2. 程式人生 > >Linux 使用者身份與程序許可權

Linux 使用者身份與程序許可權

阿新 發佈:2018-12-12

在學習 Linux 系統許可權相關的主題時,我們首先關注的基本都是檔案的 ugo 許可權。ugo 許可權資訊是檔案的屬性,它指明瞭使用者與檔案之間的關係。但是真正操作檔案的卻是程序,也就是說使用者所擁有的檔案訪問許可權是通過程序來體現的。本文主要介紹程序的許可權,並通過示例解釋使用者身份與程序許可權之間的關係。說明:本文的演示環境為 ubuntu 16.04。

基本概念

使用者
對於支援多工的 Linux 系統來說,使用者就是獲取資源的憑證。

許可權
許可權用來控制使用者對計算機資源(CPU、記憶體、檔案等)的訪問,一般會分為認證和授權兩步。比如使用者先經過認證機制(authentication)登入系統,然後由授權系統(authorization)對使用者的操作進行授權。

程序
程序是任何支援多道程式設計的作業系統中的基本概念。通常把程序定義為程式執行時的一個例項。因此,如果有 10 個使用者同時執行 vi,就會有 10 個獨立的程序(儘管它們共享同一份可執行程式碼)。
實際上,是程序在幫助我們完成各種任務。程序就是使用者訪問計算機資源的代理,使用者執行的操作其實是帶有使用者身份資訊的程序執行的操作。

程序許可權
既然是程序在為使用者執行具體的操作,那麼當用戶要訪問系統的資源時就必須給程序賦予許可權。也就是說程序必須攜帶發起這個程序的使用者的身份資訊才能夠進行合法的操作。

從登陸過程觀察程序攜帶的使用者身份資訊

在 Linux 系統啟動後,init 系統會 fork 出子程序執行 /sbin/getty 程式等待使用者登入。當用戶進行登入操作時,該子程序通過 exec 函式開始執行 /bin/login 程式(此時該程序已經變成了 login 程序)。由 login 程序驗證我們的使用者名稱和密碼並查詢 /etc/passwd 和 /etc/shadow 確定其合法性。如果是合法的使用者,該程序再次通過 exec 函式執行使用者的預設 shell 程式,此時的 login 程序就變成了 shell 程序(筆者機器上是 bash 程序)。並且該 shell 程序的有效身份被設定成為該使用者的身份,之後 fork 此 shell 程序的子程序都會繼承該有效身份。

我們可以通過下圖來理解使用者從 tty 登入系統的過程(此圖來自網際網路):

上圖描述了 init 程序、getty 程序、login 程序和 shell 程序的互動。
簡單點說就是:使用者登入後, shell 程序的有效使用者就是該使用者。下面我們來了解下程序的使用者資訊。

程序的 real user id、effective user id 和 saved set user id

通過 cat /proc/<PID>status 命令,我們可以檢視到程序所屬的使用者和組相關的資訊:

通過 man proc 可以查詢到第一行的四個數字分別是 real user id, effective user id, saved set user id 和 filesystem UID,第二行則是對應的組 ID。這裡我們只介紹第一行中的前三個 ID,即  real user id, effective user id 和 saved set user id。

real user id
real user id 是執行程序者的 user id,一般情況下就是使用者登入時的 user id。子程序的 real user id 從父進繼承。通常這個是不更改的,也不需要更改。比如我以使用者 nick 登入 Linux 系統,我接下來執行的所有命令的程序的 real user id 都是 nick 的 user id。

effective user id
如果要判斷一個程序是否對某個檔案有操作許可權,驗證的是程序的 effective user id,而不是 real user id。
通常我們是不建議直接使用 root 使用者進行操作的,但是在很多情況下,程式可能需要特殊的許可權。比如 passwd 程式需要 root 許可權才能夠為普通使用者修改密碼,一些 services 程式的操作也經常需要特殊的許可權。為此,Linux 中設計了一些特殊的許可權,請參考《Linux 特殊許可權 SUID,SGID,SBIT》一文。這裡我們以 passwd 程式為例,為二進位制可執行檔案 /usr/bin/passwd 設定  set-user-id bit=ON,這個可執行檔案被用 exec 啟動之後的程序的 effective user id 就是這個可執行檔案的 owner id,而並非父程序的 real user id。如果 set-user-id bit=OFF 的時候,這個被 exec 起來的程序的 effective user id 應該是等於程序的 user id 的。所以,effective user id 存在的意義在於,它可能和 real user id 不同。

