果写入Result文件,可是这个文件对于Tom来说不可写,Tom发现自己白玩了。


当然一种方法是将Result文件权限放开,允许Tom写入。


还有一种方法是,对于程序Game设置set uid bit,这样Tom运行Game的时候,虽然uid还是Tom,但是euid设置成为Jerry,就可以写入Result文件了。


suid称为saved user id,当进程内部执行setuid系统调用的时候,才使用它。


fsuid保存uid或者euid,是用于真正审核访问文件的权限的。


同理group也有相应的四项。


一用户可以属于多个group,保存在group_info的结构中。



另外一个进程还会有capabilities,看过容器的同学终于见到了熟悉的东西。

可以给普通用户的进程一些权限做更高级的事情。


例如CHOWN, DAC_OVERRIDE, FSETID, FOWNER, MKNOD,NET_RAW, SETGID,  SETUID, SETFCAP,SETPCAP, NET_BIND_SERVICE, SYS_CHROOT, KILL, AUDIT_WRITE


这些都定义在capability.h中。



四、资源限制


在命令行,可以通过ulimit设置,在内核里面有相应的数据结构。


相关阅读:图说Linux进程

图说Linux进程之二

图解Linux文件系统

Linux的虚拟文件系统VFS

图解Linux的Socket


免费体验云安全(易盾)内容安全、验证码等服务

更多网易技术、产品、运营经验分享请点击