linux权限检查机制

最新推荐文章于 2023-06-05 16:53:38 发布
最新推荐文章于 2023-06-05 16:53:38 发布
阅读量1.9k 收藏 3
点赞数
分类专栏: 安全 kernel基础 文章标签: linux 能力 权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whuzm08/article/details/84451650
版权

1.文件权限 

static inline int do_inode_permission(struct vfsmount *mnt, struct inode *inode, int mask)
  {
      if (unlikely(!(inode->i_opflags & IOP_FASTPERM))) {
          if (likely(mnt && inode->i_op->permission2))
              return inode->i_op->permission2(mnt, inode, mask);
          if (likely(inode->i_op->permission))
              return inode->i_op->permission(inode, mask);
  
          /* This gets set once for the inode lifetime */
          spin_lock(&inode->i_lock);
          inode->i_opflags |= IOP_FASTPERM;
          spin_unlock(&inode->i_lock);
      }    
      return generic_permission(inode, mask);                                                                                                                            
  }

int generic_permission(struct inode *inode, int mask)
  {
      int ret; 
  
      /*   
       * Do the basic permission checks.
       */
      ret = acl_permission_check(inode, mask);   //基本权限检查
      if (ret != -EACCES)
          return ret; 
  
      if (S_ISDIR(inode->i_mode)) {
          /* DACs are overridable for directories */
          if (capable_wrt_inode_uidgid(inode, CAP_DAC_OVERRIDE))    //CAP_DAC_OVERRIDE是CAP_DAC_READ_SEARCH的超集,不管读写都可以
              return 0;
          if (!(mask & MAY_WRITE))
              if (capable_wrt_inode_uidgid(inode,
                               CAP_DAC_READ_SEARCH))   //不是写
                  return 0;
          return -EACCES;
      }    
      /*   
       * Read/write DACs are always overridable.
       * Executable DACs are overridable when there is
       * at least one exec bit set.
       */
      if (!(mask & MAY_EXEC) || (inode->i_mode & S_IXUGO))//如果是执行,则有些不同,至少要有一个执行权限
          if (capable_wrt_inode_uidgid(inode, CAP_DAC_OVERRIDE))
              return 0;
  
      /*   
       * Searching includes executable on directories, else just read.
       */
      mask &= MAY_READ | MAY_WRITE | MAY_EXEC;
      if (mask == MAY_READ)
          if (capable_wrt_inode_uidgid(inode, CAP_DAC_READ_SEARCH))
              return 0;                                                                                                                                                  
  
      return -EACCES;
  }

static int acl_permission_check(struct inode *inode, int mask)
  {
      unsigned int mode = inode->i_mode;
  
      if (likely(uid_eq(current_fsuid(), inode->i_uid)))  //同一个用户, 使用的是进程的fsuid
          mode >>= 6;
      else {
          if (IS_POSIXACL(inode) && (mode & S_IRWXG)) {    //注意看acl是如何工作的
              int error = check_acl(inode, mask); 
              if (error != -EAGAIN)
                  return error;
          }
  
          if (in_group_p(inode->i_gid))  //同一组
              mode >>= 3;

            //否则是other,不用移位
      }
  
      /*
       * If the DACs are ok we don't need any capability check.
       */
      if ((mask & ~mode & (MAY_READ | MAY_WRITE | MAY_EXEC)) == 0)
          return 0;
      return -EACCES;
  }

2.能力的检查

 bool ns_capable(struct user_namespace *ns, int cap)
  {   
      return ns_capable_common(ns, cap, true);                                                                                                                           
  }

  static bool ns_capable_common(struct user_namespace *ns, int cap, bool audit)                                                                                          
  {
      int capable;
  
      if (unlikely(!cap_valid(cap))) {
          pr_crit("capable() called with invalid cap=%u\n", cap);
          BUG();
      }
  
      capable = audit ? security_capable(current_cred(), ns, cap) :
                security_capable_noaudit(current_cred(), ns, cap);
      if (capable == 0) {
          current->flags |= PF_SUPERPRIV;
          return true;
      }
      return false;
  }

 struct security_hook_list capability_hooks[] = {
      LSM_HOOK_INIT(capable, cap_capable),

.....}

*int cap_capable(const struct cred *cred, struct user_namespace *targ_ns,                                                                                               
          int cap, int audit)
  {
    int ret = __cap_capable(cred, targ_ns, cap, audit);
  }

int __cap_capable(const struct cred *cred, struct user_namespace *targ_ns,
          int cap, int audit)
  {
      struct user_namespace *ns = targ_ns;
  
