nobody (пользователь)

Во многих Unix-подобных операционных системах, nobody (англ. nobody — никто) — имя пользователя, не являющегося владельцем ни одного файла, не состоящего ни в одной привилегированной группе, и не имеющего никаких полномочий, кроме стандартных для обычных пользователей. Идентификатор пользователя nobody обычно или наибольший из возможных (в противоположность суперпользователю), или один из системных идентификаторов пользователя (во многих системах — между 1 и 100).

В общем случае, запуск демонов от имени nobody, часто применяющийся на серверах, призван уменьшить размер повреждений, которые может нанести злоумышленник, получивший над этим процессом контроль. Тем не менее, полезность этого способа снижается, если подобным образом можно запустить более одного демона, так как получение контроля над одним из них позволит получить контроль и над всеми остальными. Причина этого в том, что процессы, запущенные от имени nobody, имеют возможность посылать сигналы друг другу, а также могут использовать системные вызовы отладки друг над другом (например, ptrace в Linux), что означает возможность чтения и записи одним процессом памяти другого процесса. Создание отдельного аккаунта для каждого демона, как это рекомендует Linux Standard Base,^[1] обеспечивает более надёжную политику безопасности.

См. также

Ссылки

↑ Linux Standard Base, Спецификации Ядра 3.1 Раздел 21.2: Имена Пользователей и Групп Архивировано 15 октября 2008 года.

Похожие исследовательские статьи

Access Control List или ACL — список управления доступом, который определяет, кто или что может получать доступ к объекту, и какие именно операции разрешено или запрещено выполнять субъекту.

В информатике inode, индексный дескриптор — это структура данных в традиционных для ОС UNIX файловых системах (ФС), таких как UFS, ext4. В этой структуре хранится метаинформация о стандартных файлах, каталогах или других объектах файловой системы, кроме непосредственно данных и имени.

Проце́сс — выполнение пассивных инструкций компьютерной программы на процессоре ЭВМ. Стандарт ISO 9000:2000 Definitions определяет процесс как совокупность взаимосвязанных и взаимодействующих действий, преобразующих входящие данные в исходящие.

Данная таблица сравнивает основные и технические особенности для списка файловых систем. Смотрите отдельные статьи о каждой файловой системе для получения дополнительной информации.

FHS — стандарт, унифицирующий местонахождение файлов и каталогов с общим назначением в файловой системе ОС Linux. На данный момент большинство UNIX-подобных систем в той или иной степени следует этим правилам. Например, обычная база данных о пользователях всегда хранится в файле /etc/passwd.

/etc/passwd — файл, содержащий в текстовом формате список пользовательских учётных записей (аккаунтов).

root, или су́перпо́льзователь — это специальный аккаунт в UNIX-подобных системах с идентификатором 0, владелец которого имеет право на выполнение всех без исключения операций.

Систе́мный вы́зов в программировании и вычислительной технике — обращение прикладной программы к ядру операционной системы для выполнения какой-либо операции.

dmesg — команда, используемая в UNIX‐подобных операционных системах для вывода буфера сообщений ядра в стандартный поток вывода (stdout).

chown — UNIX‐утилита, изменяющая владельца и/или группу для указанных файлов. В качестве имени владельца/группы берётся первый аргумент, не являющийся опцией. Если задано только имя пользователя, то данный пользователь становится владельцем каждого из указанных файлов, а группа этих файлов не изменяется. Если за именем пользователя через двоеточие следует имя группы, без пробелов между ними, то изменяется также и группа файла.

procfs — специальная файловая система, используемая в UNIX-подобных операционных системах. Позволяет получить доступ к информации из ядра о системных процессах. Необходима для выполнения таких команд как ps, w, top. Обычно её монтируют на /proc. procfs создаёт двухуровневое представление пространств процессов. На верхнем уровне процессы представляют собой каталоги, именованные в соответствии с их pid. Также на верхнем уровне располагается ссылка на каталог, соответствующую процессу, выполняющему запрос; она может иметь различное имя в различных ОС.

IRCd — сервер, который обслуживает протокол Интернет-чата (IRC), позволяя людям общаться друг с другом по Интернету.

В Unix-подобных операционных системах пользователи идентифицируются идентификаторами пользователя.

Домашний каталог — это личный каталог пользователя в операционной системе, где находятся его данные, настройки и т. д.

Files-11 (также известна как on-disk structure — файловая система, используемая в операционной системе OpenVMS, а также в более простой форме в более старой ОС RSX-11. Это иерархическая файловая система с поддержкой списков контроля доступа, запись-ориентированным вводом-выводом, удалённым сетевым доступом и версиями файлов.

setuid, SUID и setgid, SGID являются флагами прав доступа в файловых системах операционных систем семейства Unix, которые позволяют пользователям запускать исполняемые файлы с правами владельца или группы исполняемого файла, а установленные на каталогах, обеспечивают механизм наследования группы и, иногда, владельца каталогов и файлов.

Маркер доступа — программный объект операционных систем класса Microsoft Windows, содержит информацию по безопасности сеанса и идентифицирует пользователя, группу пользователей и пользовательские привилегии.

Пространство имён — функция ядра Linux, позволяющая изолировать и виртуализировать глобальные системные ресурсы множества процессов. Примеры ресурсов, которые можно виртуализировать: идентификаторы процессов, имена узлов, идентификаторы пользователей, доступ к сетям, межпроцессное взаимодействие и файловые системы. Одной из основных целей поддержки пространств имён является реализация контейнеров — инструмента для виртуализации на уровне операционной системы, обеспечивающего изоляцию групп процессов и связанных с ними ресурсов от других.

Блок управления процессом — это структура данных, используемая компьютерными операционными системами для хранения всей информации о процессе. Также известен как дескриптор процесса. Когда процесс создается, операционная система создает соответствующий блок управления процессом.

Родительский процесс — в информатике, это процесс, который создал («породил») один или несколько дочерних процессов. За счёт чего, процесс может стать дочерним или родительским и наоборот. Таким образом, с помощью механизмов связывания в операционных системах могут формироваться целые иерархии из связанных процессов.

Эта страница основана на статье Википедии.
Текст доступен на условиях лицензии CC BY-SA 4.0; могут применяться дополнительные условия.
Изображения, видео и звуки доступны по их собственным лицензиям.