那誰的技術博客

感興趣領域:高性能服務器編程,存儲,算法,Linux內核

隨筆 - 210, 文章 - 0, 評論 - 1183, 引用 - 0

數(shù)據(jù)加載中……

APUE2讀書筆記(一):real user ID, effective user ID,saved set-user-ID

Unix中常見的幾個概念,下面做一個解釋.

首先需要明確一點,這幾個概念都是和進程相關的.
real user ID表示的是實際上進程的執(zhí)行者是誰,effective user ID主要用于校驗該進程在執(zhí)行時所獲得的文件訪問權限,也就是說當進程訪問文件時檢查權限時實際上檢查的該進程的"effective user ID",saved set-user-ID 僅在effective user ID發(fā)生改變時保存.

一般情況下,real user ID就是進程的effective user ID,但是當要運行的可執(zhí)行程序設置了"set-user-ID"位之后,進程的effective user ID變成該文件的屬主用戶id,同時該進程的"saved set-user-ID"變成此時進程的"effective user ID",也就是該可執(zhí)行程序的屬主用戶ID,該進程在執(zhí)行一些與文件訪問權限相關的操作時系統(tǒng)檢查的是進程的effective user ID.

為什么需要一個"saved set-user-ID"?因為當進程沒有超級用戶權限的時候,進程在設置"effective user ID"時需要將需要設置的ID和該進程的"real user ID"或者"saved set-user-ID"進行比較.

APUE2中進行的解釋是:
1)If the process has superuser privileges, the setuid function sets the real user ID, effective user ID, and saved set-user-ID to uid.

2)If the process does not have superuser privileges, but uid equals either the real user ID or the saved set-user-ID, setuid sets only the effective user ID to uid. The real user ID and the saved set-user-ID are not changed.

3)If neither of these two conditions is true, errno is set to EPERM, and 1 is returned
也就是說:
1)當用戶具有超級用戶權限的時候,setuid 函數(shù)設置的id對三者都起效.
2)否則,僅當該id為real user ID 或者saved set-user-ID時,該id對effective user ID起效.
3)否則,setuid函數(shù)調用失敗.

也就是說,這個saved set-user-ID更多的作用是在進程切換自己的effective user ID起作用.

需要特別提醒的是:并沒有任何的API可以獲取到進程的saved set-user-ID,它僅僅是系統(tǒng)在調用setuid函數(shù)時進行比較而起作用的.
APUE2中關于此事的原話如下:
Note that we can obtain only the current value of the real user ID and the effective user ID with the functions getuid and geteuid from Section 8.2. We can't obtain the current value of the saved set-user-ID.

舉一個例子說明問題,假設這樣的一種情況,系統(tǒng)中有兩個用戶A,B,還有一個由B創(chuàng)建的可執(zhí)行程序proc,該可執(zhí)行程序的set-
user-id位已經進行了設置.

當A用戶執(zhí)行程序proc時,
程序的real user ID = A的用戶ID,effective user ID = B的用戶ID, saved set-user-ID=B的用戶ID.

假如在該進程結束了對某些限制只能由用戶B訪問的文件操作后,程序將effective user ID設置回A,也就是說此時:
程序的real user ID = A的用戶ID,effective user ID = A的用戶ID, saved set-user-ID=B的用戶ID.

這個改動之所以能成功,原因在于上面列舉出的情況2):該ID為進程的real user ID.

最后,假設由于種種原因進程需要再次切換effective user ID為B,可是因為不能通過API獲取進程的saved set-user-ID(該值為B的用戶ID),所以只能通過兩種途徑獲得(可能還有別的途徑):
a)在設置effective user ID變回A之前保存effective user ID,它的值為B的用戶ID.
b)調用函數(shù)getpwnam( "B"),在返回的struct passwd *指針中成員pw_uid存放的就是用戶B的ID.
這樣,這個調用setuid(B的用戶ID)就會成功,原因也在于上面說的情況2):該ID與進程的saved set-user-ID相同.

APUE2中關于這幾個值的相關解釋在section4.4和section8.11中都有涉及.

posted on 2007-12-20 23:24 那誰閱讀(4998) 評論(0) 編輯收藏引用所屬分類: Linux/Unix 、讀書筆記

只有注冊用戶登錄后才能發(fā)表評論。
【推薦】100%開源！大型工業(yè)跨平臺軟件C++源碼提供，建模，組態(tài)！

相關文章: 帶超時機制的DNS解析API 同步/異步與阻塞/非阻塞的區(qū)別 connect的兩種出錯情況 linux內核V2.6.11學習筆記(2)--list和hlist linux內核V2.6.11學習筆記(1)--pid位圖 memcached內存管理算法我的項目Makefile文件模板 Linux下面的線程鎖,條件變量以及信號量的使用對一個服務器的幾步優(yōu)化服務器定時器處理要注意的問題

網站導航: 博客園 IT新聞 BlogJava 博問 Chat2DB 管理

青青草原综合久久大伊人导航_色综合久久天天综合_日日噜噜夜夜狠狠久久丁香五月_热久久这里只有精品

那誰的技術博客

APUE2讀書筆記(一):real user ID, effective user ID,saved set-user-ID

導航

公告

常用鏈接

留言簿(71)

隨筆分類(264)

隨筆檔案(210)

相冊

關于我

開源項目

論壇

朋友

搜索

最新評論

閱讀排行榜

評論排行榜