linux进入节点权限,一种基于索引节点的Linux访问权限控制方法与流程

最新推荐文章于 2021-05-15 20:48:11 发布
最新推荐文章于 2021-05-15 20:48:11 发布
阅读量109 收藏
点赞数
文章标签: linux进入节点权限

8d1a0434a0fecfc0cf9373644bcd463f.gif

本发明涉及计算机领域,尤其涉及一种基于索引节点的Linux访问权限控制方法。

背景技术:

传统的Linux访问控制方式是DAC(Discretionary Access Control,自主访问控制)。这种框架配置使用简单,但是有着明显的不足。root用户拥有无限大的权力,一旦入侵者拿到root权限就等于控制了整个系统,不利于系统安全。

新的Linux访问控制方式采用的是MAC(Mandatory Access control,强制性访问控制)。这种方式对系统的每一项访问都进行了严格的限制,主要通过Linux的LSM框架实现,但是不管是SELinux、Apparmor、Smack还是TOMOYO Linux在配置使用时候都比较繁琐,需要一定的工作量为每个操作都设置权限关系。本发明寻求一种可以快速部署、轻量级的访问权限控制方法。

技术实现要素:

针对现有技术存在的不足,本发明的目的在于提供一种可以快速部署、轻量级的基于索引节点的Linux访问权限控制方法。

为实现上述目的,本发明可以通过以下技术方案予以实现:

一种基于索引节点的Linux访问权限控制方法,包括以下步骤:

S1.修改内核源码,增加系统调用,在内核空间建立索引节点和进程号的对应关系表;

S2.根据步骤S1所述对应关系表修改内核源码,为文件系统的系统调用增加访问权限控制判断;

S3.内核对访问内核空间的用户执行步骤S2所述的访问权限控制判断。

进一步地,步骤S2所述访问权限控制判断的流程为:

S21.进行DAC检查,如果通过检查则执行步骤S22,不通过则终止操作;

S22.判断当前访问索引节点是否在步骤S1建立的对应关系表中,如果是则执行下一步,如果否则进入正常系统调用流程;

S23.判断当前访问进程号是否在步骤S1建立的对应关系表中并与索引节点匹配,如果是则进入正常系统调用流程,如果否则终止操作。

进一步地,步骤S23中所述访问进程号包括其自身进程号以及递归判断其父进程进程号所形成的合集。

进一步地,与所述终止操作的同时还返回错误码。

进一步地,所述错误码包括EBUSY、EINVAL和EFAULT。

进一步地,文件系统的系统调用包括open、read和write。

进一步地,步骤S1中所述对应关系表的载入过程通过系统调用或载入只读设备的方式实现。

与传统的DAC控制方案相比,本发明具有即使拥有root权限也可以根据PID保证某些重要文件的优点。而与MAC方案相比,本发明又具有轻量级、部署实施方便的优点,不需要对每项操作都设置访问规则的优点,可以按需设置修改。

附图说明

图1是本发明的方法流程图;

图2是本发明的访问权限控制判断的流程图。

具体实施方式

下面将结合附图以及具体实施方式对本发明作进一步的说明:

如图1~2所示,本发明所述的基于索引节点的Linux访问权限控制方法,包括以下步骤:

S1.修改内核源码,增加系统调用,系统调用接口初始化后,在内核空间建立索引节点和进程号的对应关系表;其中对应关系表的载入过程通过系统调用或载入只读设备的方式实现。

S2.对内核源码进行修改,根据步骤S1所述对应关系表为文件系统的系统调用增加访问权限控制判断;其中文件系统的系统调用可以根据实际使用场景修改,包括但不限于open,还可以是read、write等等。

上述访问权限控制判断的流程为:

S21.进行传统DAC检查,如果通过检查则执行下一步,不通过则返回终止操作并同时返回错误码。

S22.判断用户当前访问索引节点是否在步骤S1建立的对应关系表中,如果是则执行下一步,如果否则进入正常系统调用流程。这个步骤的作用在于判断当前访问内核空间的是否是重要文件,如果判断结果为是则表示当前访问的有可能是重要文件,需要进行下一步判断;如果判断结果为否则表示当前访问的不是重要文件,所以让它直接进入正常系统调用流程,不必进行下一步判断。

