基于PAM的用户权能分配

最新推荐文章于 2025-04-19 16:46:13 发布
最新推荐文章于 2025-04-19 16:46:13 发布
阅读量1.4k 收藏 4
点赞数 2
文章标签: linux os
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013648063/article/details/106944141
版权

这篇报告实际上是OS安全的一个小作业,放上来感觉可能会对未来的学弟学妹有所帮助。

文章目录

基于PAM用户权限设置系统

PAM简要介绍

PAM,全称Pluggable Authentication Modules for Linux,即Linux下的可拔插验证模块,可以允许系统管理员选择应用验证用户的方式。

早期,如果一个应用需要验证一个用户,需要在编译层面上加入特殊的验证机制。而传统的UNIX系统验证用户身份的方式是让用户输入一个正确的密码。这个密码,在经过加盐处理后,进行加密。然后如果这个加密的密码与系统密码数据库相同,用户就通过认证了。在这样的系统中,不是所有的权限都是按这种单一的验证机制来授予,大部分是通过组机制来授予的。

Linux-PAM的目的是将权限授予软件的开发与合适验证方案的开发分开来。应用通过使用PAM的库函数来实现用户认证机制。PAM的设置通常在/etc/pam.d/路径下,原理图如下。

  +----------------+
  | application: X |
  +----------------+       /  +----------+     +================+
  | authentication-[---->--\--] Linux-   |--<--| PAM config file|
  |       +        [----<--/--]   PAM    |     |================|
  |[conversation()][--+    \  |          |     | X auth .. a.so |
  +----------------+  |    /  +-n--n-----+     | X auth .. b.so |
  |                |  |       __|  |           |           _____/
  |  service user  |  A      |     |           |____,-----'
  |                |  |      V     A
  +----------------+  +------|-----|---------+ -----+------+
                         +---u-----u----+    |      |      |
                         |   auth....   |--[ a ]--[ b ]--[ c ]
                         +--------------+
                         |   acct....   |--[ b ]--[ d ]
                         +--------------+
                         |   password   |--[ b ]--[ c ]
                         +--------------+
                         |   session    |--[ e ]--[ c ]
                         +--------------+

使用PAM的方式就是在设置下添加相应的规则。PAM设置语法如下:

service type control module-path module-arguments
  • service:表示服务的名字,比如telnet,login,ftp等。
  • type:表示四种模块类型,有auth、account、open_session、close_session、password。
  • control:用来告诉PAM库该如何处理与该服务相关的PAM模块的成功或失败的情况,有四个可能的值:required、requisite、sufficient、optional。
  • module-path:表示用来指明本模块对应的程序文件的路径名,一般采用绝对路径。
  • module-arguments:传递给该模块的参数

具体的说明可以查看PAM手册

配置实验
  1. 创建一个testping用户

在这里插入图片描述

以root权限清除ping命令的setuid位和各种权能

setcap -r /bin/ping
chmod u-s /bin/ping

切换到userping用户,并进行ping操作,发现无法ping成功。

在这里插入图片描述

切换到iskindar用户,同样进行ping操作,仍然无法成功

在这里插入图片描述

/usr/local/bin/目录下新建ping_cap.sh脚本文件,实现功能:当userping用户登录时,给/bin/ping添加权能

#!/bin/sh
[ "$PAM_TYPE" == "open_session" ] || exit 0

if [ "$PAM_USER" == "testping" ]; then
	setcap cap_net_raw=eip /bin/ping
	echo "SUCCESS"
else
	setcap -r /bin/ping
	echo "Clear Capabilities"
fi

chmod u+x /usr/loca/bin/ping_cap.sh

由于所有登录都是使用common-session模块

在这里插入图片描述
/etc/pam.d/common-session文件中添加如下规则:

vim /etc/pam.d/common-session

session  optional  pam_exec.so debug log=/tmp/pam_exec.log seteuid /usr/local/bin/ping_cap.sh

pam_exec是PAM的一个可以使用外部命令的模块。

  • session:在用户登陆前把事情给干完,比如挂载目录、记录一些关键信息等
  • optional:可选的,一般不会对身份认证起作用。这里是为了防止脚本赋权失败导致用户无法登录。
  • debug:打印debug信息
  • log=/tmp/pam_exec.log:命令的打印信息会打印到这个文件
  • seteuid: pam_exec.so会用真实用户ID执行外部命令。
  • /usr/local/bin/ping_cap.sh:外部命令

