新建进程的权限(及能力集)设置流程

最新推荐文章于 2024-06-01 07:33:53 发布
最新推荐文章于 2024-06-01 07:33:53 发布
阅读量784 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wyt357359/article/details/97968799
版权
在Linux内核4.15版本中,创建新进程涉及fork和execve过程。fork过程中,通过`copy_creds`和`prepare_creds`复制权限信息。execve过程中,`prepare_binprm`和`security_bprm_set_creds`调整权限,如设置euid和egid,并从文件获取能力集。最终在`commit_creds`中,新权限和能力集生效。
摘要由CSDN通过智能技术生成

 内核版本(4.15) 
 运行一个可执行程序,一般分为两步, fork 和  execve 过程,内核中涉及的权限设置如下:
 1.  fork 过程
        SYSCALL_DEFINE0(fork)
                _do_fork
                        copy_process
                                copy_creds
                                        new = prepare_creds();
                                        p->cred = p->real_cred = get_cred(new);
        在 prepare_creds 里,会得到当前进程的 cred, 然后将其内容赋值给新的 cred, 该新的cred为新的进程所用。
        在 struct cred  中,包含了各种ID:  uid,gid,  suid,  sgid , euid, egid, fsuid, fsgid 以及能力集 cap_inheritable, cap_permitted, cap_effective, cap_bset, cap_ambient,还有group的信息 group_info。 这些信息标志着进程的权限。

2.  execve 过程 (文件的 set-user-ID  和 set-group-ID 使用)
(1)当一个进程执行某个文件时,会调用到  
        do_execve 
               

