linux内核capable源代码分析

最新推荐文章于 2024-05-12 12:44:20 发布
最新推荐文章于 2024-05-12 12:44:20 发布
阅读量5.6k 收藏 15
点赞数 1
分类专栏: 文件系统 文章标签: linux kernel 内核 文件系统 c linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sanwenyublog/article/details/50856849
版权
linux内核里对于进程的权限管理有一个很重要的函数capable,以前看了好多遍,今天下决心搞定他,也在此立下一个碑,以后有谁想搞明白他的话,我还可以提供一些帮助。
capable函数定义在kernel/capability.c,作用是检验当前进程有没有相应的权限,定义如下 
int capable(int cap)
{
	return __capable(current, cap);
}


继续看__capable函数,这个函数也定义在kernel/capability.c,定义如下 
int __capable(struct task_struct *t, int cap)
{
	/*首先执行security_capable函数检查,如果成功就给进程的flags置位,标志获得超级权限,PF_SUPERPRIV定义如下
	#define PF_SUPERPRIV	0x00000100	/* used super-user privileges */就是超级用户的意思
	*/
	if (security_capable(t, cap) == 0) {
		t->flags |= PF_SUPERPRIV;
		return 1;
	}
	return 0;
}


我们继续看security_capable函数,定义在linux/security.h 
static inline int security_capable(struct task_struct *tsk, int cap)
{
	return cap_capable(tsk, cap);
}


继续看cap_capable函数,定义在security/commonncap.c 
int cap_capable (struct task_struct *tsk, int cap)
{
	/* 权限检查的主要工作函数 */
	if (cap_raised(tsk->cap_effective, cap))
		return 0;
	return -EPERM;
}


我们继续看cap_raised,这是一个宏,定义如下
#define CAP_TO_MASK(x) (1 << (x))
#define cap_raise(c, flag)   (cap_t(c) |=  CAP_TO_MASK(flag))
#define cap_lower(c, flag)   (cap_t(c) &= ~CAP_TO_MASK(flag))
#define cap_raised(c, flag)  (cap_t(c) & CAP_TO_MASK(flag))
所以可以看出cap_capable函数就是查看task_struct的cap_effective变量,然后与(1<<cap)执行按位与操作。
cap_effective变量就是进程结构体里的一个32位的int变量,每一个位代表一个权限,定义如下