切换到userping用户,使用ping命令,这次就可以ping通了。

在这里插入图片描述
切换到iskindar用户,会发现仍然无法ping

在这里插入图片描述

查看pam_exec的日志,发现刚刚切换用户时的日志信息都成功打印了。

在这里插入图片描述

实验总结

本实验参考了网上挺多的博客,取长补短,解决了其userping用户退出会影响其他用户对ping的使用的缺点。这次实验基于PAM来设置用户权限。利用了PAM的pam_exec模块来执行外部命令,进而为userping用户赋予允许使用原生套接字的权能,从而来userping用户能够使用ping命令。当userping用户退出时,切换到别的用户时,会自动执行清除/bin/ping的权能,从而避免不该使用ping命令的用户执行ping。值得注意的是,这个外部命令的权限很大,能够赋予userping权能,但对于userping来说是可执行、不可读和不可写的状态,也避免了userping用户利用这个外部命令滥用权力。

遇到的两个小问题

1.执行脚本文件出现错误:

[: missing ]

这里是语法错误,中括号需要和前面的字符空一个空格。

错误代码:

[ "$PAM_TYPE" == "open_session"] || exit 0

在session的引号后面加个空格:

[ "$PAM_TYPE" == "open_session" ] || exit 0

2.执行脚本文件时出现以下错误:

[: XXXX: unexpected operator

原因:ubuntu默认的sh是dash,dash跟bash不兼容导致出错。

解决方法:将ubuntu解释器修改默认连接到bash

输入命令:

