[[245214]]

 嗨！就在上周，我還自認(rèn)為對(duì) Linux 上的用戶和組的工作機(jī)制了如指掌。我認(rèn)為它們的關(guān)系是這樣的：

1. 每個(gè)進(jìn)程都屬于一個(gè)用戶（比如用戶 julia）
2. 當(dāng)這個(gè)進(jìn)程試圖讀取一個(gè)被某個(gè)組所擁有的文件時(shí)， Linux 會(huì) a. 先檢查用戶julia 是否有權(quán)限訪問文件。（LCTT 譯注：此處應(yīng)該是指檢查文件的所有者是否就是 julia） b. 檢查 julia 屬于哪些組，并進(jìn)一步檢查在這些組里是否有某個(gè)組擁有這個(gè)文件或者有權(quán)限訪問這個(gè)文件。
3. 如果上述 a、b 任一為真（或者“其它”位設(shè)為有權(quán)限訪問），那么這個(gè)進(jìn)程就有權(quán)限訪問這個(gè)文件。

比如說，如果一個(gè)進(jìn)程被用戶 julia 擁有并且 julia 在awesome 組，那么這個(gè)進(jìn)程就能訪問下面這個(gè)文件。

r--r--r-- 1 root awesome     6872 Sep 24 11:09 file.txt

然而上述的機(jī)制我并沒有考慮得非常清楚，如果你硬要我闡述清楚，我會(huì)說進(jìn)程可能會(huì)在運(yùn)行時(shí)去檢查 /etc/group 文件里是否有某些組擁有當(dāng)前的用戶。

然而這并不是 Linux 里“組”的工作機(jī)制

我在上個(gè)星期的工作中發(fā)現(xiàn)了一件有趣的事，事實(shí)證明我前面的理解錯(cuò)了，我對(duì)組的工作機(jī)制的描述并不準(zhǔn)確。特別是 Linux 并不會(huì)在進(jìn)程每次試圖訪問一個(gè)文件時(shí)就去檢查這個(gè)進(jìn)程的用戶屬于哪些組。

我在讀了《Linux 編程接口》這本書的第九章（“進(jìn)程資格”）后才恍然大悟（這本書真是太棒了），這才是組真正的工作方式！我意識(shí)到之前我并沒有真正理解用戶和組是怎么工作的，我信心滿滿的嘗試了下面的內(nèi)容并且驗(yàn)證到底發(fā)生了什么，事實(shí)證明現(xiàn)在我的理解才是對(duì)的。 

用戶和組權(quán)限檢查是怎么完成的

現(xiàn)在這些關(guān)鍵的知識(shí)在我看來非常簡(jiǎn)單! 這本書的第九章上來就告訴我如下事實(shí)：用戶和組 ID 是進(jìn)程的屬性，它們是：

• 真實(shí)用戶 ID 和組 ID；
• 有效用戶 ID 和組 ID；
• 保存的 set-user-ID 和保存的 set-group-ID；
• 文件系統(tǒng)用戶 ID 和組 ID（特定于 Linux);
• 補(bǔ)充的組 ID；

這說明 Linux 實(shí)際上檢查一個(gè)進(jìn)程能否訪問一個(gè)文件所做的組檢查是這樣的：

• 檢查一個(gè)進(jìn)程的組 ID 和補(bǔ)充組 ID（這些 ID 就在進(jìn)程的屬性里，并不是實(shí)時(shí)在 /etc/group 里查找這些 ID）
• 檢查要訪問的文件的訪問屬性里的組設(shè)置
• 確定進(jìn)程對(duì)文件是否有權(quán)限訪問（LCTT 譯注：即文件的組是否是以上的組之一）

通常當(dāng)訪問控制的時(shí)候使用的是有效用戶/組 ID，而不是真實(shí)用戶/組 ID。技術(shù)上來說當(dāng)訪問一個(gè)文件時(shí)使用的是文件系統(tǒng)的 ID，它們通常和有效用戶/組 ID 一樣。（LCTT 譯注：這句話針對(duì) Linux 而言。） 

將一個(gè)用戶加入一個(gè)組并不會(huì)將一個(gè)已存在的進(jìn)程（的用戶）加入那個(gè)組

下面是一個(gè)有趣的例子：如果我創(chuàng)建了一個(gè)新的組：panda 組并且將我自己（bork）加入到這個(gè)組，然后運(yùn)行 groups 來檢查我是否在這個(gè)組里：結(jié)果是我（bork）竟然不在這個(gè)組？！

bork@kiwi~> sudo addgroup panda
Adding group `panda' (GID 1001) ...
Done.
bork@kiwi~> sudo adduser bork panda
Adding user `bork' to group `panda' ...
Adding user bork to group panda
Done.
bork@kiwi~> groups
bork adm cdrom sudo dip plugdev lpadmin sambashare docker lxd

panda 并不在上面的組里！為了再次確定我們的發(fā)現(xiàn)，讓我們建一個(gè)文件，這個(gè)文件被 panda 組擁有，看看我能否訪問它。

$  touch panda-file.txt
$  sudo chown root:panda panda-file.txt
$  sudo chmod 660 panda-file.txt
$  cat panda-file.txt
cat: panda-file.txt: Permission denied

