Есть ли разница между режимом sudo и режимом ядра?

Question

В подобной системе UNIX у нас есть режим пользователя и режим ядра. Есть некоторые инструкции, которые невозможно получить в пользовательском режиме. Однако, когда мы делаем sudo, мы можем получить доступ ко многим критическим разделам нашей ОС, выполнять критические действия.

Мой вопрос: когда программа выполняется в режиме sudo, работает ли вся программа в режиме ядра? Или это так, что режим sudo - это просто административный пользователь, полномочия которого являются простым подмножеством операций, которые могут выполняться ядром?

Answer 1

Нет такой вещи, как sudo режим. Существует только пространство пользователя и пространство ядра.

Как вы сказали, режим ядра может выполнять любую инструкцию, предлагаемую процессором, и делать что-либо с оборудованием. Программы пользовательского режима могут обращаться только к памяти, которая сопоставлена ​​с запущенным процессом, и блокируются от прямого доступа к аппаратным средствам. Через механизм системного вызова программа пользовательского режима может вызывать код ядра, который будет выполнять доступ к аппаратным средствам от своего имени и возвращать результат обратно в пространство пользователя.

В пользовательском пространстве существуют дополнительные ограничения для пользователей, которые не являются root (root - это идентификационный номер пользователя 0). Например, они могут получить доступ только к определенным файлам, и они могут прослушивать только порты TCP с номером выше 1024. Запуск sudo начнет процесс как пользователь root, у которого нет этих ограничений.

Но процессы, выполняемые как пользователь root (через sudo), все еще работают в пользовательском пространстве и по-прежнему подвергаются тем же ограничениям, что и подразумевается.

Answer 2

Да, огромная разница между sudo и kernel режима.

Kernel mode относится к CPU modes. Большинство процессоров (в частности, все работает под общим ядром Linux, а не µCLinux), например. ваш процессор Intel внутри вашего ноутбука имеет несколько режимов работы, по крайней мере два: режим привилегированных (или supervisor), где возможны все команды (включая самые небезопасные, такие как конфигурирование MMU, отключение interrupts, остановка машины , делая физическое ввода-вывода, то есть отправки байтов в сети или на принтер или диск) и user mode, где запрещены некоторые машинные инструкции (в частности, инструкции физического ввода-вывода, конфигурация MMU, отключение прерывания и т. д.))

В Linux в режиме ядра работает только код ядра (включая модули ядра). Все остальное находится в пользовательском режиме.

Приложения (даже команды, выполняемые как пользователь root) выполняются в пользовательском режиме и взаимодействуют с ядром Linux через system calls (и это единственный способ взаимодействия приложения с ядром), перечисленные в syscalls(2). Таким образом, код приложения видит «virtual machine», способный выполнять системные вызовы и выполнять инструкции пользовательского режима. Ядро управления аутентификации и учетные данные (см credentials(7) & capabilities(7) ...)

sudo просто дает команду (используя setuid методы) разрешения для корня (т.е. идентификатор пользователя 0). Тогда возможны и другие системные вызовы ... Но команда (т. Е. process, выполняющая эту команду) все еще работает в пользовательском режиме и использует virtual memory и имеет свой address space.