saved set user id
saved set user id 相當於是一個 buffer,在 exec 函式啟動之後,它會拷貝 effective user id 位的資訊覆蓋自己。對於非 root 使用者來說,可以在未來使用 setuid() 函式將 effective user id 設定成為 real user id 或 saved set user id 中的任何一個。但是不允許非 root 使用者用 setuid() 函式把 effective user id 設定成為任何第三個 user id。
對於 root 使用者來說,呼叫 setuid() 的時候,將會設定所有的這三個 user id。

從總體上來看,程序中 real user id, effective user id 和 saved set user id 的設計是為了讓 unprivilege user 可以獲得兩種不同的許可權。同時我們也可以得出下面的結論:
Linux 系統通過程序的有效使用者 ID(effective user id) 和有效使用者組 ID(effective group id) 來決定程序對系統資源的訪問許可權。

其實我們通過 ps aux 檢視的結果中,第一列顯示的就是程序的 effective user:

Shell 中外部命令的執行方式

在 shell 中執行的命令分為內部命令和外部命令兩種。

  • 內部命令:內建的,相當於 shell 的子函式
  • 外部命令:在檔案系統的某個路徑下的一個可執行檔案

外部命令的執行過程如下:

  1. Shell 通過 fork() 函式建立一個新的子程序,新的子程序為當前 shell 程序的一個副本。
  2. 在新的程序裡,從 PATH 變數所列出的目錄中尋找指定的命令程式。當命令名稱包含有斜槓(/)符號時,將略過路徑查詢步驟。
  3. 在新的程序裡,通過 exec 系列函式,以所找到的新程式替換 shell 程式並執行。
  4. 子程序退出後,最初的 shell 會接著從終端讀取並執行下一條命令。

我們通過下面的例子來理解在 shell 中執行外部命令的過程,例子很簡單就是通過 cat 命令檢視一個文字檔案 test.log:

$ cat test.log

我們先來檢查一下當前使用者以及相關檔案的許可權:

當前使用者 nick 的 real user id 為 1000,/bin/cat 檔案的所有者為 root,但是所有人都有執行許可權,test.log 檔案的所有者為 nick。我們結合下圖來介紹 cat test.log 命令的執行過程:

當我們在 shell 中執行一個外部程式的時候,預設情況下程序的 effective user ID 等於 real user ID,程序的 effective group ID 等於 real group ID(接下來的介紹中省略 group ID)。當我們以使用者 nick 登入系統,並在 bash 中鍵入 cat test.log 命令並回車後。Bash 先通過 fork() 建立一個新的子程序,這個新的子程序是當前 bash 程序的一個副本。新的程序在 PATH 變數指定的路徑中搜索 cat 程式,找到 /bin/cat 程式後檢查其許可權。/bin/cat 程式的所有者為 root,但是其他人具有讀和執行的許可權,所以新程序可以通過 exec 函式用 cat 程式的程式碼段替換當前程序中的程式碼段(把 /bin/cat 程式載入到了記憶體中,此時的程序已經變成了 cat 程序,cat 程序會從 _start 函式開始執行)。由於 cat 程序是由使用者 nick 啟動的,所以 cat 程序的 effective user ID 是 1000(nick)。同時 cat 程序的 effective user ID 和 test.log 檔案的 owner ID 相同(都是 1000),所以 cat 程序擁有對此檔案的 rw- 許可權,那麼順理成章地就可以讀寫 test.log 檔案的內容了。

下面我們演示一個通過設定特殊許可權 set uid ID 改變程序 effective user ID 的例子。
建立檔案 root.log,許可權為 640,此時只有 root 有許可權讀寫該檔案的內容,使用者 nick 連讀取該檔案的許可權都沒有:

然後通過設定特殊許可權 set uid ID 讓執行 cat 程式的程序具有 root 許可權:

$ sudo chmod 4755 /bin/cat

現在可以了!因為執行 cat 程式的程序的 effective user ID 變成了 root。記得要把 /bin/cat 的許可權改回去呀:

