10.4. Реальные и эффективные идентификаторы
10.4. Реальные и эффективные идентификаторы
До сих пор подразумевалось, что у процесса — один идентификатор пользователя и один идентификатор группы. На самом деле не все так просто. У каждого процесса есть два пользовательских идентификатора: реальный и эффективный. То же самое справедливо и в отношении идентификаторов групп. В большинстве случаев ядро работает с эффективным идентификатором. Например, если процесс пытается открыть файл, ядро проверяет допустимость этой операции именно на основании эффективного идентификатора.
Упомянутые выше функции geteuid() и getegid() возвращают эффективные идентификаторы пользователя и группы. Для определения реальных идентификаторов предназначены функции getuid() и getgid().
Раз ядро работает только с эффективным идентификатором, какой смысл в существовании еще и реального идентификатора? Есть один специальный случай, когда он необходим: ядро проверяет его при попытке изменения эффективного идентификатора выполняющегося процесса.
Прежде чем выяснять, как менять эффективный идентификатор процесса, рассмотрим, зачем это необходимо. Предположим, имеется серверный процесс, который может просматривать любой файл независимо от того, кто является его владельцем. Такой процесс должен быть запущен пользователем root, так как только у него есть подобные привилегии. А теперь допустим, что запрос к файлу поступает от конкретного пользователя (mitchell, к примеру). Серверный процесс может проверить, есть ли у данного пользователя соответствующие разрешения, но это означает дублирование того кода, который уже реализован в ядре.
Гораздо лучший подход — временно поменять эффективный идентификатор пользователя root на mitchell и попытаться выполнить требуемую операцию. Если пользователь mitchell не имеет нужных прав доступа, ядро само даст об этом знать. После завершения (или отмены) операции серверный процесс восстановит первоначальный эффективный идентификатор.
Механизм временной замены идентификаторов используется программами, которые выполняют аутентификацию пользователей, пытающихся зарегистрироваться в системе. Такие программы работают с правами пользователя root. Когда пользователь вводит свое имя и пароль, программа аутентификации сверяет их с записями в системной базе паролей. Если проверка прошла успешно, программа меняет свои эффективные и реальные идентификаторы на пользовательские, после чего выполняет функцию exec(), которая запускает интерпретатор команд. В результате пользователь оказывается в среде интерпретатора, идентификаторы которого соответствуют пользовательским.
Функция, меняющая пользовательский идентификатор процесса, называется setreuid() (имеется, конечно же, и функция setregid()). Она принимает два аргумента: устанавливаемый реальный идентификатор и требуемый эффективный идентификатор. Вот как, к примеру, можно поменять эффективный и реальный идентификаторы:
setreuid(geteuid(), getuid());
Естественно, ядро не позволит первому попавшемуся процессу изменить свои идентификаторы. Если бы это было возможно, любой пользователь легко мог бы получить доступ к чужим ресурсам, сменив эффективный идентификатор одного из своих процессов. Поэтому ядро делает исключение лишь для процессов, чей эффективный идентификатор пользователя равен нулю (опять-таки, обратите внимание на то, какой властью обладают процессы суперпользователя!) Всем остальным процессам разрешается следующее:
? заменять эффективный идентификатор реальным;
? заменять реальный идентификатор эффективным;
? переставлять местами значения реального и эффективного идентификаторов.
Первый вариант будет использован серверным процессом, когда он закончит работать от имени пользователя mitchell и захочет снова "стать" пользователем root. Второй вариант используется программой аутентификации после того, как она сделала эффективный идентификатор равным пользовательскому. Изменение реального идентификатора необходимо для того, чтобы пользователь не смог стать обратно пользователем root. Последний, третий, вариант в современных программах не встречается.
В качестве любого из аргументов функции setreuid() можно указать значение -1. Это означает, что соответствующий идентификатор нужно оставить без изменений. Есть также вспомогательная функция seteuid(), которая меняет эффективный идентификатор, но не трогает реальный. Например, следующие две строки эквивалентны:
seteuid(id);
setreuid(-1, id);
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКЧитайте также
11.1.1. Действительные и эффективные ID
11.1.1. Действительные и эффективные ID Номера UID и GID подобны персональным удостоверениям личности. Иногда вам может понадобиться более одного удостоверяющего документа. Например, у вас могут быть водительские права или правительственное удостоверение личности[115].
