Unix权限管理

1 Unix权限管理

权限管理实际就是身份认证和访问权限校验,被授权的用户可获得权限,反之,则否。 在 Unix 中用到权限管理的场合包括:

  1. 登录
  2. 进程对文件的存取访问

第1点暂不予讨论。

  • 身份认证的过程实际就是:“系统”校验“主体”是否符合“客体”所期望的身份的过程。在“进程对文件的存取访问”的身份认证过程中,内核担当“系统”角色,进程为“主体”,文件则为“客体”。 那么,认证的依据是什么?主客双方都需要提供某种类型的身份凭证!在“进程对文件的存取访问”的认证过程中,进程提供的身份凭证是有效用户ID和有效组ID;文件提供的凭证则是属主用户ID和属主组ID。
  • 在提供差异化权限管理的系统中完成身份认证只是第一步,“客体”对不同“主体”的开放程度可能是不同的,如果没有访问权限校验的过程,则无法提供这种特性。访问权限校验是指:在指定身份下,“客体”是否可满足特定类型的访问申请。

2 进程权限

任意Unix进程可有如下“身份”:

  • 实际用户ID、有效用户ID、保存的设置用户ID
  • 实际组ID、有效组ID、保存的设置组ID

这些“身份“的访问控制函数总结如下:

#include <unistd.h>

uid_t getuid( ); // 获取实际用户ID

uid_t geteuid( ); // 获取有效用户ID

int setuid( uid_t uid ); // 设置实际用户ID和有效用户ID

int seteuid( uid_t uid ); // 设置有效用户ID

gid_t getgid( ); // 获取实际组ID

gid_t getegid( ); // 获取有效组ID

int setgid( gid_t gid ); // 设置实际组ID和有效组ID

int setegid( gid_t gid ); // 设置有效组ID

setuid 和 setgid 可按规则设置调用进程的实际和有效“身份”,这些规则如下:

  • 以 setuid 为例:
    1. 若调用进程具有超级用户特权1,则将调用进程的实际用户ID、有效用户ID、保存的设置用户ID都设为uid
    2. 若调用进程的实际用户ID或保存的设置用户ID等于参数uid,则将调用进程的有效用户ID设置为uid
  • setgid 的规则与 setuid 类似

3 文件权限

文件跟权限管理相关的两条属性分别是:

  1. 属主,它指明了文件的归属,包括:

    • 用户ID
    • 组ID
  2. 访问控制权限,它指明了文件对不同身份的进程所允许的访问操作,共包括三组:
    1. 对所属用户所允许的访问操作: -rwx
    2. 对所属组所允许的访问操作: -—rwx
    3. 对其他用户所允许的访问操作: -——rwx

4 进程对文件的存取访问的权限校验过程

  1. 若进程有效用户ID为0,则允许访问
  2. 若进程有效用户ID等于文件所属者用户ID,则按用户访问权限位进行访问
  3. 若进程有效组ID等于文件所属者组ID,则按组访问权限位进行访问
  4. 若以上都不匹配,则按其他用户访问权限位进行访问

Footnotes:

1 即,调用进程的有效用户ID等于0

Date: 2015-10-17T11:03+0800

Author: ruleless

Org version 7.9.3f with Emacs version 24

Validate XHTML 1.0

Unix权限管理的更多相关文章

  1. SpringMVC+Shiro权限管理【转】

    1.权限的简单描述 2.实例表结构及内容及POJO 3.Shiro-pom.xml 4.Shiro-web.xml 5.Shiro-MyShiro-权限认证,登录认证层 6.Shiro-applica ...

  2. MySQL之权限管理

    MySQL之权限管理 一.MySQL权限简介 关于mysql的权限简单的理解就是mysql允许你做你全力以内的事情,不可以越界.比如只允许你执行select操作, 那么你就不能执行update操作.只 ...

  3. SVN权限管理

    转自:http://www.cnblogs.com/xingchen/archive/2010/07/22/1782684.html /******************************** ...

