电脑计算机论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 999|回复: 0

Linux进程的实际用户ID和有效用户ID

[复制链接]
admin 发表于 2013-7-9 14:44:00 | 显示全部楼层 |阅读模式
本人对Unix下的进程的实际用户ID和有效用户ID一直都比较迷惑,没有完全搞清楚。最近温习APUE(《高级UNIX环境编程》),终于对这两个概念有了一个清晰的认识,看来经典著作绝对需要温习多遍,才能领略其中的奥秘。     在Unix进程中涉及多个用户ID和用户组ID,包括如下:
1、实际用户ID和实际用户组ID:标识我是谁(据说这是一个变态的哲学问题,难死一片哲学家)。也就是登录用户的uid和gid,比如我的Linux以simon登录,在Linux运行的所有的命令的实际用户ID都是simon的uid,实际用户组ID都是simon的gid(可以用id命令查看)。
2、有效用户ID和有效用户组ID:进程用来决定我们对资源的访问权限。一般情况下,有效用户ID等于实际用户ID,有效用户组ID等于实际用户组ID。当设置-用户-ID(SUID)位设置,则有效用户ID等于文件的所有者的uid,而不是实际用户ID;同样,如果设置了设置-用户组-ID(SGID)位,则有效用户组ID等于文件所有者的gid,而不是实际用户组ID。


     Unix系统通过进程的有效用户ID和有效用户组ID来决定进程对系统资源的访问权限。
     以上这些概念还是比较的抽象,那么我就动手验证一下就非常清楚了。用户如下代码写一个小的测试程序:
#include <sys/types.h>
#include <unistd.h>
#include <stdio.h>
int main(void)
{
    printf("uid = %d, gid = %d, euid = %d, egid = %d/n", getuid(), getgid(), geteuid(), getegid());
}这个程序非常简单没有什么好说的。我们编译这个程序生成a.out程序。
    通过上图,我们可以看到:通过id命令看到当前登录用户为simon,uid=1000,gid=1000。通过ls命令我们可以看出a.out程序没有设置SUID和SGID(可以参考我的博文Linux的特殊文件权限,来明确怎样通过ls查看SUID和SGID位的设置情况),所有者是simon,所有者阻也是simon。执行a.out我们发现有效用户ID等于实际用户ID(1000),有效用户组ID等于实际用户组ID(1000)。
     你可能注意到a.out的所有者simon,组也是simon,和实际用户,实际用户组是一样的,这样测试下来上面的结果说服力不够。下一步我们修改一下a.out所有者和组,再看结果。

发现结果和上面一样,a.out进程的有效用户ID等于实际用户ID(1000),有效用户组ID等于实际用户组ID(1000)。
     下面我们给a.out程序设置SUID,看看会有什么结果。

我们发现设置a.out程序的SUID位之后,a.out进程的有效用户ID等于文件所有者的UID(root的uid为0),有效用户组ID还是等于实际用户组ID(1000)。这样程序就可以访问只有root才能访问的资源了。注意这样的程序很危险,编写这样的程序一定要小心。
     下面我们设置a.out的SGID,看看会有什么结果。

我们发现设置a.out的SGID之后,a.out进程的有效用户ID等于实际用户ID(1000),有效用户组ID等于文件所有者的用户组ID(root组gid等于0)。这样a.out进程就可以访问root组可以访问的所有的资源了。
     经过上面的描述想必大家对实际用户ID和有效用户ID有了一个比较清晰的认识。请大家自行分析passwd命令的实际用户ID和有效用户ID(passwd需要访问root权限的资源/etc/passwd等),可以参考Linux的特殊文件权限。
您需要登录后才可以回帖 登录 | 注册

本版积分规则


QQ|手机版|小黑屋|电脑计算机论坛 ( 京ICP备2022023538号-1 )

GMT+8, 2024-11-23 20:42 , Processed in 0.096534 second(s), 20 queries .

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表