$ sudo chmod 755 /bin/cat

Shell 指令碼的執行方式

在 shell 中執行指令碼的方式和執行外部命令的方式差不多,比如我們要執行下面的指令碼:

$ /bin/bash ./test.sh

這時同樣會 fork 出一個子程序。只不過指令碼與程式相比沒有程式碼段,也沒有 _start 函式,此時 exec 函式就會執行另外一套機制。比如我們在 test.sh 檔案的第一行通過 #!/bin/bash 指定了一個直譯器,那麼直譯器程式的程式碼段會用來替換當前程序的程式碼段,並且從直譯器的 _start 函式開始執行,而這個文字檔案被當作命令列引數傳給直譯器。所以上面的命令執行過程為:Bash 程序 fork/exec 一個子 bash 程序用於執行指令碼,子 bash 程序繼承父程序的環境變數、使用者資訊等內容,父程序等待子 bash 程序終止。

總結

檔案上的許可權資訊和使用者的資訊都是靜態的,而程序是動態的,它把自身攜帶的使用者資訊和將要進行的操作結合起來,從而實現許可權管理。至此我們也基本上搞明白了 Linux 許可權系統的工作原理。

相關推薦

Linux 使用者身份程序許可權

在學習 Linux 系統許可權相關的主題時,我們首先關注的基本都是檔案的 ugo 許可權。ugo 許可權資訊是檔案的屬性,它指明瞭使用者與檔案之間的關係。但是真正操作檔案的卻是程序,也就是說使用者所擁有的檔案訪問許可權是通過程序來體現的。本文主要介紹程序的許可權,並通過示例解釋使用者身份與程序許可權之間的關係

linux 使用者身份檔案許可權

第五章 使用者身份與檔案許可權 最近在看《linux就該這麼學》,來做下筆記,增強印象吧,以後也方便自己看。 使用者身份與能力  root(UID為0的使用者)為超級使用者,能夠管理系統各項功能。 UID (user identification):每個使用者都有

linux使用者身份檔案許可權

一、使用者身份與能力 root使用者擁有極高的系統所有權,能夠管理系統的各項功能,如新增/刪除使用者,啟動/關閉程序,開啟/禁用硬體裝置等許可權。 使用者UID 其實 root 只是個名字,真正讓它成為“超級使用者”的是 UID值: UID(

linux系統 使用者身份檔案許可權(三)

0.檔案的隱藏屬性     Linux系統中的檔案除了具備一般許可權和特殊許可權之外,還有一種隱藏許可權,即被隱藏起來的許可權,預設情況下不能直接被使用者發覺。有使用者曾經在生產環境和RHEL考試題目中碰到過明明許可權充足但卻無法刪除某個檔案的情況,或者僅能在日誌檔案中追

linux系統 使用者身份檔案許可權(二)

0.檔案的許可權與歸屬     儘管在Linux系統中一切都是檔案,但是每個檔案的型別不盡相同,因此Linux系統使用了不同的字元來加以區分,常見的字元如下所示。  -:普通檔案 d:目錄檔案 l:連結檔案 b:塊裝置檔案 c:字元

linux系統 使用者身份檔案許可權(一)

0.瞭解檔案的所有者、所屬組以及其他人可對檔案進行的讀(r)、寫(w)、執行(x)等操作,以及如何在Linux系統中新增、刪除、修改使用者賬戶資訊。在Linux系統中建立每個使用者時,將自動建立一個與其同名的基本使用者組(私有組),而且這個基本使用者組只有該使用者一個人。如果該使用者以後被歸納入

Linux基本命令34:使用者身份檔案許可權

1 使用者身份與能力 UDI(User IDentification):使用者的身份證號碼(具有唯一性);linux系統管理員之所以是root,並不是因為它的名字為root,而是UID的數值為0。 1、普通使用者的UID預設是從1000開始的。 2、UID不能衝突。

Linux學習筆記5-使用者身份檔案許可權

使用者的身份與能力 UID(User IDentification) : 每個使用者都有對應的UID值,就像我們的身份證號碼 GID(Group IDentification):可將多個使用者加入某個組中,方便指派任務或工作 使用者組名稱與GID儲存在/e

