systemtap的执行权限

njubee

systemtap的执行权限

由于systemtap有改变内核的能力, 所以systemtap的工具一般需要root权限, 但为了方便用户开发systemtap脚本和使用已有的systemtap内核模块,  systemtap使用了两个用户组
stapdev 和stapusr .

用户   使用systemtap软件提供的能力
root   
编译systemtap脚本, 插入systemtap内核模块
stapdev 编译systemtap脚本, 插入systemtap内核模块
stapusr  编译systemtap脚本, 插入放置在/lib/modules/$(uname
–r)/systemtap/ 目录下的systemtap内核模块
others
编译systemtap脚本

注意:
1)      root有如下改变systemtap的能力: a安装删除systemtap, b添加删除stapdev/stapusr用户群组, c在stapdev/stapusr用户群组中添加删除用户, d在/lib/modules/$(uname –r)/systemtap放置需要提供给stapusr用户使用的安全可靠的模块和删除这些模块 等等
2)      由于stapdev的用户可以插入自己开发编译的systemtap内核模块, 可以从内核模块中获得任意权限, 所以只能将可信任的加入stapdev
3)      为了使stapdev/stapusr可以插入内核模块,部分systemtap的可执行程序安装后是set uid程序, 具有跟其他set uid程序一样的弱点
               
               
               

本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u1/57250/showart_457745.html