Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1011906
  • 博文数量: 135
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 1785
  • 用 户 组: 普通用户
  • 注册时间: 2016-12-21 22:26
个人简介

90后空巢老码农

文章分类

全部博文(135)

文章存档

2020年(33)

2019年(54)

2018年(47)

2017年(1)

我的朋友

分类: LINUX

2020-02-04 12:00:51

每个进程都有一套用数字表示的用户ID(UID)和组ID(GID)。有时,也将这些ID诚挚为进程凭证

实际用户id和实际组id
实际用户id和实际组id确定了进程所属的用户和组。作为登录过程的步骤之一,登录shell从/etc/passwd文件中读取相应用户密码记录的第三字段和第四字段,设置为实际用户id和实际组id。当创建进程时,将从其父进程中继承这些ID

有效用户ID和有效组ID
  在大多数UNIX实现中,当进程尝试执行各种操作时,将结合有效用户ID、有效组ID、连通辅助组ID一起来确定授予进程的权限。有效用户ID为0的进程拥有超集用户的所有权限。通常有效用户id以及有效组id与其实际的ID相等,但是有两种方法能够使得二者不同。其一是之后要说明的系统调用,其二是执行set-user-id和set-group-ID程序

set-user-ID和set-group-ID程序

set-user-ID程序会将进程的有效用户id设置为可执行文件的用户id(属主),从而获得常规情况下并不具有的权限。set-group-ID程序对进程有效组id实现类似任务


保存set-user-ID和保存set-group-ID
  设计保存set-user-ID和保存set-group-ID,意在与set-user-ID和set-group-ID程序结合使用。当执行程序时,会发生如下事件:
1. 若可执行文件的set-user-ID(set-group-ID)权限已经开启,则将进程的有效用户(组)id置为可执行文件的属主,若未设置set-user-ID(set-group-ID)权限位,则进程的有效用户(组)ID将保持不变
2. 保存set-user-ID和保存set-group-ID的值由对应的有效id复制而来。无论正在执行的文件是否设置了set-user-ID或set-group-ID权限位,这一复制都将进行。

有不少系统调用,允许将set-user-ID程序的有效用户id在实际用户id和保存set-user-ID之间切换


文件系统用户id和组id

在linux系统中,如果要进行诸如打开文件、改变文件属主、修改文件权限之类的文件系统操作时,决定其操作权限的是文件系统用户id和组id(结合辅助组ID),而非有效用户id和组ID
通常,文件系统用户id和组id的值等同于相应的有效用户id和组id。此外,只要有效用户或组id发生了变化,无论是通过系统调用韩式通过执行set-user-ID或者set-group-ID程序,则相应的文件系统id也将随之改变为同一值。只有当使用linux特有的两个系统调用(setfsuid()和setfsgid())时,才能刻意制造出文件系统id与相应有效id的不同


辅助组ID
辅助组id用于标识进程所属的若干附加的组,新进程从其父进程处继承这些id,登录shell从系统组文件中获取其辅助组的组id。这些id与有效id以及文件系统id相结合,就能决定对文件、system V IPC对象和其他系统资源的访问权

获取和修改进程凭证的相关系统调用如下:

点击(此处)折叠或打开

  1. #include <unistd.h>
  2. uid_t getuid(void);
  3. /*returns real user ID of calling process*/
  4. uid_t geteuid(void);
  5. /*returns effective user ID of calling process*/
  6. uid_t getgid(void);
  7. /*returns real group ID of calling process*/
  8. uid_t getegid(void);
  9. /*returns effective group ID of calling process*/
  10. int setuid(uid_t uid);
  11. /*returns 0 on success, or -1 on error*/
  12. int setgid(gid_t gid);
  13. /*returns 0 on success, or -1 on error*/
当进程使用setuid()和setgid()系统调用规则如下:
1. 当非特权进程调用setuid(),仅能修改进程的有效用户id,而且仅能将有效用户id修改成相应的实际用户id或保存set-user-ID
2. 当特权进程一亿个非0参数调用setuid()时,实际用户id、有效用户id、保存set-user-ID均被置为uid指定的值。这一操作是单向的。


点击(此处)折叠或打开

  1. #include <unistd.h>
  2. int seteuid(uid_t euid);
  3. int setegid(gid_t egid);
  4. /*both return 0 on success, or -1 on error*/
进程使用上述两个函数修改有效id时,会遵循以下规则:
1. 非特权级进程仅能将其有效id修改为相应的实际id或者保存set-xxx-ID
2. 特权级进程能够将其有效id修改为人一直。若修改为非0,那么此进程不再具有特权,可以改回来



点击(此处)折叠或打开

  1. #include <unistd.h>
  2. int setreuid(uid_t ruid, uid_t euid);
  3. int setregid(gid_t rgid, gid_t egid);
  4. /*both return 0 on success, or -1 on error,若只想修改一个,另一个设置为-1 即可*/
上述两个系统调用在使用时,遵循规则如下:
1. 非特权进程只能将其实际用户id设置为当前实际用户id或有效用户id,且只能将有效用户id设置为当前实际用户id、有效用户id、或保存set-user-ID
2. 特权级进程能够设置其实际用户id和有效用户id为任意值
3. 不管进程拥有特权与否,只要如下条件之一成立,就能将保存set-user-ID设置成新的有效用户id
     ruid不为-1
     对有效用户id所设置的值不同于系统调用之前的实际用户id



点击(此处)折叠或打开

  1. #define _GNU_SOURCE
  2. #include <unistd.h>
  3. int getresuid(uid_t *ruid, uid_t *euid, uid_t *suid);
  4. int getresgid(gid_t *rgid, gid_t *egid, gid_t *sgid);
  5. /*both return 0 on success, or -1 on error*/

  6. #define _GNU_SOURCE
  7. #include <unistd.h>
  8. int setresuid(uid_t ruid, uid_t euid, uid_t suid);
  9. int setresgid(gid_t rgid, gid_t egid, gid_t sgid);
  10. /*both return 0 on success, or -1 on error*/
若不想同时修改这些id,只需要将无意修改的id参数指定为-1即可。遵循规则如下:
1. 非特权进程只能够将实际用户id、有效用户id、保存id中的任意id设置为实际用户id、有效用户id或保存id之中的任一当前值
2. 特权级进程能够对其实际用户id、有效用户id和保存id做任意设置
3. 不管系统调用是否对其他id做了任何改动,总是将文件系统用户id设置为与有效用户id相同


阅读(80) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~