      /* See if cred has the capability in the target user namespace
       * by examining the target user namespace and all of the target
       * user namespace's parents.
       */
      for (;;) {
          /* Do we have the necessary capabilities? */
          if (ns == cred->user_ns)
              return cap_raised(cred->cap_effective, cap) ? 0 : -EPERM;
                                                                                                                                                                         
          /* Have we tried all of the parent namespaces? */
          if (ns == &init_user_ns)
              return -EPERM;
  
          /* 
           * The owner of the user namespace in the parent of the
           * user namespace has all caps.
           */
         if ((ns->parent == cred->user_ns) && uid_eq(ns->owner, cred->euid))
              return 0;
  
          /* 
           * If you have a capability in a parent user ns, then you have
           * it over all children user namespaces as well.
           */ 
         ns = ns->parent;
      }   
      
      /* We never get here */
  } 

如果是root,则默认具有所有能力,即CapInh,CapPrm,CapEff,CapBnd所有bit都是1,包括CAP_DAC_OVERRIDE,所有root可以操作任何文件,通过setuid()和setgid()可以切换到非root用户,此时CapInh,CapPrm,CapEff都变为0,CapBnd维持不变,即默认非root用户失去所有的能力。

通过设置程序文件的能力bit,可以给普通用户授予某项能力

setcap  cap_net_raw=eip /bin/ping

此时任何用户都可以ping,这是比suid更安全的一种做法,只授予需要的权限,而不像suid授予所有的权限(everything or nothing),文件能力存储在文件系统的xattr中,并且挂载时不能指定nosuid选项,否则文件能力失效。

如果文件设置了能力,程序能力具体的规则如下:

我们使用P代表执行exec前的capabilities,P’代表执行exec后的capabilities,F代表exec执行的文件的capabilities。那么:

P’(Permitted) = (P(Inheritable) & F(Inheritable)) | (F(Permitted) & cap_bset)

P’(Effective) = F(Effective) ? P’(Permitted) : 0

P’(Inheritable) = P(Inheritable)

其中的cap_bset是capability bounding set。通过与文件的Permitted集合计算交集,可进一步限制某些capabilities的获取,从而降低了风险

对于文件没有设置能力,则按如下规则:

P’(Permitted) =P(Inheritable)

P’(Effective)=P(Effective)

P’(Inheritable) = P(Inheritable)

如果某个程序文件具有cap_setuid,cap_setgid的能力,则非root用户可以通过setuid()和setgid()可以切换到root用户,此时:

CapInh,CapPrm,CapEff=CapBnd

 

