كيف تتم إدارة صلاحيات العمليات (Processes) على نظام التشغيل لينكس، وما هي الخطورة في تشغيل هذه العمليات على الخادم الحقيقي بصلاحيات وصول عالية؟

على العموم ليست لدى العمليّة Process بحدّ ذاتها صلاحيّات ولكنّها تعمل بصلاحيّات المستخدم الّذي يُشغّلها.

إذا أرادت العمليّة قراءة أو تغيير ملفّ فإنّ نظام التّشغيل ينظُر في صلاحيّات المستخدِم الّذي نفّذ العمليّة ثمّ يقرّر هل يسمح لها بذلك أم لا.

تشغيل العمليّات بصلاحيّات وصول عاليّة يعني تشغيلها بمستخدم لديه صلاحيّات عاليّة (المستخدم الجذر Root مثلا). بالنسبة للأخطار فهي كثيرة، ويكفي أن أذكر بعض الأمثلة:

- افترض أنّه في أحد البرامج توجد ثغرة تحذف الملفّات الّتي يُتاح له الوصول إليها (في عالم البرمجة لا يوجد برنامج خال من الثّغرات 100%، هذه من المسلّمات): إذا كان يعمل بصلاحيّات غير محدودة فستُحذَف جميع ملفّاتك.

- استخدم أحدهم ثغرة للوصول إلى خادوم الويب، إذا كان خادوم الويب يعمل بصلاحيّات عاليّة فسيُمكن للمتسلّل الدّخول إلى كامل النّظام بدلا من حصر الخسائر في خادوم الويب.

تعمل العمليات بمُستخدم مُحدّد وبصلاحيات مُحدّدة، كما أشار الأخ مُحمّد، فبعض العمليات الأساسية للنظام تطلب صلاحيات وصول عالية (root access) كالعلميات الّتي تحتاج الوصول إلى ملفّات النظام، ولا تستطيع العمل بدون هذه الصلاحيات، ولكن هناك بعض العمليات الّتي تبدأ بالعمل بصلاحيات عالية، ومن ثم تبدأ بإنتاج عمليات تعمل بصلاحيات أقل وذلك للتقليل من خطورة هذه العمليات، فالخادم أباتشي مثلًا يبدأ بصلاحيات عالية root والتي تسمح له باستخدام المنفذ 80، بعد ذلك سيُنتج عمليات بصلاحيات وصول أقل لاستكمال عمله بدون الإضرار بالنظام عادةً تكون هذه العمليّات تتم بصلاحيات المُستخدم ذو الاسم apache أو www-data.