文件打开时内核权限检查流程

最新推荐文章于 2023-02-11 09:16:34 发布
最新推荐文章于 2023-02-11 09:16:34 发布
阅读量845 收藏
点赞数
分类专栏: linux kernel
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wyt357359/article/details/97965723
版权
本文详细介绍了在Linux内核4.15版本中,文件打开时的权限检查流程,涉及到DAC自主访问控制、do_sys_open、inode_permission及acl_permission_check等关键步骤。在DAC检查中,会根据文件所有者的uid、gid与当前进程的身份进行对比,决定是否允许访问,并可能涉及CAP_DAC_*能力的检查。同时,用户组信息可通过setgroups系统调用来设置。
摘要由CSDN通过智能技术生成

内核版本(4.15)

DAC:  Discretionary access control   自主访问控制 .  
DAC是传统的Linux的访问控制方式,DAC可以对文件、文件夹、共享资源等进行访问控制。 在DAC这种模型中,文件客体的所有者(或者管理员)负责管理访问控制。DAC使用了ACL(Access Control List,访问控制列表)来给非管理者用户提供不同的权限,而root用户对文件系统有完全自由的控制权。

do_sys_open
        do_filp_open
                get_empty_filp 
                        const struct cred *cred = current_cred();
                        f->f_cred = get_cred(cred);   // 当前进程的 cred赋值给打开的文件句柄
                path_openat
                        link_path_walk
                                may_lookup
                                        inode_permission
                                                __inode_permission
                                                        do_inode_permission
                                                                generic_permission
     