第十三章 Linux 賬號管理 ACL 許可權設定

Linux 的賬號與群組 Linux 是如何辨別每一個使用者的呢? 使用者識別碼 UID 和 GID 每一個檔案都具有【擁有人與擁有群組】的屬性,每個登入的使用者都至少會擁有兩個 ID ,一個是使用者 ID (User ID) 和一個群組 ID (Group ID)。 使用者

Linux 賬號管理 ACL 許可權設定

Linux 的賬號與群組 每個登入Linux的使用者至少都會取得兩個 ID ,一個是使用者 ID (User ID ,簡稱 UID),一個是群組 ID (Group ID ,簡稱 GID)。 使用者賬號 Linux 系統上面的使用者登入主機以取得 shell 的

第5天學習 使用者身份檔案許可權

管理員UID為0:系統的管理員使用者。 useradd命令用於建立新的使用者,格式為“useradd [選項] 使用者名稱” -d 指定使用者的家目錄(預設為/home/username) -e 賬戶的到期時間,格式為YYYY-MM-DD. -u 指定該使用者的

使用htop進行Linux系統資源程序監控

前言: htop是一個系統執行狀態檢視器,可以顯示系統的資源使用情況以及程序狀態。相比於top,htop顯示的資訊更加直觀。 Debian/Ubuntu系統下安裝: sudo apt install htop RedHat/CnetOS系統下安裝: yum instal

第十四章、Linux 賬號管理 ACL 許可權配置

要如何在 Linux 的系統新增一個使用者啊?呵呵~真是太簡單了~我們登陸系統時會輸入 (1)賬號與 (2)口令, 所以建立一個可用的賬號同樣的也需要這兩個資料。那賬號可以使用 useradd 來新建使用者,口令的給予則使用 passwd 這個命令!這兩個命令下達方法如下: us

20.Linux 賬號管理 ACL 許可權設定

Linux 登入大致過程: 1. 先尋找 /etc/passwd 裡面是否有你輸入的賬號,如果沒有跳出;如果有的話將該賬號對應的UID 和 GID(在 /etc/group 中)讀出來,另外,該賬號的主資料夾與 shell 設定也一併讀出。

linux命令--mkdir 檔案許可權

mkdir命令 mkdir命令用來建立目錄。該命令建立由dirname命名的目錄。如果在目錄名的前面沒有加任何路徑名,則在當前目錄下建立由dirname指定的目錄;如果給出了一個已經存在的路徑,將會在該目錄下建立一個指定的目錄。在建立目錄時,應保證新建的目錄與

linux下檔案目錄許可權關係

一,檔案許可權與目錄許可權: 檔案許可權與目錄許可權是不同的。 1,目錄許可權 r:可以查詢該目錄下的檔名。 w:可以在該目錄下刪除、新建檔案、更改檔名。 x:進入該目錄(使該目錄成為工作目錄) 2,檔案許可權 r:顯示該檔案的內容(如:用cat命令) w:可以編輯檔案,修

使用者身份檔案許可權

使用者身份 UID(User Identification):每個使用者都有對應的UID值 超級使用者 UID0:root 使用者預設為0 系統使用者 UID1-999:系統中系統服務由

Linux 學習“Linux賬號管理ACL許可權設定”

每個登入的使用者會獲得至少兩個ID,一個是UID,一個是GID;linux登入步驟,先找尋在/etc/passwd中是否有你的賬號,沒有跳出,有就去/etc/group中將賬號對應的UID與GID讀出,另外將該張海的主資料夾與shell設定一併讀出,接下來核對密碼錶進入/etc/shadow;linux中ro

Linux賬號管理ACL許可權

1、登入shell (1)/etc/passwd ①/etc/passwd檔案內容介紹,其中每一行的內容如下(共7列): 使用者名稱:密碼(都是x):UID:GID:使用者資訊說明:家目錄:使用者登入shell ②UID簡介 0 系統管理員,可以但不建議修改其他使用者的UI

Linux賬號管理ACL許可權管理(複習)

Linux 系統上面的使用者如果需要登陸主機以取得 shell 的環境來工作時, 系統都做了什麼工作? 1、先找尋 /etc/passwd 裡面是否有你輸入的賬號?如果沒有則跳出,如果有的話則將該賬號對應的 UID 與 GID (在 /etc/group 中