linux cred管理

I.credential管理
linux系统中，一个对象操作另一个对象时通常要做安全性检查。如一个进程操作一个文件，要检查进程是否有权限操作该文件。
linux内核中，credential机制的引入，正是对象间访问所需权限的抽象；主体提供自己权限的证书，客体提供访问自己所需权限的证书，根据主客体提供的证书及操作做安全性检查。

证书管理术语：
客体：指用户空间程序直接可以操作的系统对象，如进程、文件、消息队列、信号量、共享内存等；每个客体都有一组凭证，每种客体有不同的凭证集
客体所有者：客体凭证集有一部分表示客体所有者；如文件中uid表示文件的所有者
主体：操作客体的对象；除进程外大多数系统对象都不是主体，但在特殊环境下某些对象是主体，如文件在设置F_SETOWN后可以发送SIGIO信号到进程，这时文件就是主体，进程就是客体
行为：主体怎样操作客体，如读写执行文件等
客体上下文：客体被访问时所需权限凭证集
主体上下文：主体的权限凭证集
规则：主体操作客体时，用于安全检查
当主体操作客体时，根据主体上下文、客体上下文、操作来做安全计算，查找规则看主体是否有权限操作客体。

II.进程凭证集
i.cred
进程的凭证集可用结构cred表示，即可以表示主体权限凭证集，也可表示客体被访问时所需权限凭证集；进程描述符中cred和real_cred字段分别指向主体与客体的证书
进程cred结构如下：

93 /*
 94  * The security context of a task
 95  *
 96  * The parts of the context break down into two categories:
 97  *
 98  *  (1) The objective context of a task.  These parts are used when some other
 99  *      task is attempting to affect this one.
100  *
101  *  (2) The subjective context.  These details are used when the task is acting
102  *      upon another object, be that a file, a task, a key or whatever.
103  *
104  * Note that some members of this structure belong to both categories - the
105  * LSM security pointer for instance.
106  *
107  * A task has two security pointers.  task->real_cred points to the objective
108  * context that defines that task's actual details.  The objective part of this
109  * context is used whenever that task is acted upon.
110  *
111  * task->cred points to the subjective context that defines the details of how
112  * that task is going to act upon another object.  This may be overridden
113  * temporarily to point to another security context, but normally points to the
114  * same context as task->real_cred.
115  */
116 struct cred {
117         atomic_t        usage;
118 #ifdef CONFIG_DEBUG_CREDENTIALS
119         atomic_t        subscribers;    /* number of processes subscribed */
120         void            *put_addr;
121         unsigned        magic;
122 #define CRED_MAGIC      0x43736564
123 #define CRED_MAGIC_DEAD 0x44656144
124 #endif
125         uid_t           uid;            /* real UID of the task */
126         gid_t           gid;            /* real GID of the task */
127         uid_t           suid;           /* saved UID of the task */
128         gid_t           sgid;           /* saved GID of the task */
129         uid_t           euid;           /* effective UID of the task */
130         gid_t           egid;           /* effective GID of the task */
131         uid_t           fsuid;          /* UID for VFS ops */
132         gid_t           fsgid;          /* GID for VFS ops */
133         unsigned        securebits;     /* SUID-less security management */
134         kernel_cap_t    cap_inheritable; /* caps our children can inherit */
135         kernel_cap_t    cap_permitted;  /* caps we're permitted */
136         kernel_cap_t    cap_effective;  /* caps we can actually use */
137         kernel_cap_t    cap_bset;       /* capability bounding set */
138 #ifdef CONFIG_KEYS
139         unsigned char   jit_keyring;    /* default keyring to attach requested
140                                          * keys to */
141         struct key      *thread_keyring; /* keyring private to this thread */
142         struct key      *request_key_auth; /* assumed request_key authority */
143         struct thread_group_cred *tgcred; /* thread-group shared credentials */
144 #endif
145 #ifdef CONFIG_SECURITY
146         void            *security;      /* subjective LSM security */
147 #endif
148         struct user_struct *user;       /* real user ID subscription */
149         struct group_info *group_info;  /* supplementary groups for euid/fsgid */
150         struct rcu_head rcu;            /* RCU deletion hook */
151 };