Эффективные способы возвращения
Эффективные способы возвращения Берегите энергию, когда возвращаетесь. Вместо того чтобы прыгать вверх по ступеням, поместите на них лестницы. На прыжки вверх по ступеням шахты тратится значительное количество энергии, поэтому используйте лестницы. Так вы сможете
7.4. Эффективные средства диагностики сети
7.4. Эффективные средства диагностики сети Диагностика с помощью Центра управления сетями и общим доступомПервичную диагностику работы сети можно выполнить, просто взглянув на значок текущего подключения в области уведомлений или на карту сети в Центре управления
Реальные деньги за реальные клики
Реальные деньги за реальные клики Продажа кликов, то есть переходов на сайт рекламодателя через баннер или текстовое объявление, — один из самых распространенных способов заработка на сайтах или в блогах в Интернете. Это объясняется растущим рынком контекстной
Утвердите реальные сроки вывода сайта на первые позиции
Утвердите реальные сроки вывода сайта на первые позиции Вынуждены вас огорчить – абсолютно точно определить срок продвижения вашего сайта с выходом в ТОП невозможно. Этот процесс сугубо индивидуален и зависит от нескольких факторов:1. Даты индексации ресурса поисковой
Реальные источники тока или реальные источники напряжения
Реальные источники тока или реальные источники напряжения До сих пор мы работали с источниками питания только одного типа, с источниками напряжения. Однако во многих случаях удобно представлять реальные источники электрической энергии как неидеальные источники
R.2.3 Идентификаторы
R.2.3 Идентификаторы Идентификатор - это последовательность букв и цифр произвольной длины. Первый символ должен быть буквой, символ подчеркивания _ считается буквой. Прописные и строчные буквы различаются. Все символы
Идентификаторы
Идентификаторы Идентификаторы – это имена констант, переменных, типов, свойств, процедур, функций, программ и программных модулей. Могут быть длиной до 255 символов, начинаться с символа или знака подчеркивания; могут содержать символы, цифры и знаки подчеркивания и не
Идентификаторы
Идентификаторы Идентификаторы — это имена переменных, функций и меток, используемых в программе. Идентификатор вводится в объявлении переменной или функции, либо в качестве метки оператора. После этого его можно использовать в последующих операторах программы.
Идентификаторы
Идентификаторы Идентификаторы именуют переменные и функции. С каждым идентификатором ассоциируется тип, который задается при его объявлении. Значение объекта, именуемого идентификатором, зависит от типа следующим образом:1) Идентификаторы переменных целого и
47 Эффективные объекты
47 Эффективные объекты Проектирование основано на измерении. Мост должен быть достаточно длинным, чтобы соединить берега, и достаточно крепким, чтобы выдержать заданную статическую нагрузку. Он должен обладать структурной стабильностью, чтобы выдерживать
ФМ-ВЕЩАНИЕ: Реальные доходы от виртуальных проектов
ФМ-ВЕЩАНИЕ: Реальные доходы от виртуальных проектов Автор: Феликс МучникВот и закончилась череда конференций, и начались спокойные междупраздничные дни, радующие нас солнцем и поредевшим потоком машин на улицах. Можно без суеты осмыслить прошедшие встречи, новые
Кафедра Ваннаха: Реальные деньги из вымышленного мира Ваннах Михаил
Кафедра Ваннаха: Реальные деньги из вымышленного мира Ваннах Михаил Опубликовано 15 февраля 2011 года Был в 1990-е годы в нашей стране забавный феномен. На фоне социально-экономических катаклизмов, когда серьёзные дяди растаскивали общенародную в
Реальные хакеры
Реальные хакеры Теперь, когда вы знаете, как не должен выглядеть хакер, вам должно быть любопытно, как он должен выглядеть. На самом деле большинство хакеров выглядит совсем как вы или я или женщина из соседнего офиса.Только для краткого знакомства рассмотрим наиболее
Угрозы реальные и мнимые
Угрозы реальные и мнимые Автор: Киви БердСамым, пожалуй, ярким и запоминающимся следом, который сумел оставить в истории американский политик Джон Хамре (John Hamre), стала его речь в Конгрессе США 9 марта 1999 года, когда в качестве замминистра обороны он впервые отчеканил