sudo dpkg-reconfigure dash

弹出一个窗口,选择NO即可。

参考资料

单片机内核启动流程详解
uote_e的博客
06-04 472
单片机的内核启动流程是指当上或复位后,单片机执行的一系列操作,以便将其运行环境恢复到适合程序正常执行的状态。本文将详细介绍单片机内核启动流程的各个阶段,并提供相应的源代码实现。在执行程序之前,需要先对外设进行初始化,包括时钟、IO口、中断向量表等。程序加载完成后,需要跳转到程序入口点开始执行。在外设初始化完成后,需要将单片机的内存清零。内存清零完成后,需要将程序加载到内存中。以上为单片机内核启动流程的四个阶段,实现这四个阶段即可使单片机正确执行程序。单片机内核启动流程详解。
单片机启动流程——以STM32为例
chenlonglong2014的博客
02-09 5253
单片机启动流程——以STM32为例 一、简介    本文以STM32为例,介绍单片机启动流程。 二、BOOT启动方式    要知道单片机启动流程,首先要找到对应的芯片手册,以STM32F207为例,芯片手册2.4章中描述了单片机根据不同BOOT引脚初始化的方式。    此芯片支持FLASH,系统内存,内部SRAM三种启动方式。阅读单板路图,可知默认BOOT0引脚都是低平,对应从FLASH启动的方式。    进而查看内存映射,可知FLASH对应的地址为0x8000000。 三、STM3
嵌入式软件 —— 单片机后地址如何跳转
改变自己现在能改变的,珍惜自己现在所拥有的
02-14 513
程序存储的起始地址是指在flash或ROM中的起始位置,通常由链接脚本或编译器配置决定。假设复位向量位于0x0000,启动代码位于0x0004,main函数位于0x0200。起始地址通常是0x0000或由芯片手册指定的地址,包含复位向量,指向启动代码。这个地址包含启动代码、中断向量表等,系统上或复位后,从这里开始执行。该地址是用户程序入口main函数在存储器中的地址。由编译器分配,位于启动代码之后。
0基础 | 穿插51单片机 | 一文看懂STC单片机启动和复位有什么区别?
最新发布
2302_77523399的博客
04-19 937
STC单片机是一款增强型51单片机,完全兼容MCS-51,还增加了新的功能,比如新增两级中断优先级,多一个外中断,内置EEPROM,硬件看门狗,具有掉模式,512B内存等。还支持ISP下载,不用编程器,只要一个MAX232和一些廉价的元件就能写程序,可擦写10万次。:单片机不掉,使用复位管脚对其复位(还有其他类型的复位:看门狗、IAP_COUNTER控制软复位),这些属于热启动。STC-ISP如上所示,点击下载后,再将Vcc的线脸上,此时即可下载。需要冷启动,接好线之后,将单片机上的VCC线先拔掉,
STM32启动代码学习
陌城烟雨
10-14 6640
目录 文章目录目录摘要第一部分:汇编指令学习1.伪指令2. 汇编指令第二部分:STM32启动代码学习1.基础知识储备 摘要 本节主要记录字节学习STM32启动代码的过程,欢迎批评指针!!! 第一部分:汇编指令学习 1.伪指令 1).EQU EQU伪指令:用来为一个数字常量、或一个和内核寄存器相关的数值或一个和程序计数器相关的数值定义的一个符号名称。类似于C语言中的#define 。...
STM32启动流程
sudo-wang的博客
01-10 3135
先阐述一个问题,嵌入式应用程序以C语言为主,因此main函数成为了程序运行起点。但一个经常会被忽略的问题是:微控制器(单片机)后,是如何寻找到并执行main函数的呢? 答案是“启动文件”,用英文单词来描述是“Bootloader”。 下面进入正题: STM32又是如何启动的呢? STM32芯片自带的启动方式有3种,通过设置BOOT1、BOOT0的引脚的高低平即可选择。 主闪存启动是将程序下...
单片机的上启动流程
qq_51519091的博客
09-23 858
单片机后一直到准备好C语言运行环境并跳转到main函数执行总共经历了5个步骤:1.内核初始化;2.强制PC指针指向中断向量表的复位中断向量执行复位中断函数;3.在复位中断函数中调用 SystemInit 函数,初始化时钟,配置中断向量表等4.调用 __main 函数完成全局/静态变量的初始化和重定位工作,初始化堆栈和库函数5.跳转到main函数中执行。
单片机启动代码详解
lyn620的专栏
02-09 5109
启动代码通常都烧写在flash中,它是系统一上就执行的一段程序,它运行在任何用户c代码之前。上后,arm处理器处于arm态,运行于管理模式,同时系统所有中断被禁止,pc到地址0处取指令执行。一个可执行映像文件必须有个入口点,而能放在rom起始处的映像文件的入口地址也必须设置为0.在汇编语言中,我们已经说过怎样定义一个程序的入口点,当工程中有多个入口点时,需要在连接器中使用-entry指出程序的
单片机启动
似水流年
08-15 4611
目录概述ARMSTM32F4上 概述 MCU整体工作流程可总结如下:上——>主时钟起振——>启动代码——>用户程序(main函数)。对于我们应用开发来说,大部分工作重点是在应用程序编写这块。特别是高级MCU的出现,如ARM系列的STM32、LPC等32位MCU,以及芯片原厂的完善底层代码,启动代码已经固化在芯片内部flash(称为BootLoader),或者已经提供完整的汇编启动源码。因此,启动过程这块,我们比较陌生,但基本的原理还需了解,不排除面试或者使用到实时系统(RTOS)时需要
单片机启动过程
PeakJin的博客
08-23 5211
启动过程简介 单片机启动过程是加后,先运行芯片内部固有程序(这个程序是用户访问不到也改写不了的),即启动代码。启动代码程序建立完运行环境后,会去读串口状态,就是用户下载程序用到的各个端口,判断用户是否正在使用端口准备下载程序,如果是,就按用户要求,把用户程序下载到指定地址上。如果不是,就跳转到已经下载过的用户程序入口,从而把芯片控制权交给用户程序。如果是新的芯片还没有下载过,那么就停留在读取串口状态的循环中。 启动代码通常都烧写在flash中,它是系统一上就执行的一段程序,它运行在任何用户C代码之
单片机地址空间,堆栈理解
allen6268198的专栏
04-17 1万+
data –可寻址片内ram 0x00-0x7f bdata—可位寻址片内ram idata—可寻址片内ram,允许访问全部内部ram 0x00-0xff padata—分页寻址访问片外ramxdata—可寻址片外ram 0x0000- 0xffffcode--程序存储区单片机存储器分ROM跟RAM之分,RAM存放中间结果,数据和经常变换的代码,ROM存放code。51单片机采用的是哈弗结