usage：表于证书引用管理
uid：实际用户id
gid：实际用户组id
suid：保存的用户uid
sgid；保存的用户组gid
euid：真正有效的用户id
egid：真正有效的用户组id
securebits：安全管理标识；用来控制凭证的操作与继承
cap_inheritable：execve时可以继承的权限
cap_permitted：可以(通过capset)赋予cap_effective的权限
cap_effective：进程实际使用的权限
cap_bset：主要用于uid=0或euid=0时，execve可以继承的权限，cap_permitted=cap_inheritable+cap_bset，cap_effective=cap_permitted。可以将cap_bset中的权限通过调用capset赋给cap_inheritable
user：主要表示用户信息，如用户进程数、打开文件数等
rcu：RCU删除用

ii.capability
execve时，SETUID置位且用户是root时，权限之间的关系如下(passwd为例)：

[redhat@localhost linux-2.6.32.60]$ ll /usr/bin/passwd
-rwsr-xr-x. 1 root root 26980  1月 29 2010 /usr/bin/passwd
[redhat@localhost linux-2.6.32.60]$ ps -f -t pts/1
UID        PID  PPID  C STIME TTY          TIME CMD
redhat    5509  2852  0 Jun11 pts/1    00:00:00 bash
root     20771  5509  0 12:02 pts/1    00:00:00 passwd
[redhat@localhost linux-2.6.32.60]$ cat /proc/5509/status
Name:	bash
State:	S (sleeping)
Tgid:	5509
Pid:	5509
PPid:	2852
TracerPid:	0
Uid:	500	500	500	500
Gid:	500	500	500	500
CapInh:	0000000000000000
CapPrm:	0000000000000000
CapEff:	0000000000000000
CapBnd:	ffffffffffffffff
[redhat@localhost linux-2.6.32.60]$ cat /proc/20771/status 
Name:	passwd
State:	S (sleeping)
Tgid:	20771
Pid:	20771
PPid:	5509
TracerPid:	0
Uid:	500	0	0	0
Gid:	500	500	500	500
CapInh:	0000000000000000
CapPrm:	ffffffffffffffff
CapEff:	ffffffffffffffff
CapBnd:	ffffffffffffffff
[redhat@localhost linux-2.6.32.60]$

passwd程序用户是root，且设置SETUID标志，用于普通用户在执行passwd时可以修改需要root权限的/etc/passwd文件。
当运行passwd时，实际用户uid=500(redhat)不变，保存用户suid、有效用户euid均变成0(root)，此时权限关系如下：
cap_permitted=cap_inheritable+cap_bset
cap_effective=cap_permitted

iii.uid
内核中主要有三个用户：uid（实际用户）、euid（有效用户）、suid（保存用户），可通过setuid、seteuid、setreuid系统调用实现用户切换。
setuid规则：
1.当有超级用户权限，修改uid,euid,suid为新用户
2.当没有超级用户权限，新用户id参数等于uid或suid时，修改euid为新用户
3.其它情况不允许，报EPERM错误

三个用户含义如下：
uid：实际用户，只有拥有超级用户权限的进程才能修改uid；在登录/用户切换时，login/su有超级用户权限，调用setuid设置uid,euid,suid为登录用户/切换用户；uid一般保持不变
euid：有效用户，exec时如果SETUID置位则设置成程序文件用户ID，否则euid不变。可以通过setuid设置euid为uid或suid
suid：保存用户，exec时设置成euid。