淡泊的猪
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
操作系统实验报告,观察Linux的行为、SHELL编程
11-13
Linux中,proc文件系统提供了一套在用户态检查内核状态和系统特征的机制。proc文件系统将进程的地址空间、系统的硬件信息、系统相关机制(中断、I/O)等内容全部设置为虚拟的Linux文件,为访问系统内核数据的操作...
file_operations结构体介绍
嵌入式与人工智能
08-20 2476
内核中file_operations源码 linux-2.6.38/include/linux/fs.h /* * NOTE: * all file operations except setlease can be called without * the big kernel lock held in all filesystems. */ struct file_operations { struct module *owner; loff_t (*llseek) (struct fi
Oracle11g Hidden Parameters | PERUMAL.ORG
10-08 947
Parameter Name Parameter Value Description _4031_dump_bitvec 67194879 bitvec to specify dumps prior t...
文件打开时内核权限检查流程
wyt357359的专栏
07-31 819
内核版本(4.15) DAC: Discretionary access control 自主访问控制 . DAC是传统的Linux的访问控制方式,DAC可以对文件、文件夹、共享资源等进行访问控制。 在DAC这种模型中,文件客体的所有者(或者管理员)负责管理访问控制。DAC使用了ACL(Access Control List,访问控制列表)来给非管理者用户提供不同的权限,而root用户...
RedisTemplate 常用方法,序列化方式,分布式锁,工具类封装、商品秒杀
蚩尤后裔-汪茂雄
01-03 4491
目录 RedisTemplate 常用方法 RedisTemplate 序列化方式 RedisTemplate 常用方法 org.springframework.data.redis.core.RedisTemplate 常用方法(本文环境 Spring Boot 2.1.3): 方法 描述 Boolean expire(K key, final long timeout, f...
Linux下进程信息的深入分析
weixin_34411563的博客
04-27 640
这里我们主要介绍进程的状态,进程的状态可以通过/proc/PID/status来查看,也可以通过/proc/PID/stat来查看。 如果说到工具大家用的最多的ps也可以看到进程的信息。这里我们通过/proc/PID/status来分析进程的信息。 在2.6.18之后的内核,多了capibilty/cpusets等信息.   查看进程状态信息如下: more status Name: ...
Linux Capabilities
oneslide
06-05 1805
对于执行权限检查, 传统的UNIX实现区分两类进程:特权进程(其有效用户ID为0,也称为超级用户或root)和非特权进程(其有效用户ID非零)。特权进程绕过内核的所有权限检查,而非特权进程根据进程的凭证(通常为:有效用户ID、有效组ID和补充组列表)进行完整的权限检查。从内核2.2开始,Linux将传统上与超级用户相关联的特权分成独立的单元,称为Capability,可以独立启用和禁用。需要注意的是,功能是线程属性。
Linux进程的权限检查
zhang_shuaifeng的博客
03-10 645
ns_capable_common
Android 11 system_server 读写 Sdcard
a546036242的博客
02-11 2257
2.第二种方式:修改frameworks/base/core/java/com/android/internal/os/ZygoteInit.java。由于Android 11之前的版本只需要按照常规配置后,system_server就可以正常读写sdcard。1.第一种方式:暴力修改:(实际项目不可取)kernel/fs/namei.c 最终输出。备注:对于在init.rc文件启动的hal层相关服务按如下配置即可。
浅析Linux namespace
energysober的博客
04-15 9866
环境背景 Linux版本:linux-4.10.5 Linux namespace 作用: Linux Namespace是一种Linux Kernel提供的资源隔离方案,提供Pid,Network,Ipc,Uts,Mount等资源的隔离,每个Namespace下的这些资源对于其他Namespace是不可见的 作用对象:进程 分析 对Linux namespace的分析会结合一些简单的源码做一些分...
RED HAT LINUX 6大全
10-21
4.4 检查XF86Config文件 32 4.4.1 XF86Config Files部分 32 4.4.2 XF86Config ServerFlags部分 34 4.4.3 XF86Config Keyboard部分 35 4.4.4 XF86Config Pointer部分 36 4.4.5 XF86Config Monitor部分 37 4.4.6 XF86...
linux教程——很使用的那种
11-04
由于linux中的别名机制,使用rm等价与使用rm -i,这样在删除文件或目录时会有提示,如果不想出现提示内容,需要加选项-f。写脚本的时候需要加上-f,因为批量删除文件或目录不需要每次都提示询问。 在unix中rm删除文件...
linux /proc/pid/status 解析
qq_42170897的博客
04-20 6267
示例程序: #include <stdio.h> #include <stdlib.h> #include <string.h> #include <pthread.h> #include <unistd.h> void* run(void* arg) { sleep(10000); return NULL; } int main() { char* arr[10240]={0}; for(int i=0;i
Linux编程系列——系统和进程信息
gripex的博客
04-25 336