单片机流程图
06-07
流程的一个模板,是一个非常重要的,这个是一个非常简单的模板,流程图具有很好的说明能力
51单片机初始化
04-13
51单片机来产生pwm信号控制调,根据不同按键可加减速。
单片机检测交流程序
08-10
在这个过程中,单片机需要识别交流的掉状态,并作出相应反应。实现这一功能的关键在于从交流中提取出同步信号,转化为单片机可以处理的低压信号。 提取同步信号通常有两种方法。第一种是阻分压法,适用于非...
STC51系列单片机免掉下载(热启动下载)
08-03
STC单片机的ISP/IAP控制寄存器ISP_CONTR在管理ISP/IAP功能以及软启动过程中起着关键作用。当ISP_CONTR被设置为特定值(如0x60)时,单片机会自动复位并从ISP引导码开始执行,这样就实现了热启动下载。以下是两种常见...
单片机如何从上复位执行到main函数?
l16756062003的博客
06-01 1450
单片机如何从上复位执行到main函数?\\\插播一条:文章末尾有惊喜哟~///从事嵌入式开发的搭档可能会思考过一个问题,我们一般都是使用芯片厂商提供的驱动库和初始化文件,直接从main函数初始写程序,那么系统上之后,程序怎么引导进main函数执行的呢?还有,系统上之后RAM的数据是随机的,那么定义的全局变量的初始值又是怎么实现的呢?下面我将带着这两个问题,以Cortex-M架构为例,采用IAR EWARM作为编译工具链,从系统上之后执行的第一条代码初始,梳理系统的启动过程,了解编译器在此期间所做的工
STM32从上开始启动过程详解(->分散加载->main函数)
hanchaoman的专栏
11-15 750
将section 拷贝到对应的执行域地址执行,(把RO RW从加载域拷贝到执行域,如果有压缩的Section 会进行解压缩并进行拷贝)通俗点来讲__main函数初始化运行态的环境,主要的功能就是做分散加载将Code位置搬运正确,才能正常运行Code。来看看具体的分散加载代码,是如何搬运data 和初始化bss段的。armcc 手册里面介绍:__main 和 __rt_entry 是初始化运行态的环境,以及后面运行APP程序。值等),最后由__main 函数调用用户写的 main()函数开始执行 C 程序。
STM32 芯片启动过程
热门推荐
Projectsauron 的博客
09-18 3万+
下面主要讲解从上复位到 main 函数的过程初始化中断向量表配置系统时钟调用 C 库函数_main初始化用户堆栈,然后进入main函数至此,启动过程圆满结束!
单片机初始化过程
qq_55126633的博客
04-10 4848
单片机过程
单片机启动流程
03-19
<think>好的,用户想了解单片机启动流程,特别是希望有一个图示解析。首先,我需要回忆单片机启动的基本步骤,并结合用户提供的参考资料来组织答案。用户提到的引用[2]提到了STM32F10x.s启动文件的三个主要工作,这应该是关键点。 首先,单片机后,硬件会初始化复位向量,让程序计数器指向复位处理函数。接着启动文件负责设置堆栈,分配内存空间,这是系统运行的基础。然后初始化.data段和.bss段,前者存放已初始化的全局变量,后者处理未初始化的静态变量。之后调用SystemInit函数配置时钟,确保系统时钟正确。最后跳转到main函数,开始执行用户代码。 用户可能需要更详细的步骤解释,以及每个阶段的作用。比如,堆栈初始化为什么重要,中断向量表的作用是什么。同时,结合引用[2]中的内容,可以强调启动文件的具体任务,如分配堆栈、定义复位向量和中断向量表处理。 另外,用户提到需要图示解析,虽然无法直接提供图片,但可以用文字描述各个步骤的流程图,并建议参考相关文档或教程中的图示,比如引用[1]中的Proteus和Keil联调例程可能有相关示意图。 还需要检查是否有遗漏的步骤,比如某些单片机可能有的看门狗初始化或硬件自检过程,但根据提供的引用,可能不需要深入这些细节。确保语言简洁明了,符合中文表达,避免使用Markdown格式,用自然的分段和编号来组织内容。 最后,生成相关问题时要围绕启动流程的各个部分,比如启动文件的作用、堆栈初始化、中断向量表等,帮助用户进一步理解可能遇到的疑问点。</think>### 单片机启动流程解析 单片机启动流程是系统从加复位到执行用户程序的初始化过程,其核心步骤可概括如下: 1. **硬件复位** 上后,硬件复位路触发,程序计数器(PC)指向复位向量地址(通常为`0x00000000`或特定地址)。此处存放复位处理函数的入口地址[^2]。 2. **启动文件初始化(以STM32为例)** - **堆栈分配**:分配并初始化栈(Stack)和堆(Heap)空间,栈用于函数调用和局部变量存储,堆用于动态内存分配[^2]。 - **中断向量表**:定义中断向量表,每个中断对应一个异常处理程序的入口地址。例如: ```c __Vectors DCD __initial_sp ; 栈顶地址 DCD Reset_Handler ; 复位处理函数 DCD NMI_Handler ; NMI中断处理 ... ; 其他中断向量 ``` - **初始化.data和.bss段**: - `.data`段(已初始化的全局变量)从Flash复制到RAM。 - `.bss`段(未初始化的静态变量)清零。 3. **系统时钟配置** 调用`SystemInit()`函数初始化时钟源(如HSI、HSE),配置PLL生成系统主频(如72MHz)。 4. **跳转至用户程序** 最终通过`__main`或直接调用`main()`函数进入用户代码。 ### 启动流程图示说明(文字描述) ``` 加复位 → 复位向量跳转 → 初始化堆栈 → 复制.data段 → 清零.bss段 → 配置系统时钟 → 执行main() ``` ### 相关问题 1. 启动文件中中断向量表的作用是什么?如何自定义中断服务函数? 2. 堆(Heap)和栈(Stack)在单片机运行时有什么区别? 3. 如何验证.data段和.bss段的初始化是否成功? 4. 若系统时钟配置失败会导致哪些问题? [^1]: 参考启动文件与硬件初始化关系的示例代码和仿真流程。 : 基于STM32启动文件的核心功能描述。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

破落之实

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值