图说Linux进程之二

此文已由作者刘超授权网易云社区发布。

欢迎访问网易云社区，了解更多网易技术产品运营经验。

三、进程的权限

/* Objective and real subjective task credentials (COW): */
const struct cred __rcu *real_cred;

/* Effective (overridable) subjective task credentials (COW): */
const struct cred __rcu *cred;

如图的数据结构控制着Linux进程的权限。

uid是用户的id，一般是登陆或者su到的用户运行的进程的uid就是这个用户的id。

euid是effective user id，这个一般和uid是一样的，但是也有特殊情况，就是当执行文件的权限设置了set uid bit的时候。

假设一款游戏，Game，它的owner是Jerry，当Jerry玩这个游戏的时候，成功闯关，会将当前的通过的关卡写入Result文件，从而下次登录的时候，就可以接着上次的玩了。

他的朋友Tom觉得游戏不错，也想玩，于是Jerry将Game的权限扩大，不是自己group的，也可以运行r-x，于是Tom可以打开Game文件玩游戏了。

但是问题来了，当Tom成功闯过一关的时候，也需要将结果写入Result文件，可是这个文件对于Tom来说不可写，Tom发现自己白玩了。

当然一种方法是将Result文件权限放开，允许Tom写入。

还有一种方法是，对于程序Game设置set uid bit，这样Tom运行Game的时候，虽然uid还是Tom，但是euid设置成为Jerry，就可以写入Result文件了。

suid称为saved user id，当进程内部执行setuid系统调用的时候，才使用它。

fsuid保存uid或者euid，是用于真正审核访问文件的权限的。

同理group也有相应的四项。

一用户可以属于多个group，保存在group_info的结构中。

另外一个进程还会有capabilities，看过容器的同学终于见到了熟悉的东西。

可以给普通用户的进程一些权限做更高级的事情。

例如CHOWN, DAC_OVERRIDE, FSETID, FOWNER, MKNOD,NET_RAW, SETGID,  SETUID, SETFCAP,SETPCAP, NET_BIND_SERVICE, SYS_CHROOT, KILL, AUDIT_WRITE

这些都定义在capability.h中。

四、资源限制

在命令行，可以通过ulimit设置，在内核里面有相应的数据结构。

相关阅读：图说Linux进程

图说Linux进程之二

图解Linux文件系统

Linux的虚拟文件系统VFS

图解Linux的Socket

免费体验云安全(易盾)内容安全、验证码等服务

更多网易技术、产品、运营经验分享请点击。