/proc文件系统 获取与进程有关的信息: /proc/PID 在老版UNIX中允许特权级程序深入内核内存中的数据结构以获取内核信息, 如:1. 系统中有多少进程在运行,其属主是谁? 2. 一个进程打开多少文件?3. 目前锁定了什么文件,4. 哪些进程持有这些锁?系统正在使用什么套接字? 为了提供更为简便的方法访问内核信息,许多现代UNIX实现提供了一个/proc虚拟文件系统 该文件系统驻留...
Docker SYS_ADMIN 容器逃逸原理解析
Jack_chao_的博客
03-27 850
如果notify_on_release启用(即值为1时),当cgroup不再包含任何任务时(即,cgroup的tasks文件里的PID为空时),系统内核会默认执行release_agent参数指定的文件里的内容。是对全局系统资源的一种封装隔离,使得处于不同 namespace 的进程拥有独立的全局系统资源,改变一个 namespace 中的系统资源只会影响当前 namespace 里的进程,对其他 namespace 中的进程没有影响。namespace是linux内核用来隔离内核资源的方案。
linux查看某个进程内存占用情况以及/proc/pid/status解释
chuyouyinghe的专栏
05-04 2327
State: S (sleeping) /*进程的状态信息,具体参见http://blog.chinaunix.net/u2/73528/showart_1106510.html*/CapPrm: 0000000000000000 /*进程能够使用的能力,可以包含CapEff中没有的能力,这些能力是被进程自己临时放弃的*/VmExe: 576 kB /*程序所拥有的可执行虚拟内存的大小,代码段,不包括任务使用的库 */SigQ: 0/8183 /*待处理信号的个数/目前最大可以处理的信号的个数*/
Unix/Linux编程:什么是能力
OceanStar的博客
06-02 437
Linux能力模型能够将传统的all-or-nothing Unix权限模型划分为一个个能单独启用或者禁用的能力。使用能力允许程序在执行一些特权操作的同时防止它们执行其他未经允许的操作 能力基本原理 传统的Unix权限模型将进程分为两类: 能够通过所有权限检测的有效用户ID为0的进程 其他所有需要根据用户和组ID进行权限检测的进程 这个模型的粗粒度划分是一个问题。如果需要允许一个进程执行一些只有超级用户才能执行的操作—比如修改系统时间----那么就必须要让进程的有效ID为0。(如果一个非特权用户需要.
Linux权限管理(一)—打开权限
xiayu98020214的专栏
11-06 2727
http://tsecer.blog.163.com/blog/static/150181720121159527348/ Linux权限管理(一)—打开权限   2012-02-15 21:52:46|  分类: Linux内核|字号 订阅 一、打开权限 这里其实比较感兴趣的是文件夹的权限,假设对于root用户的一个文件夹,或者另一
Linux audit详解
热门推荐
whuzm08的专栏
02-14 3万+
什么是audit The Linux Audit Subsystem is a system to Collect information regarding events occurring on the system(s) ,Kernel events (syscall events), User events (audit-enabled programs) syslog记录的信息有限,主要...
linux系统shell检查脚本
最新发布
08-21
### 回答1: Linux系统的Shell检查脚本是一种用于检查和测试Shell脚本的工具。它可以帮助开发人员和系统管理员发现脚本中的错误和问题,以确保脚本的正确性和可靠性。Shell检查脚本可以检查脚本中的语法错误、变量使用、函数定义、文件操作等方面的问题,并提供详细的错误信息和建议。使用Shell检查脚本可以提高脚本的质量和可维护性,减少错误和故障的发生。 ### 回答2: Linux系统中有一种特殊的脚本称为shell脚本,它可以用来进行一些自动化的检查和处理操作。通过shell脚本,我们可以灵活地进行各种检查任务,节约时间和人力成本。 首先,在创建shell脚本之前,我们需要确定要进行的具体检查任务。可以是检查系统的硬件配置、软件版本、服务状态、文件和目录权限等。然后,我们可以利用shell脚本语言来编写具体的检查脚本。 在Shell脚本中,我们可以使用各种命令和工具来完成检查任务。例如,可以使用grep命令来搜索特定的关键词,使用awk命令来解析文本数据,使用find命令来查找文件和目录等。通过这些命令和工具的组合和使用,我们可以灵活地进行各种检查操作。 此外,我们还可以使用条件语句和循环语句来实现更复杂的检查逻辑。例如,我们可以使用if语句来判断某个条件是否满足,根据不同的情况执行不同的命令。我们还可以使用for循环来遍历某个范围内的数据,执行相同的检查任务。 最后,在运行shell检查脚本之前,我们需要给予执行权限。可以使用chmod命令来修改脚本文件的权限,使其可以执行。然后,我们可以使用./命令来运行脚本。 总之,Linux系统中的shell脚本可以用于进行各种检查任务,通过灵活使用各种命令和工具,结合条件语句和循环语句,可以实现复杂的检查逻辑。这样,我们可以方便地进行系统检查,提高效率和准确性。 ### 回答3: Linux系统中的shell检查脚本是一段用于自动化执行任务和检查系统状态的代码。它可以通过命令行或者定时任务的方式运行,以达到自动监控和报告系统运行情况的目的。 shell检查脚本可以包含各种命令和逻辑判断,用于检查系统的各种指标和状态。比如,可以通过检查磁盘空间占用率、进程运行状态、网络连接情况等来监控系统的健康度。当某个指标或状态达到预设的阈值时,脚本可以发出警报、记录日志或者采取其他预定的操作,以提醒系统管理员或采取相应的处理措施。 shell检查脚本的编写需要掌握相应的shell脚本语法和命令。可以使用if语句、for循环、while循环等控制结构来实现各种判断和循环操作。同时,还可以使用一些命令行工具如grep、awk、sed等来处理和过滤命令的输出。 一个好的shell检查脚本应该具备以下特点:简洁明了的逻辑结构、充分的错误处理机制、适当的日志输出和报警机制、良好的可读性和可维护性等。此外,还可以使用一些第三方工具或库来增强脚本的功能和易用性,如nagios、zabbix等监控系统。 总之,shell检查脚本在Linux系统中具有重要的作用,通过自动化的方式检查系统状态和运行情况,可以提高系统的可靠性和可维护性,减少系统管理员的工作压力,并及时发现和解决系统问题,保障系统的稳定运行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值