最低0.47元/天 解锁文章
mindlesslcc
关注
  • 1
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
深入理解linux内核(中文第三版可复制粘贴)第20章 程序的执行
04-08
深入理解linux内核,中文第三版,关键是可以随便复制粘贴。 第20章 程序的执行
Linux ns 1. User Namespace 详解
pwl999的博客
03-24 2764
文章目录1. 简介2. user namespace的创建2.1 原理介绍2.2 操作实例2.3 代码分析3. `uid/gid`隔离3.1 原理介绍3.2 操作实例3.3 代码分析3.2.1 map_write()3.2.2 getuid()3.2.3 stat64()3.2.4 acl_permission_check()4. `capability`隔离4.1 原理介绍4.2 操作实例4.3 代码分析4.3.1 ns_capable()4.3.2 cap_bprm_set_creds()参考文档: 1
LINUX中的capable
weixin_30827565的博客
01-04 384
capable()函数来对权限做出检查,检查是否有权对指定的资源进行操作,该函数返回0则代表无权操作。该函数的定义在include/linux/capability.h中,其中包含了与之相对应的权限列表。CAP_DAC_OVERRIDE这个能力来推翻在文件和目录上的存取的限制(数据存取控制,或者DAC).CAP_NET_ADMIN进行网络管理任务的能力,包括那些能够影响网络接口的.C...
最全Linux内核capabilities能力,Linux运维编程基础培训
最新发布
2401_83621499的博客
05-12 853
1>.通过ping pid查看当前进程的能力。
Linux capability详解
SHELLCODE_8BIT的博客
10-12 1515
Linux2.2前root权限简单划分为root和非root,那么root拥有全部权限,非root拥有有限的权限,如果非root用户需要安装软件,要么切换为root用户,要么使用sudo。如果我们以非root用户安装软件,会有如下提示,提示没权限。当我们使用setuid功能后,既让一个程序在运行时,能够获得root权限。如下所示非root用户成功执行apt-get安装软件。但是有没有发现,我们只需要安装功能,却在执行该进程时,拥有了root权限。可以做更多高危操作,
linux capability详解与容器中的capability
weixin_42152531的博客
09-29 3970
linux capability详解capability概述查看当前用户的权限进程的权限在进程内部进行用户切换(进程内调用setuid和setgid)测试内核代码文件权限查看某个文件的权限为某个文件赋权进程创建子进程的时候的权限 capability概述 在许多文章中都有讲到这部分,本文不做过多解释。自行百度。 capabilities(7) — Linux manual page——官方权威!!! Linux Capabilities 入门教程:概念篇——米开朗基杨 Linux Capabilities
Android Framework 包管理子系统(06)解读installd
wangdsh的博客
07-18 1031
系列文章解读&说明: Android Framework 包管理子系统(后面简称PkgMS)的分析主要分为以下部分: Android Framework 包管理子系统(01)PackageManagerService启动分析 Android Framework 包管理子系统(02)PackageManagerService关键文件解读 Android Framework 包管理子系...
Kali Linux Cookbook
11-22
When you know what hackers know, you're better able to protect your online information. With this book you'll learn just what Kali Linux is capable of and get the chance to use a host of recipes.
Linux Shell Scripting Cookbook.epub
02-21
The shell being the native interface to communicate with the operating system is capable of controlling the entire operating system. There are numerous commands on Linux shell which are documented ...
Linux Shell Scripting Cookbook.mobi
02-21
The shell being the native interface to communicate with the operating system is capable of controlling the entire operating system. There are numerous commands on Linux shell which are documented ...
osc_quota.rar_Linux/Unix编程_Unix_Linux_
08-11
标题中的"osc_quota.rar"可能是指一个关于OpenSolaris(OSC)系统的磁盘配额实现的源代码压缩包。这个压缩包包含的"osc_quota.c"很可能是一个C语言编写的源代码文件,用于处理与磁盘配额相关的功能。 在Linux和Unix...
linux文件访问权限代码,Linux内核源代码情景分析-访问权限与文件安全性
weixin_34731217的博客
05-05 294
Linux内核源代码情景分析-从路径名到目标节点,一文中path_walk代码中,err = permission(inode, MAY_EXEC)当前进程是否可以访问这个节点,代码如下:int permission(struct inode * inode,int mask){if (inode->i_op && inode->i_op->permission...
linux内核-强制性调度
guoguangwu的专栏
12-19 1175
linux内核中进程的强制性调度,也就是非自愿的、被动的、剥夺式的调度,主要是由时间引起的。前面讲过,这种调度发生在进程从系统空间返回用户空间的前夕。当然,并非每次从系统空间返回到用户空间时都会发生此类调度。从前面博客引用entry.S的代码片段ret_with_reschedule可以看出,此时是否真的调用schedule,最终还要取决于当前进程task_struct结构中的need_resched是否为1(非0)。因此,问题就归结为当前进程的need_resched是在什么情况下才置成1的。在目前版本的
Linux进程的权限检查
zhang_shuaifeng的博客
03-10 675
ns_capable_common
Linux必备知识——开发必备(实时更新)
weixin_43397580的博客
09-12 245
tail -f 文件
linux中的capabilities基础概念
好好睡觉
12-11 1743
capabilities概念
linux权限检查机制
whuzm08的专栏
11-28 2014
1.文件权限  static inline int do_inode_permission(struct vfsmount *mnt, struct inode *inode, int mask)   {       if (unlikely(!(inode-&gt;i_opflags &amp; IOP_FASTPERM))) {           if (likely(mnt &amp;...
介绍-Linux capability机制
ty的专栏
03-05 4987
Linuxcapability机制进行详细介绍,并带有例子代码,说明一个普通进程如何获取某项权限。
通过capable给字符设备添加root权限
jason的笔记
08-21 804
一般我们通过下面的code 来注册一个字符设备 /* * Register character device node */ rval = register_chrdev(0, "megaraid_sas_ioctl", &megasas_mgmt_fops); if (rval < 0) { printk(KERN_DEBUG "me
linux keras
05-17
Keras is a high-level neural networks API, written in Python and capable of running on top of TensorFlow, CNTK, or Theano. Linux is an operating system that is often used for developing and running ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值