进程的权限由于FreeBSD是多用户系统,因此进程必须要受到权限的控制和保护 。出于安全性的考虑,一个用户不可能杀死其他用户启动的进程,一个进程也不能非法存取其他用户的文件数据 。只有超级用户和超级用户启动的进程才有最大的权限,普通进程就只与进程的执行者相关,只具有这个用户的权限 。
一些情况下(特别是执行系统维护任务时),要求普通用户也能完成特殊权限的任务,那么就必须在进程执行过程中改变进程的身份 。改变进程的身份则必须同时具备两个要求:程序文件本身具有SetUID或SetGID属性,同时程序中需要相应调用setuid()或setgid()系统调用,这两个系统调用能够检查文件的属性,并完成更改进程权限的操作 。
通常只有系统程序才需要利用这两个属性,例如系统程序su允许普通用户成为root用户,就使用的是这个能力 。
$ ls -l a*
-rwxr-xr-x1 userwheel3212 Dec4 12:36 a1
-rwxr-xr-x1 userwheel3212 Dec4 12:36 a2
$ chmod u s a1
$ ls -l a*
-rwsr-xr-x1 userwheel3212 Dec4 12:36 a1
-rwxr-xr-x1 userwheel3212 Dec4 12:36 a2
$ chmod g s a2
$ ls -l a*
-rwsr-xr-x1 userwheel3212 Dec4 12:36 a1
-rwxr-sr-x1 userwheel3212 Dec4 12:36 a2上面第一个chmod(chmod u s a.out)为a.out增加设置属主身份权限,然后列表中对应属主的执行权限位的 “x” 标志将改变为 “s” (文件属性显示为rwsr-xr-x) 。第二个chmod (chmod g s a.out)为a.out增加设置组身份权限,则列表中对应组的执行权限位的 “x” 标志将改变为 “s” (文件属性显示为rwxr-sr-x) 。同样,SetUID和SetGID属性也都有相应的八进制表示方式,SetUID为04000,后面的三个八进制位属于文件的读写访问属性设置,相应SetGID为02000,它们两个属性位处于读写属性位之前 。下面是一个更改属性设置的例子:
# ls -l /bin/ps
-r-xr-sr-x1 binkmem 163840 May6 06:02 /bin/ps
# chmod a=r /bin/ps
# su user
$ ps
bash: ps: Permission denIEd
$ ^D
# chmod a x /bin/ps
# su user
$ ps
ps: /dev/mem: Permission denied
$ ^D
# chmod g s /bin/ps
# su user
$ ps
PIDTTSTATTIME COMMAND
226p2S0:00.56 bash
239p2R0:00.02 ps
$第一次以user身份执行ps时,ps的文件属性被改为对所有用户只有读权限,因此不能执行,shell报告Permission denied;第二次以user身份执行ps时,ps报告不能打开/dev/mem文件,这是因为普通用户无权存取内存映象文件 。而第三次执行ps时,由于设置了setgid位,和kmem同组的进程就能够打开/dev/mem文件,从而正确执行了ps程序 。
具有SetUID或SetGID属性的程序,能够在进程执行中调用系统调用setuid()或setgid(),调用成功后这个进程就具有了程序文件属主和组的权限,就可以完成以前改变身份之前不能完成的任务 。因为通过它们程序可以改变进程的用户标识,绕过系统的权限设置,因此这两个属性对于系统安全非常重要 。尤其是属于root的文件,并设置了SetUID属性的程序,更是系统安全中值得注意的地方 。为了保证系统安全,必须保证没有非法的SetUID或SetGID程序的存在,通常管理员可以使用find命令来完成这个任务,例如查找具有SetUID的程序,则执行:
# find / -perm 4000 -print【26 FreeBSD连载:进程的权限】未完,待续 。。。
推荐阅读
- 19 FreeBSD连载:检查硬盘调整文件系统的目录结构
- freebsd5.4安装后ssh不能访问的解决方法
- 20 FreeBSD连载:建立文件系统
- 08 FreeBSD连载:其他安装问题
- FreeBSD连载:作者自序
- 30 FreeBSD连载:配置打印机
- 27 FreeBSD连载:应用软件的类别
- 24 FreeBSD连载:查看系统状态
- 23 FreeBSD连载:配置系统时间
- 25 FreeBSD连载:定时执行程序