  4. mysql用户和权限管理

    用户和权限管理 Information about account privileges is stored in the user, db, host, tables_priv, columns_p ...

  5. (大数据工程师学习路径)第一步 Linux 基础入门----用户及文件权限管理

    用户及文件权限管理 实验介绍 1.Linux 中创建.删除用户,及用户组等操作. 2.Linux 中的文件权限设置. 一.Linux 用户管理 Linux 是一个可以实现多用户登陆的操作系统,比如“李 ...

  6. Linux(3)用户和权限管理

    用户, 权限管理 Linux中root账号通常用于系统的维护和管理, 它对操作系统的所有部分具有不受限制的访问权限 在Unix/Linux安装过程中, 系统会自动创建许多用户账号, 而这些默认的用户就 ...

  7. Unix权限这点事

    Unix/Linux的权限管理还是比较复杂的,别人说看高级环境编程得看2,3遍.我想这应该是在Linux有了一定基础.但是我看的过程中确需要反复推敲,有些地方得翻来覆去看上5,6遍甚至更多,下面是自己 ...

  8. Linux第四节 组管理、用户管理、权限管理 / chmod /chown / umask / vim

    三期第三讲1.组管理/用户管理(重要文件系统会实时备份 file-) vim/etc/group: 组管理文件://组名:密码控位键:组id:成员 vim/etc/gshadow:组密码管理文件:// ...

  9. Linux常用命令(第二版) --权限管理命令

    权限管理命令 1.chmod[change the permissions mode of a file] : /bin/chmod 语法: chmod [{ugo}{+-=}{rwx}] [文件或目 ...

随机推荐

  1. JUC.Condition学习笔记[附详细源码解析]

    目录 Condition的概念 大体实现流程 I.初始化状态 II.await()操作 III.signal()操作 3个主要方法 Condition的数据结构 线程何时阻塞和释放 await()方法 ...

  2. 随便翻翻qcon 2014

    随便翻了翻QCon 2014的ppt,土人看看最新的成果: 基本感受: 1. 高大上公司比如阿里,腾讯啥的已经挺过第一轮,已经重构重构再重构了,整个架构不能说成熟,但是可以说可用了 2. 创业公司或者 ...

  3. target,currentTarget和this三者的区别

    target在事件流的目标阶段:currentTarget在事件流的捕获,目标及冒泡阶段.只有当事件流处在目标阶段的时候,两个的指向才是一样的, 而当处于捕获和冒泡阶段的时候,target指向被单击的 ...

  4. 云时代的分布式数据库:阿里分布式数据库服务DRDS

    发表于2015-07-15 21:47| 10943次阅读| 来源<程序员>杂志| 27 条评论| 作者王晶昱 <程序员>杂志数据库DRDS分布式沈询 摘要:伴随着系统性能.成 ...

  5. RunTime的简单使用

    Runtime也就是运行时,是苹果官方提供的一套C语音库,那有什么作用呢?简单的来说,Runtime可以做很多的底层操作,比如说访问隐藏的一些成员变量,成员方法,当然包括了私有的成员变量,成员方法. ...

  6. COM中需要调用AddRef和Release的10条规律

    COM中需要调用AddRef和Release的10条规律  

  7. 转:python list排序的两种方法及实例讲解

    对List进行排序,Python提供了两个方法 方法1.用List的内建函数list.sort进行排序 list.sort(func=None, key=None, reverse=False) Py ...

  8. linux 学习3 第四讲 文件常用命令

    好几天没有在网上总结了.我把ppt先誊写在本子上,这样听的时候记录就方便很多,添些东西就可以. 我想先看shell那部分,但是没有之前几章的准备,是没法跟着视频动手操作的.所以还是按部就班得学习. 虽 ...

  9. VB.net 调用dll

    Public Declare Function APlayer_OpenA Lib "APlayerCaller.dll" (ByVal aplayer As Integer, B ...

  10. Struts2------通配符

    <struts> <package namespace="/" extends="struts-default" name="tes ...