三个uid之间的关系如下图所示：

【嵌入式环境下linux内核及驱动学习笔记-（2-linux内核模块）】骑牛唱剧本 Linux内核与驱动 linux 嵌入式内核与驱动
目录1、内核模块介绍2、内核模块的结构2.1helloworld例程2.2结构说明2.2.1包含库2.2.2__init的作用:2.2.3内核是裸机程序，不可以调用C库中printf函数来打印程序信息，Linux内核源码自身实现了一个用法与printf差不多的函数，命名为printk（k-kernel），printk不支持浮点数打印。2.2.4__exit的作用：2.2.5MODULE_LICEN
mongodb3.03开启认证 21jhf mongodb
下载了最新mongodb3.03版本，当使用--auth 参数命令行开启mongodb用户认证时遇到很多问题，现总结如下：（百度上搜到的基本都是老版本的，看到db.addUser的就是，请忽略） Windows下我做了一个bat文件，用来启动mongodb，命令行如下： mongod --dbpath db\data --port 27017 --directoryperdb --logp
【Spark103】Task not serializable bit1129 Serializable
Task not serializable是Spark开发过程最令人头疼的问题之一，这里记录下出现这个问题的两个实例，一个是自己遇到的，另一个是stackoverflow上看到。等有时间了再仔细探究出现Task not serialiazable的各种原因以及出现问题后如何快速定位问题的所在，至少目前阶段碰到此类问题，没有什么章法 1. package spark.exampl
你所熟知的 LRU(最近最少使用) dalan_123 java
关于LRU这个名词在很多地方或听说，或使用，接下来看下lru缓存回收的实现 1、大体的想法 a、查询出最近最晚使用的项 b、给最近的使用的项做标记通过使用链表就可以完成这两个操作，关于最近最少使用的项只需要返回链表的尾部；标记最近使用的项，只需要将该项移除并放置到头部，那么难点就出现你如何能够快速在链表定位对应的该项？这时候多
Javascript 跨域周凡杨 JavaScript jsonp 跨域 cross-domain
linux下安装apache服务器 g21121 apache
安装apache 下载windows版本apache，下载地址：http://httpd.apache.org/download.cgi 1.windows下安装apache Windows下安装apache比较简单，注意选择路径和端口即可，这里就不再赘述了。 2.linux下安装apache：下载之后上传到linux的相关目录，这里指定为/home/apach
FineReport的JS编辑框和URL地址栏语法简介老A不折腾 finereport web报表报表软件语法总结
JS编辑框： 1.FineReport的js。作为一款BS产品，browser端的JavaScript是必不可少的。 FineReport中的js是已经调用了finereport.js的。大家知道，预览报表时，报表servlet会将cpt模板转为html，在这个html的head头部中会引入FineReport的js，这个finereport.js中包含了许多内置的fun
根据STATUS信息对MySQL进行优化墙头上一根草 status
mysql 查看当前正在执行的操作，即正在执行的sql语句的方法为: show processlist 命令 mysql> show global status;可以列出MySQL服务器运行各种状态值，我个人较喜欢的用法是show status like '查询值%';一、慢查询mysql> show variab
我的spring学习笔记7-Spring的Bean配置文件给Bean定义别名 aijuans Spring 3
本文介绍如何给Spring的Bean配置文件的Bean定义别名？原始的 <bean id="business" class="onlyfun.caterpillar.device.Business"> <property name="writer"> <ref b
高性能mysql 之性能剖析 annan211 性能 mysql mysql 性能剖析剖析
1 定义性能优化 mysql服务器性能，此处定义为响应时间。在解释性能优化之前，先来消除一个误解，很多人认为，性能优化就是降低cpu的利用率或者减少对资源的使用。这是一个陷阱。资源时用来消耗并用来工作的，所以有时候消耗更多的资源能够加快查询速度，保持cpu忙绿，这是必要的。很多时候发现编译进了新版本的InnoDB之后，cpu利用率上升的很厉害，这并不
主外键和索引唯一性约束百合不是茶索引唯一性约束主外键约束联机删除
目标;第一步;创建两张表用户表和文章表第二步;发表文章 1,建表; ---用户表 BlogUsers --userID唯一的 --userName --pwd --sex create