最低0.47元/天 解锁文章
wyt357359
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
python设置进程优先级_Python多任务编程,进程的创建,CPU时间片,PCB(进程控制块),进程的状态,进程优先级/特征【Python笔记】...
weixin_39575850的博客
12-13 1226
多任务编程意义:充分利用计算机的资源提高程序的运行效率定义:通过应用程序利用计算机的多个核心达到同时执行多个任务的目的,一次提高计算机运行效率实施方案:多进程 多线程并行:多个计算机核心在同时处理多个任务,这时多个任务间是并行关系。并发:同时处理多个任务,内核在多个任务间不断的切换,达到好像都在处理运行的效果。但实际一个时间点内核只能处理其中一个任务。程序:是一个可执行的文件,是静态的占有磁盘...
OA系统之流程权限设计
weixin_33853827的博客
04-01 299
众所周知,一个OA系统的流程权限设置,是考核这个系统设计是否严谨的绝对条件,试想一下,如果贵单位用了一套可以随意配置流程,按照自己想法来设计人员工作权限的OA系统,每天上班我们只要一打开电脑就可以知道自己该干什么,那该是一件多么轻松的事情,不必再过多考虑这件事情是否需要老板过目,那件事情那又需要老板审批。如果说这是理想的工作方式,那流程权限控制就是实现这一理想的第一条件。 ...
权限管理之大致流程
dichengpai8268的博客
12-05 610
原理:1、简单管理2、角色多管理(就要设置权限)   a. 登录     - session中放置用户信息(检测是否已经登录)     - session中放置权限信息(检测是否有权访问)     {       "/index.html":[get,delete,select ,update],       "/order.html":[get,delete,sel...
Linux 安全 - SUID机制
最新发布
Innocence_0的博客
06-01 883
最初 UNIX 为文件分配了九个允许位,对应三类用户(同主、同组、其他),三种操作(读、写、执行)。后来,UNIX 又增加了三个允许位:set-user-bit(又称 set-user-id 或 setuid)、set-group-bit(又称 set-group-id 或 setgid)、set-other-bit(又称 sticky bit)。看起来似乎是为文件新增加了一种set 操作,但实际上不是这样,这三个允许位与操作许可无关。先说setuid。
Docker&Kubernetes ❀ Docker Capabilities 容器进程能力权限与执行文件能力权限设置
无糖可乐没有灵魂
02-09 2311
文章目录1、权限设置1.1 进程能力1.2 执行文件能力2、实现机制3、案例演示4、Compose使用案例 1、权限设置 Docker Capabilities 容器权限:主要在于分割root用户的特权,即将root的特权分割成不同的能力,每种能力代表一定的特权操作; 例如:CAP_SYS_MODULE 表示用户能够加载(或卸载)内核模块的特权操作,而CAP_SETUID表示用户能够修改进程用户身份的特权操作,在Capbilities中系统将根据进程拥有的能力来进行特权操作的访问控制; 在容器权限中,
linux 查看进程状态
嵌入式系统开发
03-28 4378
cat /proc/{PID}/statuswujun@wj-vBox:~$ cat /proc/18806/statusName: codeblocks                     /*进程的程序名*/State: S (sleeping)                   /*进程的状态信息,具体参见Tgid: 18806                          /*线...
Linux 安全 - 内核提权
小立仔
10-07 861
Linux 安全 - 内核提权简介以及demo
linux设置用户gpu权限_玩转 GPU 实例 – 我的 Linux 工具箱之二 – 基础设置
weixin_39629989的博客
12-20 774
前言如果读过这个系列第一篇的朋友应该已经理解了如何简单快速的建立起来我们需要的GPU实例。我们应该已经可以通过ssh ubuntu@xxx.xxx.xxx.xxx 这样的方式连接到实例。 按照通常的习惯就要对我们新建的实例进行必要的设置,来满足我们使用上的需要。在AWS的官方文档“Amazon EC2用户指南”中已经包含了许多关于设置EC2实例的内容。不过考虑到目前EC2 实例的类别已经超过275...
sap 新建事务_SAP基础和操作流程
weixin_39978696的博客
12-20 404
1.1. IMGImplementation Guide(IMG)是SAP系统的配置工具,它可按你公司的要求配置SAP系统以适合你公司的要求。有三种类型的IMG,分别是:SAP Reference IMG,可在这里配置SAP系统的所有功能。Project IMGs,它基于Rrference IMG,可为某个项目进行单独配置,比如我们可建立一个FI的Project IMGs,方便配置。Project...
Android O: init进程启动流程分析(阶段一)
ZhangJian的博客
02-08 3105
本篇博客主要记录一下Android 8.0中的init流程
linux内核编程----提权creds
Pintitus的博客
05-08 616
一、序言       阅读驱动代码的时候,看到了关于creds方面的函数,但是不知道是做什么的,经过了解,原来是用于给进程/线程提权的。       在创建线程成功以后,需要给线程访问的权限,比如普通用户,也可以是超级用户root。 二、API函数       详见内核驱动中的,多的不说,主要是如下两个函数的应用。 #includ
Linux安全模块(LSM)学习——简单的LSM demo(2)
qq_44109982的博客
11-23 1737
一. 实验目的 在初步熟悉LSM的基础上,仿照SMACK的编码风格,复现Pindown模块(https://github.com/node3/Linux-Security-Module)。 二. 实验环境 本博客用到的linux内核版本为4.19.163,若版本不同则需要对代码进行部分修改。 三. 实验原理和工作流程 实验原理: 该实验将二进制文件的路径与被保护文件的路径相关联。 二进制文件的路径被存储在被保护文件inode的扩展属性xattr中,当一个进程尝试访问文件时,在调用exec()时,会加载已存储
Linux内核之进程和线程的创建和派生
嵌入式Linux内核的博客
03-22 827
在前文中,我们分析了内核中进程和线程的统一结构体task_struct,本文将继续分析进程、线程的创建和派生的过程。首先介绍如何将一个程序编辑为执行文件最后成为进程执行,然后会介绍线程的执行,最后会分析如何通过已有的进程、线程实现多进程、多线程。因为进程和线程有诸多相似之处,也有一些不同之处,因此本文会对比进程和线程来加深理解和记忆。本文十分之长,因为内容极多,源码复杂,本来想拆分为两篇文章,但是又因为过于紧密的联系因此合在了一起。
39.Linux/Unix 系统编程手册(下) -- 能力
enlyhua的专栏
10-06 201
Linux 能力模型,它将传统的 all-or-nothing UNIX 权限模型划分成一个个能单独启用或者禁用的能力。 使用能力允许程序在执行一些特权操作的同时防止它们执行其他未经允许的操作. 1.能力基本原理 Linux 能力模型优化了对这个问题的处理方式,即在内核中执行安全性检测时不再使用单个权限(即有效用户ID为0), 超级用户权限被划分为了不同的单元,这个单元称为能力。每个特...
linux系统如何启用安全内核,安全 - Linux 内核引导选项简介
weixin_34268604的博客
04-30 904
no_file_caps要求内核无视文件的权限。这样,执行文件的唯一途径就只有:由root去执行或者setuid rootnoexec={on|off}noexec32={on|off}是否允许将某部分内存映射为”禁止执行”,这是一种防止数据缓冲区溢出攻击的保护措施(也就是WinXP SP2曾经大力宣传的数据执行保护功能),建议保持默认值”on”。[说明]noexec对32bit代码以及64bit...
binary进程的selinux domain初始化过程(初稿,待整理)
weixin_34216107的博客
03-20 353
虽然在各种context文件中声明了每个subject对应的domain,可是这个domain是如何与一个进程关联的呢?把一个domain与一个进程关联分为两种:1)fork出来进程以后,然后通过传递参数的方式动态的修改新进程的domain;2)通过exec某个binary启动进程,该新启动进程的domain是由其对应的binary object的context决定。但是无论是哪种启动方式,最终的...
linux程序启动过程
faxiang1230的专栏
01-29 934
翻译自:https://lwn.net/Articles/630727/ 这个系列有两篇文章,第一篇主要描述当一个用户程序调用execve()系统调用的的时候发生了了什么,内核是怎么运行起来的,更加generic一些,里面会覆盖不同的可执行文件格式;而第二篇主要描述ELF格式可执行程序运行的过程,更加聚焦一些。 作者最近准备增加一个新的系统调用execveat(3.19版内核已经合并到main...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值