1

我正在做一个关于 linux(Ubuntu)的小项目,我需要一个经过身份验证才能访问服务的项目。我的想法是,这种身份验证应该与进程及其子进程一起存储,而不是与 linux 用户本身一起存储。

此身份验证应通过使用用户名、密码和脚本/应用程序(任何应用程序)调用例如“myapplogin”来使用这些凭据运行来完成。我希望可以在通过此过程产生的任何孩子以及任何孙辈等中保留这些凭据。

我已经查看了此功能的一些选项。

  1. 在环境变量中存储登录 ID 或其他内容。据我所知,这是传给任何孩子的。但是,进程可以写入环境变量,从而允许它可能获得它不应该拥有的访问权限。

  2. 登录时,存储登录进程的进程 id,然后在对该服务的每个操作中,检查它是否具有存储的 pid,或者它的祖先中是否存在存储的 pid。如果这个祖先变得很大,并且如果经常访问该服务,这可能会变得太慢。然后一个选项是缓存任何在祖先中的 pid,但这可能会对操作系统中的 pid 重用产生安全影响。

  3. 使用进程组并将其与登录链接,但这也可以由进程本身更改,允许它可能加入现有组而无需实际登录。

有没有办法做到这一点?最好它应该是与进程一起存储的东西,任何新的子进程都继承,进程不可能覆盖,并且可以从内核模块外部读取。

也许我只是忽略了一些明显的东西?我将不胜感激对此的任何意见=)

4

1 回答 1

1

我可以提供两种方法取决于您提到的“服务”类型:

1.如果你提到的服务是:网络管理,磁盘挂载/卸载等。如下:

Linux Kernel 实现了 CAPABILITY 机制。内核定义了各种能力。这些能力可以分配给不同的用户。能力的基本规则是:为一个用户分配最小的权限集以完成其任务。

所以你可以使用 CAPABILITY 思想,你需要做的是:

(1) 列出您需要限制访问的所有服务。

(2) 为所列服务定义新能力或使用现有能力。

(3) 更改内核源代码以检查一个进程在访问您列出的服务时的能力。通常,这些检查位于系统调用条目中。

(4) 修改init/login进程的源代码,当用户登录系统时,根据你的访问控制规则为不同的用户分配必要的能力。

2.如果你提到的服务就像执行某种系统命令。

(1) 在/etc/目录下创建一个文件,如watch_dog或者else,在这个文件中,你可以定义一个格式来列出特定用户可以执行特定的命令。当然,文件格式也可以很花哨,比如可以用正则表达式。要解析文件,可以使用 Bison 或 Lex/Yacc。

(2) Linux Kernel初始化时,可以解析文件/etc/watch_dog。

(3) 在进程fork()过程中,将/etc/watch_dog 规则设置为进程相关的task_struct。

(4) 在 exec() 入口,应用 /etc/watch_dog 规则检查它是否可以执行程序。

于 2013-07-26T02:47:08.993 回答