S23.判断当前访问进程号是否在步骤S1建立的对应关系表中并与索引节点匹配,如果是则进入正常系统调用流程,如果否则终止操作并返回错误码;所述访问进程号包括其自身进程号以及递归判断其父进程进程号所形成的合集,达到整个进程组访问控制的目的。

步骤S21-S23中所述错误码可以根据用户要求设置,包括但不限于EBUSY、EINVAL和EFAULT等。

S3.内核对访问内核空间的用户执行步骤S2所述访问权限控制判断,即执行步骤S21-S23,根据判断结果执行后续操作。

本发明的步骤S1和S2是对内核的修改操作,步骤S3是用户进入内核后的实际访问权限控制流程。进行传统DAC检查后对非重要文件直接放过进入正常系统调用流程,对重要文件进行索引节点和进程号的判断,不需要对每项操作都设置访问规则,达到轻量级访问权限控制的效果。

对于本领域的技术人员来说,可根据以上技术方案以及构思,做出其他各种相应的改变以及变形,而所有的这些改变和变形都应该属于本发明权利要求的保护范围之内。

weixin_39600291
关注
Linux红黑树(二)——访问节点
my_live_123
12-08 2044
本篇博文对红黑树节点和树元素的访问的解析!
简述linux访问权限机制,Linux自主访问控制机制模块总体描述
weixin_39627455的博客
04-29 762
原标题:Linux自主访问控制机制模块总体描述1总体描述1.1概述随着计算机技术,特别是网络技术的发展,人们的生活方式发生了巨大的变化,然而在人们享受计算机带来的便捷服务的同时,信息安全问题也日益凸显。为了有效的对计算机的安全进行防护,操作系统引入了很多的信息安全技术,访问控制就是其中重要的一种。访问控制用于限制用户对系统关键资源的访问,从而有效的防止非法用户进入系统及合法用户对系统资源的非法访问...
linux进入节点权限,Linux用户及权限管理
weixin_42297562的博客
04-30 344
接触过Linux系统的人都知道Linux系统都是由文件组成的。那我们就应该意识到关于文件权限的重要性。下面详细介绍一下:博文大纲:用户与用户组;Linux文件权限的重要性;文件与目录的默认权限与隐藏权限;文件特殊权限;一、用户与用户组我们来通过一张图片,来详细了解一下用户与用户组之间的关系:通过这张图片就可以详细的了解用户与用户组之间的关系!我们通过浏览/root目录下的文件来了解一下每个文件各个...
linux 登陆节点,Linux中实现Hadoop各节点间的SSH免密登陆
weixin_35537635的博客
05-15 551
什么是SSH?传统的网络服务程序,如FTP、Pop和Telnet在传输机制和实现原理上是没有考虑安全机制的,其本质上都是不安全的;由于它们在网络上用明文传送数据、用户账号和用户口令,别有用心的人经过窃听等网络攻击手段很是容易地就能够截获这些数据、用户账号和用户口令。并且,这些网络服务程序的简单安全验证方式也有其弱点,那就是很容易受到"中间人"(man-in-the-middle)这种攻击方式的攻击...
linux 连接与索引节点
02-24
### Linux中的索引节点与连接:深入理解 在Linux操作系统中,文件的管理和组织机制主要依赖于索引节点(inode)这一概念。索引节点Linux文件系统中扮演着核心角色,它们不仅作为文件的唯一标识符,还存储了文件的...
Linux根目录的i节点号,Linux基础知识:如何获取根分区的总索引节点
weixin_29560063的博客
04-28 1310
Linux和其他类似Unix的操作系统上,一个索引节点存储的信息描述文件或目录(也就是文件,因为在Unix中所有内容都是文件),但其名称和内容或实际数据除外。因此,每个文件都由一个索引节点索引,该索引节点是有关该文件的元数据。索引节点包含以下信息:文件的物理位置,文件的大小,文件的所有者和组,文件的访问权限(读取,写入和执行),时间戳以及指示硬链接数的计数器指向文件。密切注意inode为何很重要...
Linux教程第4章 文件权限与文件共享.pdf
09-13
硬链接实际上是指向文件inode(索引节点)的另一个路径,硬链接文件和原始文件是完全相同的,修改其中一个会影响另一个。硬链接不能跨文件系统,且无法用于目录。符号链接(软链接)则类似于Windows的快捷方式,它...
linux中特殊权限问题
09-22
索引节点(inode)是文件系统中用于存储文件元信息的数据结构,包括文件的所有者、组、大小、权限、时间戳和数据块位置等。inode号码是文件的唯一标识,不随文件名改变而变化,当文件名无法删除时,可以通过删除对应...
linux 设备节点权限,Android 框架之创建设备节点文件