好吧，確定了，我（bork）無法訪問 panda-file.txt。這一點(diǎn)都不讓人吃驚，我的命令解釋器并沒有將 panda 組作為補(bǔ)充組 ID，運(yùn)行 adduser bork panda 并不會(huì)改變這一點(diǎn)。 

那進(jìn)程一開始是怎么得到用戶的組的呢？

這真是個(gè)非常令人困惑的問題，對(duì)嗎？如果進(jìn)程會(huì)將組的信息預(yù)置到進(jìn)程的屬性里面，進(jìn)程在初始化的時(shí)候怎么取到組的呢？很明顯你無法給你自己指定更多的組（否則就會(huì)和 Linux 訪問控制的初衷相違背了……）

有一點(diǎn)還是很清楚的：一個(gè)新的進(jìn)程是怎么從我的命令行解釋器（/bash/fish）里被執(zhí)行而得到它的組的。（新的）進(jìn)程將擁有我的用戶 ID（bork），并且進(jìn)程屬性里還有很多組 ID。從我的命令解釋器里執(zhí)行的所有進(jìn)程是從這個(gè)命令解釋器里 fork() 而來的，所以這個(gè)新進(jìn)程得到了和命令解釋器同樣的組。

因此一定存在一個(gè)“***個(gè)”進(jìn)程來把你的組設(shè)置到進(jìn)程屬性里，而所有由此進(jìn)程而衍生的進(jìn)程將都設(shè)置這些組。而那個(gè)“***個(gè)”進(jìn)程就是你的登錄程序login shell，在我的筆記本電腦上，它是由 login 程序（/bin/login）實(shí)例化而來。登錄程序以 root 身份運(yùn)行，然后調(diào)用了一個(gè) C 的庫函數(shù) —— initgroups 來設(shè)置你的進(jìn)程的組（具體來說是通過讀取 /etc/group 文件），因?yàn)榈卿洺绦蚴且?root 運(yùn)行的，所以它能設(shè)置你的進(jìn)程的組。 

讓我們?cè)俚卿浺淮?/h3>

好了！假如說我們正處于一個(gè)登錄程序中，而我又想刷新我的進(jìn)程的組設(shè)置，從我們前面所學(xué)到的進(jìn)程是怎么初始化組 ID 的，我應(yīng)該可以通過再次運(yùn)行登錄程序來刷新我的進(jìn)程組并啟動(dòng)一個(gè)新的登錄命令！

讓我們?cè)囋囅逻叺姆椒ǎ?/p>

$ sudo login bork
$ groups
bork adm cdrom sudo dip plugdev lpadmin sambashare docker lxd panda
$ cat panda-file.txt # it works! I can access the file owned by `panda` now!

當(dāng)然，成功了！現(xiàn)在由登錄程序衍生的程序的用戶是組 panda 的一部分了！太棒了！這并不會(huì)影響我其他的已經(jīng)在運(yùn)行的登錄程序（及其子進(jìn)程），如果我真的希望“所有的”進(jìn)程都能對(duì) panda 組有訪問權(quán)限。我必須完全的重啟我的登錄會(huì)話，這意味著我必須退出我的窗口管理器然后再重新登錄。（LCTT 譯注：即更新進(jìn)程樹的樹根進(jìn)程，這里是窗口管理器進(jìn)程。） 

newgrp 命令

在 Twitter 上有人告訴我如果只是想啟動(dòng)一個(gè)刷新了組信息的命令解釋器的話，你可以使用 newgrp（LCTT 譯注：不啟動(dòng)新的命令解釋器），如下：

sudo addgroup panda
sudo adduser bork panda
newgrp panda # starts a new shell, and you don't have to be root to run it!

你也可以用 sg panda bash 來完成同樣的效果，這個(gè)命令能啟動(dòng)一個(gè)bash 登錄程序，而這個(gè)程序就有 panda 組。 

seduid 將設(shè)置有效用戶 ID

其實(shí)我一直對(duì)一個(gè)進(jìn)程如何以 setuid root 的權(quán)限來運(yùn)行意味著什么有點(diǎn)似是而非?，F(xiàn)在我知道了，事實(shí)上所發(fā)生的是：setuid 設(shè)置了
“有效用戶 ID”! 如果我（julia）運(yùn)行了一個(gè) setuid root 的進(jìn)程（ 比如 passwd），那么進(jìn)程的真實(shí)用戶 ID 將為 julia，而有效用戶 ID 將被設(shè)置為 root。

passwd 需要以 root 權(quán)限來運(yùn)行，但是它能看到進(jìn)程的真實(shí)用戶 ID 是 julia ，是 julia 啟動(dòng)了這個(gè)進(jìn)程，passwd 會(huì)阻止這個(gè)進(jìn)程修改除了 julia 之外的用戶密碼。 

就是這些了！

在《Linux 編程接口》這本書里有很多 Linux 上一些功能的罕見使用方法以及 Linux 上所有的事物到底是怎么運(yùn)行的詳細(xì)解釋，這里我就不一一展開了。那本書棒極了，我上面所說的都在該書的第九章，這章在 1300 頁的書里只占了 17 頁。

我***這本書的一點(diǎn)是我只用讀 17 頁關(guān)于用戶和組是怎么工作的內(nèi)容，而這區(qū)區(qū) 17 頁就能做到內(nèi)容完備、詳實(shí)有用。我不用讀完所有的 1300 頁書就能得到有用的東西，太棒了！