个人中心
文章发布
退出
作者热门文章
- iOS/Objective-C 元类和类别
- objective-c - -1001 错误,当 NSURLSession 通过 httpproxy 和/etc/hosts
- java - 使用网络类获取 url 地址
- ios - 推送通知中不播放声音
27
4
我正在 linux (Ubuntu) 上做一个小项目,我需要一个人通过身份验证才能访问服务。我的想法是,此身份验证应与进程及其子进程一起存储,而不是与 linux 用户本身一起存储。
此身份验证应通过使用用户名、密码和脚本/应用程序(任何应用程序)调用“myapplogin”来完成,以使用这些凭据运行。我希望能够在通过此过程创建的任何子代以及任何孙代等中保留这些凭据。
我已经查看了此功能的几个选项。
在环境变量中存储登录 ID 或其他内容。据我所知,这是传递给任何 child 的。但是,进程可以写入环境变量,从而允许它可能获得它不应该拥有的访问权限。
登录时,存储登录进程的进程 ID,然后在对此服务的每个操作中,检查它是否具有存储的 pid,或者存储的 pid 是否存在于它的祖先中的任何地方。如果这个祖先变大,并且如果经常访问服务,这可能会变得太慢。一个选项是缓存祖先中的任何 pid,但这可能会对操作系统中的 pid 重用产生安全隐患。
使用进程组并将其与登录链接,但也可以由进程本身更改,允许它可能在不实际登录的情况下加入现有组。
有什么办法吗?最好它应该是存储在进程中的东西,任何新的子进程都会继承,进程不可能覆盖,并且可以从内核模块外部读取。
也许我只是忽略了一些明显的东西?如果对此有任何意见,我将不胜感激 =)
最佳答案
我可以提供两种方法,具体取决于您提到的“服务”类型:
1.如果你提到的服务是:网管、磁盘挂载/卸载等,如下:
Linux内核实现了CAPABILITY机制。内核定义了各种功能。这些能力可以分配给不同的用户。能力的基本规则是:将最小权限集分配给一个用户以完成其任务。
所以可以使用CAPABILITY思想,需要做的是:
(1) 列出您需要限制访问的所有服务。
(2) 为列出的服务定义新功能或使用现有功能。
(3) 更改内核源代码以检查一个进程在访问您列出的服务时的能力。通常,这些检查位于系统调用条目中。
(4) 修改init/login进程的源代码,当用户登录系统时,根据你的访问控制规则为不同的用户分配必要的权限。
2.如果你说的服务是执行某种系统命令。
(1) 在/etc/目录下创建一个文件如watch_dog或else,在这个文件中,你可以定义一个格式来列出特定的用户可以执行特定的命令。当然文件格式可以很花哨,比如可以用正则表达式。要解析文件,可以使用 Bison 或 Lex/Yacc。
(2) Linux Kernel初始化时,可以解析文件/etc/watch_dog。
(3)进程fork()时,设置/etc/watch_dog规则为进程相关的task_struct。
(4) 在exec()入口,应用/etc/watch_dog规则检查它是否可以执行程序。
关于Linux,用进程存储凭据,它的 child ,孙子?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/17863527/
27
4
0
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 要求我们推荐或查找工具、库或最喜欢的场外资源的问题对于 Stack Overflow 来说是偏离主题的,
Linux 管道可以缓冲多少数据?这是可配置的吗? 如果管道的两端在同一个进程中,但线程不同,这会有什么不同吗? 请注意:这个“同一个进程,两个线程”的问题是理论上的边栏,真正的问题是关于缓冲的。 最
我找到了here [最后一页] 一种有趣的通过 Linux 启动 Linux 的方法。不幸的是,它只是被提及,我在网上找不到任何有用的链接。那么有人听说过一种避免引导加载程序而使用 Linux 的方法
很难说出这里要问什么。这个问题模棱两可、含糊不清、不完整、过于宽泛或夸夸其谈,无法以目前的形式得到合理的回答。如需帮助澄清此问题以便重新打开,visit the help center . 关闭 1
我试图了解 ld-linux.so 如何在 Linux 上解析对版本化符号的引用。我有以下文件: 测试.c: void f(); int main() { f(); } a.c 和 b.c:
与 RetroPie 的工作原理类似,我可以使用 Linux 应用程序作为我的桌面环境吗?我实际上并不需要像实际桌面和安装应用程序这样的东西。我只需要一种干净简单的方法来在 RaspberryPi 上
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 这个问题似乎不是关于 a specific programming problem, a softwar
关闭。这个问题是off-topic .它目前不接受答案。 想改进这个问题吗? Update the question所以它是on-topic用于堆栈溢出。 关闭 10 年前。 Improve thi
有什么方法可以覆盖现有的源代码,我应该用 PyQt、PyGTK、Java 等从头开始构建吗? 最佳答案 如果您指的是软件本身而不是它所连接的存储库,那么自定义应用程序的方法就是 fork 项目。据我所
我的情况是:我在一个磁盘上安装了两个 linux。我将第一个安装在/dev/sda1 中,然后在/dev/sda2 中安装第二个然后我运行第一个系统,我写了一个脚本来在第一个系统运行时更新它。
我在 i2c-0 总线上使用地址为 0x3f 的系统监视器设备。该设备在设备树中配置有 pmbus 驱动程序。 问题是,加载 linux 内核时,这个“Sysmon”设备没有供电。因此,当我在总线 0
关闭。这个问题是off-topic .它目前不接受答案。 想改进这个问题吗? Update the question所以它是on-topic用于堆栈溢出。 关闭 11 年前。 Improve thi
我正试图在 linux 模块中分配一大块内存,而 kalloc 做不到。 我知道唯一的方法是使用 alloc_bootmem(unsigned long size) 但我只能从 linux 内核而不是
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 这个问题似乎不是关于 a specific programming problem, a softwar
我有 .sh 文件来运行应用程序。在该文件中,我想动态设置服务器名称,而不是每次都配置。 我尝试了以下方法,它在 CentOS 中运行良好。 nohup /voip/java/jdk1.8.0_71/
我是在 Linux 上开发嵌入式 C++ 程序的新手。我有我的 Debian 操作系统,我在其中开发和编译了我的 C++ 项目(一个简单的控制台进程)。 我想将我的应用程序放到另一个 Debian 操
关闭。这个问题需要多问focused 。目前不接受答案。 想要改进此问题吗?更新问题,使其仅关注一个问题 editing this post . 已关闭 4 年前。 Improve this ques
我使用4.19.78版本的稳定内核,我想找到带有企鹅二进制数据的C数组。系统启动时显示。我需要在哪里搜索该内容? 我在 include/linux/linux_logo.h 文件中只找到了一些 Log
我知道可以使用 gdb 的服务器模式远程调试代码,我知道可以调试针对另一种架构交叉编译的代码,但是是否可以更进一步,从远程调试 Linux 应用程序OS X 使用 gdbserver? 最佳答案 当然
是否有任何可能的方法来运行在另一个 Linux 上编译的二进制文件?我知道当然最简单的是在另一台机器上重建它,但假设我们唯一能得到的是一个二进制文件,那么这可能与否? (我知道这可能并不容易,但我只是
我是一名优秀的程序员,十分优秀!