线程的调度 bijian1013 java 多线程 thread 线程的调度 java多线程
1. Java提供一个线程调度程序来监控程序中启动后进入可运行状态的所有线程。线程调度程序按照线程的优先级决定应调度哪些线程来执行。 2. 多数线程的调度是抢占式的（即我想中断程序运行就中断，不需要和将被中断的程序协商） a)
查看日志常用命令 bijian1013 linux 命令 unix
一.日志查找方法，可以用通配符查某台主机上的所有服务器grep "关键字" /wls/applogs/custom-*/error.log 二.查看日志常用命令1.grep '关键字' error.log：在error.log中搜索'关键字'2.grep -C10 '关键字' error.log：显示关键字前后10行记录3.grep '关键字' error.l
【持久化框架MyBatis3一】MyBatis版HelloWorld bit1129 helloworld
MyBatis这个系列的文章，主要参考《Java Persistence with MyBatis 3》。样例数据本文以MySQL数据库为例，建立一个STUDENTS表，插入两条数据，然后进行单表的增删改查 CREATE TABLE STUDENTS ( stud_id int(11) NOT NULL AUTO_INCREMENT,
【Hadoop十五】Hadoop Counter bit1129 hadoop
1. 只有Map任务的Map Reduce Job File System Counters FILE: Number of bytes read=3629530 FILE: Number of bytes written=98312 FILE: Number of read operations=0 FILE: Number of lar
解决Tomcat数据连接池无法释放 ronin47 tomcat 连接池　优化
近段时间，公司的检测中心报表系统(SMC)的开发人员时不时找到我，说用户老是出现无法登录的情况。前些日子因为手头上有Jboss集群的测试工作，发现用户不能登录时，都是在Tomcat中将这个项目Reload一下就好了，不过只是治标而已，因为大概几个小时之后又会再次出现无法登录的情况。今天上午，开发人员小毛又找到我，要我协助将这个问题根治一下，拖太久用户难保不投诉。简单分析了一
java-75-二叉树两结点的最低共同父结点 bylijinnan java
import java.util.LinkedList; import java.util.List; import ljn.help.*; public class BTreeLowestParentOfTwoNodes { public static void main(String[] args) { /* * node data is stored in
行业垂直搜索引擎网页抓取项目 carlwu Lucene Nutch Heritrix Solr
公司有一个搜索引擎项目，希望各路高人有空来帮忙指导，谢谢！这是详细需求：（1）通过提供的网站地址(大概100-200个网站)，网页抓取程序能不断抓取网页和其它类型的文件（如Excel、PDF、Word、ppt及zip类型），并且程序能够根据事先提供的规则，过滤掉不相干的下载内容。（2）程序能够搜索这些抓取的内容，并能对这些抓取文件按照油田名进行分类，然后放到服务器不同的目录中。
[通讯与服务]在总带宽资源没有大幅增加之前,不适宜大幅度降低资费 comsci 资源
降低通讯服务资费，就意味着有更多的用户进入，就意味着通讯服务提供商要接待和服务更多的用户，在总体运维成本没有由于技术升级而大幅下降的情况下，这种降低资费的行为将导致每个用户的平均带宽不断下降，而享受到的服务质量也在下降，这对用户和服务商都是不利的。。。。。。。。 &nbs
Java时区转换及时间格式 Cwind java
本文介绍Java API 中 Date, Calendar, TimeZone和DateFormat的使用，以及不同时区时间相互转化的方法和原理。问题描述：向处于不同时区的服务器发请求时需要考虑时区转换的问题。譬如，服务器位于东八区（北京时间，GMT+8:00），而身处东四区的用户想要查询当天的销售记录。则需把东四区的“今天”这个时间范围转换为服务器所在时区的时间范围。
readonly,只读，不可用 dashuaifu js jsp disable readOnly readOnly
readOnly 和 readonly 不同，在做js开发时一定要注意函数大小写和jsp黄线的警告！！！我就经历过这么一件事：使用readOnly在某些浏览器或同一浏览器不同版本有的可以实现“只读”功能，有的就不行，而且函数readOnly有黄线警告！！！就这样被折磨了不短时间！！！（期间使用过disable函数，但是发现disable函数之后后台接收不到前台的的数据！！！）
LABjs、RequireJS、SeaJS 介绍 dcj3sjt126com js Web
