Linux Process Credentials

最新推荐文章于 2022-12-04 11:39:12 发布
最新推荐文章于 2022-12-04 11:39:12 发布
阅读量342 收藏
点赞数

Process Credentials包含一系列的ID:

  • real user ID     & real group ID

  • effective     user ID & effective group ID

  • saved     set-user-ID & saved set-group-ID

  • file-system     user ID & file-system group ID

  • supplementary     group IDs


real user ID & real group ID

real user ID和real gourp ID确定了进程所属的用户与组。在登陆过程中(只讨论终端登陆情况),init进程调用getty完成用户名与密码的输入后,login进程会从/etc/passwd文件中读取相应用户密码记录的第三字段(UID)和第四字段(GID),并调用setuid()设定登陆成功后对应Shell进程的real user ID与real group ID。即real user ID(real group ID)用于标识当前用户(组)是谁。
可使用logname命令获取real user ID:

640?wx_fmt=png


effective user ID & effective group ID

一般而言,effective user ID(effective group ID)是与real user ID(real group ID)相同的,但当我们的程序需要额外的权限去访问他们没有权限访问的资源时,他们就需要将自己的user ID或group ID改为一个具有适当权限的ID(effective user/group ID)。这可以通过调用setuid(),setgid()来实现。
effective user ID 可以通过whoami命令来查看:

640?wx_fmt=png

可以看到,在切换成root用户后,可以看到当前Shell的real user ID仍为shang, effctive user ID变成了root


saved set-user-ID & saved set-group-ID

在设计程序时,应当遵守最小权限准则,以减少恶意用户试图欺骗我们的程序以非预期的方式使用其特权而损害安全性的可能性。saved set-user-ID(saved set-group-ID)是与set-user-ID(set-group-ID)程序结合使用的。

此名称中的saved保存的实际是effective user ID(effective group ID)。

·        若可执行文件的setuid/gid权限位开启(eg. chmod u+s a.out),则将进程的effective user/group ID置为可执行文件的属主。否则,进程的effectiveuser/group ID将保持不变。

·        无论可执行文件的set/uid/gid权限位是否开启,saved set-user-ID(saved set-group-ID)对effective user/group ID值的复制都会进行。

比如我们有一个程序,其作用是打印real user ID,effective user ID以及saved set-user-ID:

640?wx_fmt=png

其权限为:

640?wx_fmt=png

编译运行:

在未开启set uid/gid权限位时,以普通用户运行:

640?wx_fmt=png


root用户:

640?wx_fmt=png


开启set uid/gid权限位后(chmod u+s test),普通用户:

640?wx_fmt=png


root用户:

640?wx_fmt=png

file-system user ID & file-system group ID.

file-system user/group ID始见于Linux1.2版本,当时如果某进程甲的effective user ID等同于某进程乙的real user ID或effective user ID,那么甲就可以向乙发送信号。file-system user/group ID就是为了防范这一风险而生的。不过从Linux2.0版本起,Linux开始在信号发送权限方面遵循SUSv3所强制规定的规则,且这些规则不再涉及目标进程的effective user ID。这样看来,file-system user/group ID在今天已经可以废除了。但为了保持软件的兼容性,还是将其保留了下来。


supplementary group IDs

supplementary group IDs用于标识进程所属的若干附加的组。supplementary group IDs会配合file-system ID和effective ID来进行进程是否有访问某些资源权限的判定。

