linux访问控制机制,Linux自主访问控制机制模块之详细描述

最新推荐文章于 2023-10-23 10:18:38 发布
最新推荐文章于 2023-10-23 10:18:38 发布
阅读量839 收藏 1
点赞数
文章标签: linux访问控制机制

原标题:Linux自主访问控制机制模块之详细描述

2详细分析2.1模块功能描述访问控制列表ACL主要用于提供传统的owner、group、others的read、write、execute之外的具体权限设置,它可以针对单一用户、单一文件或目录进行权限的设置,从而细化权限的管理。2.2模块内部函数调用关系

190debfef6d9e89618030c6419f4b2fa.png

图2-1 模块内函数之间的调用关系

如图2-1所示,当用户程序需要访问文件时,便会调用相应的系统调用如open(),该系统调用在执行时会通过系统调用服务例程陷入内核,然后调用VFS中相关操作对该请求进行处理,最后当要访问文件对应的内核数据时,内核会先检查该用户是否具有访问权限,如果权限检查通过,此时才能真正访问相应的数据,否则拒绝用户的请求。在进行权限检查时,依次会进行普通的权限检查、DAC检查和MAC检查,如果所有的检查均通过则允许用户访问该文件。在进行DAC检查时,VFS会根据用户请求的文件的类型来调用相应文件系统中实现的函数来从文件的扩展属性中查找文件的ACL权限,如果文件中指定了相应的权限,则检查通过,否则函数直接返回,即拒绝用户的访问请求。

2.3函数实现机制

在Linux中,通过VFS来对所有的具体文件系统进行统一的管理,VFS通过向用户程序提供一套统一、标准的抽象接口来为用户程序提供标准的功能,进而向用户屏蔽具体文件系统的实现细节,然而这只能实现一些标准的操作,对于某些具体文件系统的某些特性,其并不能很好的支持,因为VFS不可能为它所能想到的所有特性都进行具体的实现。为了解决这个问题,Linux采用扩展属性来实现,每个文件都可以根据其需求来实现相应的扩展属性,从而将其与文件相关联。扩展属性在Linux中有两种用途:

/* Namespaces */

#define"os2."

#define(sizeof () - 1)

#define"security."

#define(sizeof () - 1)

#define"system."

#define(sizeof () - 1)

#define"trusted."

#define(sizeof () - 1)

#define"user."

#define(sizeof () - 1)

为了操作扩展属性,内核提供了以下四个系统调用:

(1) setxattr() 用于根据参数来设置或替换某个扩展属性的值,或者创建一个新的扩展属性

(2) getxattr() 用于获取指定扩展属性的值

(3) listxattr() 用于获取文件的扩展属性列表

(4) removexattr() 用于删除指定的扩展属性

对于上述函数,它们还有前缀为l和前缀为f的变体,前缀为l的变体用于对符号链接本身的扩展属性进行操作;前缀为f的变体用于对通过文件描述符指定的文件进行处理。对于这三种类型的系统调用,它们之间唯一的区别在于查找目标对象关联的dentry实例的方式,当找到目标对象对应的目录项之后,它们将会调用相同的函数来进行进一步的处理。下面主要针对setxattr()类系统调用进行分析,对于这些函数,在它们通过相应的方式获得目标对象对应的目录项之后,均会调用setxattr()函数进行进一步的处理。setxattr()函数真正用于根据参数来设置或替换某个扩展属性的值,或者创建一个新的扩展属性,成功执行时返回0;失败时返回相应的错误码。其定义在fs/xattr.c中,函数头如下所示:

static long(struct*, const char*, const void*,

, int)

ccf1a5c94934d0ec7669cbcfa8c92cd0.png

图2-2 setxattr()函数调用流程图

如图2-2所示,下面结合源码对该函数的执行步骤进行说明:

①对参数的合法性进行检查。

②分别调用strncpy_from_user()函数和copy_from_user()函数将参数从用户空间拷贝到内核空间中。

③调用vfs_setxattr()函数来实现扩展属性的相关具体操作,对于该函数,下文会进行详细分析。

④结束并返回。

对于vfs_setxattr()函数,其定义在fs/xattr.c中,函数头如下所示:

int(struct*, const char *, const void *,,

int)

该函数包含5个参数,参数含义和setxattr()的参数含义基本相同,这里不再赘述。对于该函数,其函数调用流程如图2-3所示,下面结合源码对该函数的执行步骤进行说明:

