在本文中,我们快速浏览了Linux内核的许可流程,并向您展示了如何使用它们来保护您的网页或应用安全

传统上,Linux内核通过以下两类来区分其进程:

  • 特权进程:这些进程使用户可以绕过所有内核权限检查。

  • 非特权进程:这些进程需要进行完全权限检查,例如有效的UID,GID和补充组列表。

授予对用户进程的完全特权访问权限可能会导致系统滥用,例如未经授权的数据更改,后门,更改的ACL等。Linux 2.2附带了一个称为功能的解决方案。功能使开发人员可以授予二进制文件/文件特定的权限。

假设我们要使用非特权用户在端口80上启动Python的Simple HTTP Server模块。如果我们尝试在不授予任何功能的情况下开始该过程,则会收到以下错误:

anshulp@dzone-vagrant-box:$ python -m SimpleHTTPServer

Traceback (most recent call last):

  File "/usr/lib/python2.7/runpy.py", line , in _run_module_as_main

    "__main__", fname, loader, pkg_name)

  File "/usr/lib/python2.7/runpy.py", line , in _run_code

    exec code in run_globals

  File "/usr/lib/python2.7/SimpleHTTPServer.py", line , in <module>

    test()

  File "/usr/lib/python2.7/SimpleHTTPServer.py", line , in test

    BaseHTTPServer.test(HandlerClass, ServerClass)

  File "/usr/lib/python2.7/BaseHTTPServer.py", line , in test

    httpd = ServerClass(server_address, HandlerClass)

  File "/usr/lib/python2.7/SocketServer.py", line , in __init__

    self.server_bind()

  File "/usr/lib/python2.7/BaseHTTPServer.py", line , in server_bind

    SocketServer.TCPServer.server_bind(self)

  File "/usr/lib/python2.7/SocketServer.py", line , in server_bind

    self.socket.bind(self.server_address)

  File "/usr/lib/python2.7/socket.py", line , in meth

    return getattr(self._sock,name)(*args)

socket.error: [Errno ] Permission denied

让我们将CAP_NET_BIND_SERVICE 功能添加到我们的Python二进制文件中。

sudo setcap 'CAP_NET_BIND_SERVICE+ep' /usr/bin/python2.

上面的命令指出我们正在向 文件添加   CAP_NET_BIND_SERVICE  功能  /usr/bin/python2.7。 +ep 表示文件有效且已允许(  "-"  将其删除)。

现在,让我们尝试再次在端口80上运行Python Simple HTTP Server模块:

anshulp@dzone-vagrant-box:$ python -m SimpleHTTPServer

Serving HTTP on 0.0.0.0 port  ...

172.28.128.1 - - [/Jul/ ::] "GET / HTTP/1.1"  -

172.28.128.1 - - [/Jul/ ::] code , message File not found

172.28.128.1 - - [/Jul/ ::] "GET /favicon.ico HTTP/1.1"  -

172.28.128.1 - - [/Jul/ ::] code , message File not found

172.28.128.1 - - [/Jul/ ::] "GET /favicon.ico HTTP/1.1"  -

现在,我们可以通过非特权用户通过特权端口80提供流量。

在撰写本文时,可以根据需求分配40多种功能。

有3种模式为功能:

  •  e:有效-  表示该功能已“激活”。

  • p:允许-  表示可以使用该功能。

  • i:已继承-  表示此功能由子元素/子流程继承。

功能提供了一种简洁有效的方法,可以将特权权限分配给非特权用户。

好文推荐:

整整127页!这是一份阿里云内部超全K8s实战手册

大厂0距离:网易 Linux 运维工程师面试真题,内含答案

牛x公司有一群牛x的人,鹅厂大佬如何玩转技术?

Linux内核功能介绍及如何使用保护您的网页安全的更多相关文章

  1. Linux内核策略介绍

      Linux内核策略介绍学习笔记   主要内容 硬件 策略 CPU 进程调度.系统调用.中断 内存 内存管理 外存 文件IO 网络 协议栈 其他 时间管理 进程调度 内核的运行时间 系统启动.中断发 ...

  2. Linux内核版本介绍与查询

    Linux内核版本命名在不同时期有着不同的规范,在涉及到Linux版本问题时经常容易混淆,主线版本/稳定版/长期支持版本经常搞不清楚,本文主要记录下内核版本命名的规则以及如何查看Linux系统版本信息 ...

  3. Linux内核策略介绍学习笔记

    主要内容 硬件 策略 CPU 进程调度.系统调用.中断 内存 内存管理 外存 文件IO 网络 协议栈 其他 时间管理 进程调度 内核的运行时间 系统启动.中断发生.系统调用以及内核线程. 进程和线程的 ...