weixin_29795345的博客
05-01 152
Android 与linux一样使用设备驱动来访问硬件设备,设备节点文件是设备驱动的逻辑文件,应用程序使用设备节点文件来访问设备驱动程序,linux使用mknod来创建设备节点文件,Android 有自己法子。Android 使用Init 进程来创建设备节点文件,分两种情况:静态节点文件和动态节点文件,以应对已经定义好的冷插拔和系统运行起来后插入的热插拔设备。对于冷插拔设备,init 进程事先获取...
linux下多节点之间免密钥访问
sun
03-06 935
第1步:hosts文件修改(可选) 如果将来想采用ssh 主机名的方式来访问其余节点,请确保各个节点上的hosts文件下有对各个ip以及主机名的映射,可通过如下命令进行查看 cat /etc/hosts
ZooKeeper节点权限控制详解
前者已逝,后者未至。
03-21 718
目标 了解ZooKeeper的几种ACL机制; 熟练使用命令为ZooKeeper的目录分配权限。 ACL机制 格式:scheme:id:permissions,其中scheme表示ACL方案;id表示验证模式;permissions表示权限类型。 [scheme]:有四种类型(world、auth、digest、ip),含义如下: world:所有人都可以访问,且对应的id只有一个为anyone; auth:不需要id,只通过身份验证(authentication)来获得权限
Linux命令记录
xiaowang_hi的博客
03-08 169
Linux命令记录 进入节点命令ssh 节点名称 退出节点命令exit就可以了
linux查看文件节点,Linux索引节点inode(index node)
weixin_39626211的博客
04-30 1770
inode就是索引节点,它用来存放档案及目录的基本信息,包含时间、档名、使用者及群组等。inode是 UNIX/Linux 操作系统中的一种数据结构,其本质是结构体它包含了与文件系统中各个文件相关的一些重要信息每一个索引节点都是一个表项,包含有关文件的信息(元数据):文件类型,权限,UID,GID链接数(指向这个文件名路径名称个数)该文件的大小和不同的时间戳指向磁盘上文件的数据块指针有关文件的其...
linux服务器查看节点,集群内核节点查看命令linux
weixin_39933713的博客
04-28 6427
集群内核节点查看命令linux怎么做?根据CSDN博客作者zerowin的分享,查看Linux内核版本的命令可以使用以下两种方法:第一种cat /proc/version[root@S-CentOShome]# cat /proc/versionLinux version 2.6.32-431.el6.x86_64 (mockbuild@c6b8.bsys.dev.centos.org) (gc...
linux下多节点之间,免密钥访问实现
qq_21234493的博客
05-05 3622
说明: 目前安装了4个Redhat linux操作系统,主机名分别为hadoop01,hadoop02,hadoop03,hadoop04其中hadoop01为主节点,hadoop02,hadoop03,hadoop04为从节点四个节点ip地址为192.168.10.61~64.如果不修改hosts文件,从第二部开始可将hadoop01~04改为所对应的ip地址,如第4步中的scp ~/.s
Linux配置各个节点之间ssh免登录
星空的风fly
09-09 6451
这里以node01、node02两台机举离说明,node01、node02为主机名(前提已安装好ssh服务)1、在node01生成公钥,输入以下:ssh-keygen -t rsa -P '' -f ~/.ssh/id_rsa ,按回 [root@node01 .ssh]# ssh-keygen -t rsa -P '' -f ~/.ssh/id_rsa Generating public/...
深入理解linux i节点(inode)
热门推荐
Legend(谭海燕)的专栏
05-19 4万+
深入理解linux  i节点(inode) 对于Unix系列的操作系统,大多都有v节点。但是对于linux来说,只有通用的i节点,却没有v节点。下面来探讨一下,linux下的i节点。       linux中,文件查找不是通过文件名称来查找的。实际上是通过i节点来实现文件的查找定位的。我们可以形象的将i节点看做是一个指针fip。当文件存储到磁盘上去的时候,文件肯定会存放到一
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值