①调用xattr_permission()函数来检查用户对指定的文件是否具有写权限,如果有,则返回0,如果没有,vfs_setxattr()函数将会直接返回。

②调用security_inode_setxattr()函数。该函数实际上只是简单的封装了cap_inode_setxattr()函数,后者用于确定当前进程是否具有修改指定文件扩展属性的权限,若有,则返回0。

③如果当前进程可以修改文件的扩展属性,则调用__vfs_setxattr_noperm()函数,该函数在不进行权限检查的情况下执行具体文件系统实现的setxattr()函数来对目标文件的扩展属性进行设置。

责任编辑:

姑里
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
简述linux访问权限机制,Linux自主访问控制机制模块总体描述
weixin_39627455的博客
04-29 751
原标题:Linux自主访问控制机制模块总体描述1总体描述1.1概述随着计算机技术,特别是网络技术的发展,人们的生活方式发生了巨大的变化,然而在人们享受计算机带来的便捷服务的同时,信息安全问题也日益凸显。为了有效的对计算机的安全进行防护,操作系统引入了很多的信息安全技术,访问控制就是其中重要的一种。访问控制用于限制用户对系统关键资源的访问,从而有效的防止非法用户进入系统及合法用户对系统资源的非法访问...
linux访问控制机制,Linux自主访问控制机制模块详细描述-函数实现机制(3)
weixin_35682426的博客
05-14 350
原标题:Linux自主访问控制机制模块详细描述-函数实现机制(3)ext4_xattr_ibody_set()函数定义fs/ext4/xattr.c中,函数头如下所示:static int ext4_xattr_ibody_set(handle_t *handle, struct inode *inode,struct ext4_xattr_info*i,struct ext4_xattr_ib...
linux安全-自主访问控制
jianjian的博客
03-30 1640
在计算机安全领域,访问发起者被称为主体,访问动作就是具体的操作,被访问者被称为客体。比如,进程A 读文件 a,进程 A 是主体,读是操作,文件 a 是客体。Linux的主体只能是进程;操作只有读、写或者执行;客体可以是目录和文件{包括管道、设备、IPC(进程间通信)、socket(套接字)、key(密钥)}。备注:目录的执行是进入,文件的执行是运行,只有普通文件可以执行,管道等文件是不可以执行的。 自主访问控制的自主是指使用计算机的人可以决定访问策略,比如规定某文件只能读不能写,制造出一种“只读”文件,防止
访问控制之DAC】简述Linux中的主动访问控制
刘元林的博客
03-20 1086
在计算机安全中,自主访问控制(英语:,缩写DAC)由《可信计算机系统评估准则》[1]所定义的访问控制中的一种类型。Linux 内核的也叫,用户身份问题和文件管理方式就是受控于这种机制Linux 系统中的用户主要分为(系统管理员)和两种,并将他/她们划分到不同的中。而这两种用户是否能够访问系统中的某个文件则与该文件的rwx 权限属性有关。如果某个程序想要访问这个文件,Linux 内核会根据该程序的和与该文件UID和GID的进行对比来决定是否允许操作。
linux-用户和权限系统
DCHAO的博客
08-22 483
spark权限系统 用户系统
linux用户授权访问控制,Linux 访问控制列表
weixin_39927144的博客
04-29 157
原标题:Linux 访问控制列表简介随着应用的发展,传统的Linux文件系统权限控制无法适应复杂的控制需求,而ACL的出现,则是为了扩展Linux的文件权限控制,以实现更为复杂的权限控制需求。其可以针对任意的用户和用户组进行权限分配(只有root用户和以定义ACL),以及默认权限分配。类型针对文件所有者分配针对文件所属的组群分配针对额外用户分配针对额外组群分配其他用户分配最大访问权限查看ACLge...
Linux文件的扩展属性
刘末的专栏
05-31 1452
其中capability,selinux为常用项,capability 是linux内核对能力的的配置参数,selinux则是内部强访等使用的配置参数。在进程启动后,他每通过一个系统调用时,都会使用cap_capable 来检查它的cred中的cap_effective是否有效。启动一个bash,以centos的用户名,此用户名的capability为cap_net_admin。这两个命令的关键字是attr,不是xattr,但他们是文件的扩展属性的另一个基础版本。
基于Linux的强制访问控制研究.pdf
09-06
2. 访问控制增强模块:通过LKM(Loadable Kernel Module)技术,向现有Linux系统添加强制访问控制模块,替换原有的安全相关系统调用,以增强访问控制,提升系统安全性,该模块运行在核心态。 3. 访问控制信息管理...
lsm.rar_LSM_linux lsm
09-14