  4. Linux 内核剖析

    https://www.ibm.com/developerworks/cn/linux/l-linux-kernel/ 由于本文的目标是对 Linux 内核进行介绍并探索其体系结构和主要组件,因此首先 ...

  5. Linux内核编译与安装

    2013-04-16    Linux内核介绍  Linux内核是一个用C语言写成的,符合POSIX标准的类Unix操作系统.内核是操作系统中最基本的一部分,提供了众多应用程序访问计算机硬件的机制.L ...

  6. 20135327郭皓--Linux内核分析第三周 构造一个简单的Linux系统MenuOS

    Linux内核分析第三周  构造一个简单的Linux系统MenuOS 前提回顾 1.计算机是如何工作的三个法宝 1.存储程序计算机 2.函数调用堆栈 3.中断 2.操作系统的两把宝剑 中断上下文的切换 ...

  7. linux内核分析(网课期末&地面课期中)

    堆栈变化过程: Linux内核分析——计算机是如何工作的 计算机是如何工作的?(总结)——三个法宝 存储程序计算机工作模型,计算机系统最最基础性的逻辑结构: 函数调用堆栈,高级语言得以运行的基础,只有 ...

  8. 精《Linux内核精髓:精通Linux内核必会的75个绝技》一HACK #7 Cgroup、Namespace、Linux容器

    HACK #7 Cgroup.Namespace.Linux容器 本节将介绍Cgroup与Namespace以及通过这两个功能实现的容器功能.CgroupCgroup(control group)是将 ...

  9. Linux内核分析实验三----跟踪分析Linux内核的启动过程

    一.Linux内核源代码介绍 1.根目录 arch/x86目录下的代码是我们重点关注的,arch中包括支持不同CPU的源代码. init目录下包含内核启动相关的代码,如main.c(start_ker ...

随机推荐

  1. 使用本地http的yum源

    使用http作为本地yum源 场景 在生产环境中,有大概好几十台linux同系统版本的操作系统,为了安装普通软件,现在的做法是向每台机器上上传一个iso镜像,然后将镜像挂在,配置本地的yum源,实现基 ...

  2. 利用c++中的设计灵感,既要学BIM分类信息表,借助GIS完成环境搭建改善

    我,一个平平无奇的城市规划专业(建筑专业.路桥专业)大学生,还有一年要毕业,很担心工作以后受到社会的毒打,遂问导师和学长,我要自学点什么技能和软件? 学长A:CAD,SketchUp,PS我都很熟练了 ...

  3. 彻底搞懂Redis主从复制原理及实战

    欢迎关注公众号:「码农富哥」,致力于分享后端技术 (高并发架构,分布式集群系统,消息队列中间件,网络,微服务,Linux, TCP/IP, HTTP, MySQL, Redis), Python 等 ...

  4. python+opencv切割细胞及细胞团(持续更新)

    内容包括:游离细胞的切割,有效细胞的信息提取,找出非正常细胞,细胞团的切割,找出非正常细胞团 代码较多,请移步到我的github

  5. 基于opencv的车牌提取项目

    初学图像处理,做了一个车牌提取项目,本博客仅仅是为了记录一下学习过程,该项目只具备初级功能,还有待改善 第一部分:车牌倾斜矫正 # 导入所需模块 import cv2 import math from ...

  6. 造轮子-AgileConfig基于.NetCore的一个轻量级配置中心

    微服务确实是行业的一个趋势,我自己也在把一些项目往微服务架构迁移.玩微服务架构配置中心是一个绕不过去的东西,有很多大牌的可以选,比如spring-cloud-config,apoll,disconf等 ...

  7. JavaScript基础CallBack函数(015)

    前面提到,函数对象是可以作为参数传递给另一函数的,这时,作为参数的函数如果在内部被执行,那么它就是个回调函数(Callback): function writeCode(callback) { // ...

  8. [Debian]查看进程、终止进程

    # jobs -l [1]+ 115 Running nohup /usr/local/bin/dotnet/dotnet/dotnet /usr/share/nginx/asp/publish/Wi ...

  9. 你不知道的前端SDK开发技巧

    最近在做公司内部的一个的一个SDK的重构,这里总结一些经验分享给大家. 类型检查和智能提示 作为一个SDK,我们的目标是让使用者能够减少查看文档的时间,所以我们需要提供一些类型的检查和智能提示,一般我 ...

  10. cf1216E2 Numerical Sequence (hard version)(思维)

    cf1216E2 Numerical Sequence (hard version) 题目大意 一个无限长的数字序列,其组成为\(1 1 2 1 2 3 1.......1 2 ... n...\), ...