640?wx_fmt=jpeg


Linux知识积累
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
The Linux Programming Interface
04-14
Chapter 9: Process Credentials Chapter 10: Time Chapter 11: System Limits and Options Chapter 12: System and Process Information Chapter 13: File I/O Buffering Chapter 14: File Systems Chapter 15: ...
关于Linux上SAMBA服务的权限问题(多用户挂载)
热门推荐
KangVcar
07-25 1万+
简介:本文探讨关于Samba服务在客户端进行多用户挂载的问题,以及对cifscreds命令的使用效果. 安装配置: (服务器配置要求如下,配置过程在本博客中,本文省略配置过程) 在客户端desktop0配置进行多用户挂载: 1.安装cifs-utils软件包以支持samba的挂载(否则即使挂载没有报错也无法正常使用) [root@desktop0 ~]# yu
Linux系统工程师3--5.网络文件系统
yjy11223的博客
08-12 162
1.samba服务简介 作用: smb = Server Message Block Sum cifs = Common Internet File System Miscrosoft windows系统共享文件时用到的协议smb smb是由Sum+Miscrosoft Linux cifs 2.samba服务的基本信息 服务启动脚本: smb.service 主配置目录: /etc/samba 主配置文件: /etc/smb.conf 安全上...
linux cred管理
永无止境
06-13 7492
I.credential管理 linux系统中,一个对象操作另一个对象时通常要做安全性检查。如一个进程操作一个文件,要检查进程是否有权限操作该文件。 linux内核中,credential机制的引入,正是对象间访问所需权限的抽象;主体提供自己权限的证书,客体提供访问自己所需权限的证书,根据主客体提供的证书及操作做安全性检查。 证书管理术语: 客体:指用户空间程序直接可以操作的系统对象,如进
linux登录认证源码,图解如何在Linux上配置git自动登录验证
weixin_30788095的博客
05-13 301
记录一下配置git操作远程仓库时的自动验证,效果如下图:本文介绍的是Linux下的配置。Windows上默认已经启用凭证存储和自动验证(依靠wincred实现,以后会使用GCM-Core)。准备工作首先需要Linux系统上安装了dbus或者是gnome-keyring(依赖于dbus),如果可能的话需要安装libsecret,这是一个更现代的用于凭证管理的库。因为我们需要借助dbus的servic...
process credentials(一)
weixin_34233679的博客
02-13 211
一、介绍 当linux系统中的一个进程运行起来的时候,总是要访问系统的资源,访问文件或者向其他的进程发送信号。系统是否允许其进行这些操作?系统是根据什么来判断该进程的权限?这些问题是和进程信任状(process credentials)相关。 process credentials包括一系列的ID,如下: 1、real user ID 和 real group ID 2、effective use...
credentials-java-0.2.4.jar
10-09
credentials-java-0.2.4.jar
powershell_credentials
06-24
powershell_credentials 回购博客脚本。
client_credentials
05-18
使用以下命令在linux上安装Java: sudo apt-get install openjdk-8-jdk 安装Maven sudo apt-get install maven ##获取源代码 从Unix终端: git clone ...
grpc-credentials
05-11
一个简单的库,用于将OIDC JWT添加到gRPC请求。
Linux kernel】process credentials
weixin_41028159的博客
12-02 89
real user ID 和 real group ID标识了该进程属于哪一个用户(哪一个组)。Swapper和init进程的real user ID 和 real group ID都被设定为root(ID=0),用户登陆后,其对应的shell进程的real user ID 和 real group ID会被设定为登录用户。这是login进程调用setuid函数设定的。在fork进程的时候,子进程的credentials是继承自其父进程。
Linux权限引发的"血案"
GetnextWindow的专栏
08-22 1226
前言使用Linux的时候是否有过权限不足的烦恼?rwx对于文件和目录到底有什么作用?Linux又是如何确定进程是对于文件的访问权限的?本文将解决上面的疑问,有了上述基础,再介绍Linux的重要API–exec权限对于linux的重要性 解读rwx 文件: r(read):可以读取文件的内容 w(write):可以编辑/修改文件内容(不包含删除) x(execute):可执行权限 目录: r
Linux开发者的CI/CD(4)配置jenkins凭据从github拉取代码
二进制君
06-26 1152
本文旨在指导如何配置凭据从git服务器拉取代码。凭据(credentials)是访问其他系统的认证信息,可以是账号/密码、SSH密钥、加密文件等,Jenkins可以通过设置的凭据与其它第三方应用进行认证,在可信与可控的范围内,完成第三方交互。Jenkins可以存储以下类型的credentials:为了最大限度地提高安全性,在Jenins中配置的 credentials 以加密形式存储在Jenkins 主节点上(用Jenkins ID加密),并且只能通过 credentials ID在Pipeline项目中获
Linux kernel】process credentials相关的用户空间文件
weixin_41028159的博客
12-04 77
作为对linux_fans提出建议的回应,本文主要描述在用户空间,和process credentials相关的内容,具体包括:系统中的每一个用户都会有一个登录帐号,在系统登录的时候,用户要输入登录帐号和密码,通过系统认证之后,该用户就可以使用该计算机相关资源了。对应每一个帐号,/etc/passwd文件中都有一行来对应,一个简单的例子如下: 每一行有7个域组成,“:”是分隔符,如下:对于一个系统用户而言,登录帐号(login name或者说是user name)是标识自己的一个字符串,在系统中是唯一的。n
process credentials(三)
weixin_33872566的博客
02-13 169
主要内容包括: 1、进程描述符中Realtime Mutex相关数据结构的初始化 2、子进程如何复制父进程的credentials 3、per-task delay accounting的处理 4、子进程如何复制父进程的flag   七、初始化Realtime Mutex相关的成员 static void rt_mutex_init_task(struct task_struct *p) { ...
process credentials
weixin_30530939的博客
12-10 118
转载于: http://www.wowotech.net/process_management/19.html 一、介绍 当linux系统中的一个进程运行起来的时候,总是要访问系统的资源,访问文件或者向其他的进程发送信号。系统是否允许其进行这些操作?系统是根据什么来判断该进程的权限?这些问题是和进程信任状(process credentials)相关。 process credential...
Linux中fstab文件的配置和理解
weixin_33861800的博客
06-23 162
Linux中fstab文件的配置和理解 ...
process credentials(二)
weixin_33924770的博客
02-13 73
一、前言 为什么要写一个关于进程如何创建的文档?其实用do_fork作为关键字进行索引,你会发现网上的相关文档数以万计。作为一个内核工程师,对进程以及进程相关的内容当然是非常感兴趣,但是网上的资料并不能令我非常满意(也许是我没有检索到好的文章),一个简单的例子如下: static void copy_flags(unsigned long clone_flags, struct task_st...
# simulate login process with valid credentials
最新发布
06-08
在上面的测试案例中,我们使用了 `simulate login process with valid credentials` 这行注释。这个注释的作用是告诉读者,在这个测试用例中,我们正在模拟一个使用有效的用户名和密码进行登录的过程。具体来说,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值