Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Господа, будьте снисходительны, не бросайтесь сразу штрафовать за, как вам кажется, глупые вопросы - beginners на то и beginners.
Написано ж, что и админ и система - обычные пользователи 08.04.05 12:36 Число просмотров: 1666
Автор: amirul <Serge> Статус: The Elderman
|
> У юникса рут имеет абсолютные привелегии и от рута идут > начальные
В юниксах во всех проверках прав стоит собственна проверка прав и проверка на euid == 0|eguid == 0
> считать появившихся в Free5.x списков доступа). А тут какой > механизм ? Процесс запущенный от > имени системы (это называется local_system?)
Просто пользователь SYSTEM
> имеет абсолютные права или тоже нет ? Или тут вообще нет > пользователя с абсолютными > правами ?
Вообще нет такого пользователя. Все права распределяются исключительно по DACL-ам. Есть правда еще привилегии (их тоже можно как то отрубить, но я не занимался этим вплотную - не знаю где), одна из которых (SE_DEBUG_PRIVILEGE) позволяет открывать любые процессы с любым набором прав, еще одна (SE_TAKE_OWNERSHIP_PRIVILEGE) позволяет менять владельца любого объекта в системе, а владелец в свою очередь всегда неявно обладает правом WRITE_DAC (запись списков доступа) на объект, которым владеет. Так что администратор в принципе тоже имеет доступ к любым объектам, но не так нагло, как в юниксах
> А в чем отличие с точки зрения ядра системы ? Ну, понятно, > можно
Отличия в способе запуска. Если обычному процессу достаточно просто указать точку входа - винда запускает этот процесс и забывает о нем, то сервису нужно обрабатывать запросы системы. Короче у сервиса и у обычного процесса разные программные интерфейсы.
> Разрешены какие-нибудь специальные обращения к ядру, другая > модель
Из прав - только то, что разрешено пользователю, от имени которого запущена служба.
> памяти... ? Спрошу по другому: зачем было придумывать новую > сущность > с названием "служба" ? Чем просто "процесс" не устраивал ?
Службы запускаются до логона любого из юзеров, менеджер служб (тот самый services.exe) следит за запущенными службами и может либо перезапустить процесс, если служба упала, либо перезагрузить винду (всем известные окошки от msblaster-а/sasser-а это как раз реакция менеджера служб на падение критичных служб). В общем отличий достаточно, но все они видны больше с точки зрения разработчика. Шедулер в ядре отличий не видит вообще.
> > > system. Ядро само слушает порты ? > > Ядро это ядро а system это system ) > ?? А кто это тогда ?
Ядро это то, что работает в нулевом кольце защиты, а SYSTEM - это пользователь, от имени которого запускается большинство системных задач. Порты могут слушать всякие службы (скорее всего именно они и это делают), эти службы можно отключить при помощи диспетчера служб (но для начала их нужно найти)
|
|
|