与传统的DAC(Discretionary Access Control,自主访问控制)和基于角色的访问控制(RBAC)不同,AppArmor专注于进程和文件之间的交互,通过定义严格的访问规则来限制程序的行为。 在标题“lsm.rar_LSM_linux lsm”...
Linux内核及0号进程启动分析.pdf
09-06
在启动过程中,BIOS将控制权传递给内核,内核随后设置GDT(全局描述表)和LDT(局部描述表),以实现内存段的管理和访问控制。 接着,文章重点解析了0号进程的创建和启动。0号进程,也称为初始化进程,是Linux内核...
基于Linux的江西气象电子邮件系统设计与实现.pdf
09-06
6. **安全性与可靠性**:基于Linux的系统可以利用其内置的安全机制,如防火墙、权限控制和加密技术,确保邮件通信的安全。系统还应有备份和恢复策略,以防止数据丢失。 7. **业务化运行**:系统在实际运行中需与...
基于Linux文件系统安全性的LSM框架的研究
01-20
用户进程执行系统调用时,首先经过经典的 UNIX 自主访问控制,然后在 Linux 内核对内部对象进行访问之前,相应的 LSM 钩子函数调用安全模块提供的相应访问控制函数进行权限判断,安全模块根据其相应的安全策略进行...
xattr-文件系统扩展属性
Yang的博客
03-26 2484
xattr-文件系统扩展属性
文件扩展属性xattr系统调用浅析 --翻译
C_JLMPC2009的博客
10-13 2357
前言 本文为原创,可能会存在一些知识点或理解上的问题,欢迎切磋和交流 ^_^ 1、listxattr/llistxattr/flistxattr系统调用名称 Listxattr/llistxattr/flistxattr作用:列出扩展属性名称 1.1概要 #include <types.h> #include <sys/xattr.h> ssize_t...
LInux系统编程(3)
wj617906617的博客
10-23 533
执行成功时,remove会从文件系统中删除path并且返回0,如果path是一个文件,调用unlink,如果path是一个目录,则调用rmdir()llistxattr()的行为如同listxattr(),当path是一个符号连接时,返回的是链接本身(而不是链接的目标文件)有关的拓展属性。执行成功时,listxattr()返回path文件的拓展属性列表,存入list中,函数返回列表的实际大小,以字节为单位。如果size为0,则不会存入value中,只返回值的大小,让应用程序决定缓冲区的大小,方便进行存储。
selinux 简介
qq_43679416的博客
09-07 1620
SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。 SELinux提供了一种灵活的强制访问控制(MAC)系统,且内嵌于Linux Kernel中。SELinux定义了系统中每个【用户】、【进程】、【应用】和【文件】的访问和转变的权限,然后它使用一个安全策略来控制这些实体(用户、进程、应用和文件)之间的交互,安全策略指定如何严格或宽松地进行检查。(权限) 1.对内核对象和服务的访问控制 2.对进程
Linux自主访问控制——有效ID与真实ID
qq_44109982的博客
03-18 1457
在做毕设的时候,碰到了一个场景:需要在普通用户的情况下调用“特权程序”,来访问受保护的文件。相应知识网络安全课学过,这里再回忆并总结一下。 有效ID与真实ID的关系 在Unix的设计中,进程与多个用户ID和用户组ID相关联,包括如下: 1、实际用户ID和实际用户组ID:标识我是谁,身份的识别,谁运行的程序。也就是登录用户的uid和gid,比如我的Linux以simon登录,在Linux运行的所有的命令的实际用户ID都是simon的uid,实际用户组ID都是simon的gid(可以用id命令查看)。 2、有效
acl在内核里的位置_Linux自主访问控制机制模块详细分析之ACL在ext4中的操作
weixin_33985453的博客
01-26 316
原标题:Linux自主访问控制机制模块详细分析之ACL在ext4中的操作3. ext4_acl_chmod()ext4_acl_chmod()函数用于在调用chmod命令修改文件的权限时,根据指定的权限来修改目标文件中用于访问控制的ACL,函数头如下所示:该函数只有1个参数:inode表示目标索引节点。对于该函数,其函数调用流程图如图2-19所示: 图2-19 ext4_acl_chmod()函数...
简约大气毕业论文答辩PPT模板
最新发布
07-11
【作品名称】:简约大气毕业论文答辩PPT模板 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
linux加固.pptx
04-10
这份‘linux加固.pptx’文件提供了详细的Linux加固指南,主要针对CentOS 6.5操作系统,涵盖身份鉴别、访问控制、安全审计、资源控制以及入侵防范等多个方面。以下是这些关键领域的详细说明: 1. **身份鉴别** - ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值