LABjs 的核心是 LAB（Loading and Blocking）：Loading 指异步并行加载，Blocking 是指同步等待执行。LABjs 通过优雅的语法（script 和 wait）实现了这两大特性，核心价值是性能优化。LABjs 是一个文件加载器。RequireJS 和 SeaJS 则是模块加载器，倡导的是一种模块化开发理念，核心价值是让 JavaScript 的模块化开发变得更
[应用结构]入口脚本 dcj3sjt126com PHP yii2
入口脚本入口脚本是应用启动流程中的第一环，一个应用（不管是网页应用还是控制台应用）只有一个入口脚本。终端用户的请求通过入口脚本实例化应用并将将请求转发到应用。 Web 应用的入口脚本必须放在终端用户能够访问的目录下，通常命名为 index.php，也可以使用 Web 服务器能定位到的其他名称。控制台应用的入口脚本一般在应用根目录下命名为 yii（后缀为.php），该文
haoop shell命令 eksliang hadoop hadoop shell
cat chgrp chmod chown copyFromLocal copyToLocal cp du dus expunge get getmerge ls lsr mkdir movefromLocal mv put rm rmr setrep stat tail test text
MultiStateView不同的状态下显示不同的界面 gundumw100 android
只要将指定的view放在该控件里面，可以该view在不同的状态下显示不同的界面，这对ListView很有用，比如加载界面，空白界面，错误界面。而且这些见面由你指定布局，非常灵活。 PS：ListView虽然可以设置一个EmptyView，但使用起来不方便，不灵活，有点累赘。 <com.kennyc.view.MultiStateView xmlns:android=&qu
jQuery实现页面内锚点平滑跳转 ini JavaScript html jquery html5 css
平时我们做导航滚动到内容都是通过锚点来做，刷的一下就直接跳到内容了，没有一丝的滚动效果，而且 url 链接最后会有“小尾巴”，就像#keleyi，今天我就介绍一款 jquery 做的滚动的特效，既可以设置滚动速度，又可以在 url 链接上没有“小尾巴”。效果体验：http://keleyi.com/keleyi/phtml/jqtexiao/37.htmHTML文件代码： &
kafka offset迁移 kane_xie kafka
在早前的kafka版本中（0.8.0），offset是被存储在zookeeper中的。到当前版本（0.8.2）为止，kafka同时支持offset存储在zookeeper和offset manager（broker）中。从官方的说明来看，未来offset的zookeeper存储将会被弃用。因此现有的基于kafka的项目如果今后计划保持更新的话，可以考虑在合适
android > 搭建 cordova 环境 mft8899 android
1 , 安装 node.js http://nodejs.org node -v 查看版本 2, 安装 npm 可以先从 https://github.com/isaacs/npm/tags 下载源码解压到
java封装的比较器，比较是否全相同，获取不同字段名字 qifeifei
非常实用的java比较器，贴上代码： import java.util.HashSet; import java.util.List; import java.util.Set; import net.sf.json.JSONArray; import net.sf.json.JSONObject; import net.sf.json.JsonConfig; i
记录一些函数用法 .Aky. 位运算 PHP 数据库函数 IP
高手们照旧忽略。想弄个全天朝IP段数据库，找了个今天最新更新的国内所有运营商IP段，copy到文件，用文件函数，字符串函数把玩下。分割出startIp和endIp这样格式写入.txt文件，直接用phpmyadmin导入.csv文件的形式导入。（生命在于折腾，也许你们觉得我傻X，直接下载人家弄好的导入不就可以，做自己的菜鸟，让别人去说吧）当然用到了ip2long()函数把字符串转为整型数
sublime text 3 rust wudixiaotie Sublime Text
1.sublime text 3 => install package => Rust 2.cd ~/.config/sublime-text-3/Packages 3.mkdir rust 4.git clone https://github.com/sp0/rust-style 5.cd rust-style 6.cargo build --release 7.ctrl

linux cred管理

你可能感兴趣的:(k-kernel)