linux内核里对于进程的权限管理有一个很重要的函数capable,以前看了好多遍,今天下决心搞定他,也在此立下一个碑,以后有谁想搞明白他的话,我还可以提供一些帮助。
capable函数定义在kernel/capability.c,作用是检验当前进程有没有相应的权限,定义如下
继续看__capable函数,这个函数也定义在kernel/capability.c,定义如下
我们继续看security_capable函数,定义在linux/security.h
继续看cap_capable函数,定义在security/commonncap.c
我们继续看cap_raised,这是一个宏,定义如下
#define CAP_TO_MASK(x) (1 << (x))
#define cap_raise(c, flag) (cap_t(c) |= CAP_TO_MASK(flag))
#define cap_lower(c, flag) (cap_t(c) &= ~CAP_TO_MASK(flag))
#define cap_raised(c, flag) (cap_t(c) & CAP_TO_MASK(flag))
所以可以看出cap_capable函数就是查看task_struct的cap_effective变量,然后与(1<<cap)执行按位与操作。
cap_effective变量就是进程结构体里的一个32位的int变量,每一个位代表一个权限,定义如下
capable函数定义在kernel/capability.c,作用是检验当前进程有没有相应的权限,定义如下
int capable(int cap)
{
return __capable(current, cap);
}
继续看__capable函数,这个函数也定义在kernel/capability.c,定义如下
int __capable(struct task_struct *t, int cap)
{
/*首先执行security_capable函数检查,如果成功就给进程的flags置位,标志获得超级权限,PF_SUPERPRIV定义如下
#define PF_SUPERPRIV 0x00000100 /* used super-user privileges */就是超级用户的意思
*/
if (security_capable(t, cap) == 0) {
t->flags |= PF_SUPERPRIV;
return 1;
}
return 0;
}
我们继续看security_capable函数,定义在linux/security.h
static inline int security_capable(struct task_struct *tsk, int cap)
{
return cap_capable(tsk, cap);
}
继续看cap_capable函数,定义在security/commonncap.c
int cap_capable (struct task_struct *tsk, int cap)
{
/* 权限检查的主要工作函数 */
if (cap_raised(tsk->cap_effective, cap))
return 0;
return -EPERM;
}
我们继续看cap_raised,这是一个宏,定义如下
#define CAP_TO_MASK(x) (1 << (x))
#define cap_raise(c, flag) (cap_t(c) |= CAP_TO_MASK(flag))
#define cap_lower(c, flag) (cap_t(c) &= ~CAP_TO_MASK(flag))
#define cap_raised(c, flag) (cap_t(c) & CAP_TO_MASK(flag))
所以可以看出cap_capable函数就是查看task_struct的cap_effective变量,然后与(1<<cap)执行按位与操作。
cap_effective变量就是进程结构体里的一个32位的int变量,每一个位代表一个权限,定义如下