最低0.47元/天 解锁文章
wyt357359
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux下测试权限,linux 文件权限
weixin_35367645的博客
05-02 241
在上面的章节中,我们知道了文件权限可以用三个八进制数字表示。其实文件权限应该用四个八进制来表示,不过用 ls -l 命令,只显示三个罢了。那个没有显示的八进制数字其实是第一个,它用来设定一些特殊权限。这个八进制数字的三个位是:SUID SGID sticky-bit它们的含义是:SUID当设置了SUID位的文件被执行,该文件将以所有者的身份运行,也就是说无论谁来执行这个文件,他都有文件所有...
记selinux的权限问题
weixin_33736649的博客
01-20 173
Nginx提示403 尝试用chmod,chown设置各种权限无果 尝试暂关闭selinux后访问正常 setenforce 0 问题确定是selinux造成的 在不想关闭selinux的情况下处理权限问题 首先查看一下selinux中的目录权限 ls -Z /data/webroot/ drwxr-xr-x. apache apache ...
linux进程访问文件的存取许可权限
杰瑞不打瞌睡的博客
11-16 1020
若进程的有效用户ID是0(root),则允许存取; 若进程的有效用户ID等于文件的所有者ID(即该进程拥有文件) -若所有者存取许可权被设置,则允许存取 -否则拒绝存取 若进程的有效组ID或进程的添加组ID之一等于文件组ID: -若组存取许可权被设置,则允许存取 -否则拒绝存取 若其他用户存取许可权被设置,则允许存取,否则拒绝存取 内核按顺序执行上述4步测试。若进程拥有此文...
linux内核文件系统权限,linux权限文件系统安全
weixin_28757113的博客
04-29 171
linux权限文件系统安全权限文件系统安全1,“ls -l”命令输出结果中各字段含义:(1),文件类型,第1位(“-”普通文件、“d”目录文件、“l”符号链接文件、“b”快设备文件、“c”字符设备文件、“p”管道文件、“s”socket文件)(2),权限,第2至10位(9个字母分成3组,3个一组,分别代表“属主权限”、“属组权限”、“其他权限”,“-”表示没有权限)(3),i-node,硬连接...
linux权限检查机制
whuzm08的专栏
11-28 2037
1.文件权限  static inline int do_inode_permission(struct vfsmount *mnt, struct inode *inode, int mask)   {       if (unlikely(!(inode->i_opflags & IOP_FASTPERM))) {           if (likely(mnt &...
win2003系统内核源代码
11-09
6. **文件系统管理**:内核源代码还涉及NTFS(New Technology File System)和其他可能的文件系统的实现,包括文件的创建、打开、读写、删除等操作,以及文件元数据的管理。 7. **系统调用(System Call)**:...
利用汇编开发文件过滤驱动程序.sys驱动开发
01-28
当用户或应用程序尝试访问文件文件过滤驱动有机会在实际操作发生之前对其进行拦截,从而实现对文件访问的控制,如权限检查、日志记录、数据加密等。 汇编语言是驱动开发中的重要工具,尽管现代编程更多依赖于...
file_system_filter_driver_introduce.rar_filter driver_文件过滤_文件过滤驱
09-20
它通过注册回调函数与系统内核交互,当特定事件发生,这些回调函数会被调用,使得开发者有机会介入文件操作流程。 1. **驱动注册**:首先,开发人员需要编写一个驱动初始化函数,该函数在驱动加载被调用。在这...
权限操作系统
07-11
源码会展示如何在创建、删除、移动文件实施权限检查,以及如何实现文件的所有权和继承权限。 4. **进程间通信控制**:权限系统也会影响进程间的通信。例如,一个进程可能需要权限才能打开另一个进程的套接字或...
Android 11 system_server 读写 Sdcard
最新发布
a546036242的博客
02-11 2435
2.第二种方式:修改frameworks/base/core/java/com/android/internal/os/ZygoteInit.java。由于Android 11之前的版本只需要按照常规配置后,system_server就可以正常读写sdcard。1.第一种方式:暴力修改:(实际项目不可取)kernel/fs/namei.c 最终输出。备注:对于在init.rc文件启动的hal层相关服务按如下配置即可。
linux内核open过程的权限管理
eleven_xiy的博客
04-17 8771
【摘要】 【正文一:文件管理】 【常见情况分析】 【正文二:目录管理】 【总结】 注意:请使用谷歌浏览器阅读(IE浏览器排版混乱) 【摘要】 本文以实例介绍linux系统对文件权限的管理.linux kernel对文件权限检查、关键处理和难点,都发生在打开文件.至于读写文件,检查方法非常简单,都是基于打开文件设置的一些权限标志位,所以本文只针对打开文件做介绍. ...
linux有关uid权限的使用
new_abc的专栏
10-14 4657
Linuxs中与uid相关的命令或者函数主要是setuid和chown,chown用来改变一个文件的所属,setuid用来改变当前的有效uid,这样以后当我们调用open等函数打开或者读写文件是,就可以进行相应的权限判断了。 首先看下chown Chown命令也是busybox实现的,他会把用户名替换成相应的uid,最终调用chown 稍微看下chown跟uid相关的实现 可以
ACL权限处理
JavaMan_chen的专栏
11-01 5117
ACL的全称是Access Control List,翻译成中文是访问控制列表,一般用来描述某一权限下的用户授权情况 将权限信息封装成字节数组,通过位运算来处理授权和权限校验的业务逻辑,代码示例如下: public class PrivilegeService { /** * 权限字节数组 * 一个byte等于8bit,一个bit表示一个user的权限(0表示无权限,1表示有权限
内核态下的设备文件操作(filp_open)
张亮校的专栏
06-05 3555
转载地址:http://blog.chinaunix.net/uid-22237530-id-1781801.html Linux驱动编程书籍大多数都是介绍怎样用户态下怎么访问硬件设备,由于项目的需要,本人做了内核态下访问设备文件的方法,现在把程序拿出来和大家分享一下,希望对刚入门的朋友有所帮助。 在我的《内核模块调用驱动》中给出了简单的字符设备文件程序,可以作为本文的驱动对象,在此,我就不多
权限管理之基于ACL的实现:讲解授权、认证、获得用户权限过程
445822357
08-20 398
权限管理模块的实现,需要多个用例:管理模块信息、管理用户信息、管理角色信息、给用户分配角色、给角色授权、给用户授权、获取用户授权列表、判断用户对某个模块的某操作是否允许授权 其中比较重要的是:授权、认证、获得用户拥有的所有授权。下面一一介绍: 授权过程 就是把系统现有模块授权给用户或角色 授权与取消授权的实现代码: public void setPermission(int pe...
linux内核提权,Linux 内核提权 CVE-2018-13405 分析
weixin_39534873的博客
04-29 329
author:OK5y@GearTeam漏洞简介Linux 内核在具有 setgid 权限的目录中创建文件处理不当,导致可以创建具有 setgid 权限的空文件,随后通过巧妙利用系统调用可以随意更改文件内容,从而构造出具有 setgid 权限的可执行文件,实现越权。背景知识linux 下文件权限的设定对象可以分为 3 类:属主(owner)、属组(group)、其他人(other)。对于每一个对...
linux 对象管理器,Linux多安全策略和动态安全策略框架模块详细分析之函数实现机制中文件对象管理器分析(3)...
weixin_36327991的博客
05-12 469
3.决策的实施当主体对客体进行访问,客体管理器会收集主体和客体的SID,并根据此SID对在AVC中进行查找:如果找到,则根据相应的安全决策进行处理;反之客体管理器会将主体的SID、客体的SID以及客体的类型传递给安全服务器,安全服务器会根据这些数据及相应的安全策略来计算访问向量,并将计算结果返回给客体管理器,同将该结果存放到AVC。本节主要以文件系统为例说明文件访问决策的检索过程,文件操作分...
Linux学习笔记(一) 文件权限与inode
chenxiaoquan1984的博客
12-01 556
原文来自我的个人博客 twodam.net 文件权限 文件权限描述符 drwxrwxr-x 2 lucky lucky 4096 Apr 15 15:48 ./ drwxr-xr-x 5 lucky lucky 4096 Apr 14 13:24 ../ -rw-rw-r-- 1 lucky ...
Linux内核模块设计:利用Hook技术实现文件访问权限监控
在这个阶段,学生将学习如何使用hook技术(一种动态插入代码的技术)来监控特定路径的文件夹,比如通过拦截文件打开或读取操作,实施访问控制策略。这可能涉及到注册钩子函数、检查文件权限、执行自定义验证逻辑,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值