使用 PolicyKit 进行身份认证(下)
PolicyKit 的配置文件
分析完了 PolicyKit 的机制,我们来看一下它的配置文件是如何书写的。
PolicyKit 的配置文件藏在哪里呢?我们来进入/usr/share/PolicyKit/policy这个目录,怎么样,是不是看到很多.policy文件?(不要告诉我你没装 PolicyKit ……)
好的,打开其中的org.freedesktop.hal.storage.policy这个文件,你可能会看到下面的内容:
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE policyconfig PUBLIC "-//freedesktop//DTD PolicyKit Policy Configuration 1.0//EN" "http://www.freedesktop.org/standards/PolicyKit/1.0/policyconfig.dtd"> <policyconfig> <action id="org.freedesktop.hal.storage.mount-fixed"> <description>Mount file systems from internal drives.</description> <message>System policy prevents mounting internal media</message> <defaults> <allow_inactive>no</allow_inactive> <allow_active>auth_admin_keep_always</allow_active> </defaults> </action> <action id="org.freedesktop.hal.storage.mount-removable"> <description>Mount file systems from removable drives.</description> <message>System policy prevents mounting removable media</message> <defaults> <allow_inactive>no</allow_inactive> <allow_active>yes</allow_active> </defaults> </action> </policyconfig> 我们来依次分析一下: id:id 是对 PolicyKit 中 Action 的唯一标识,可以看到,各个域从大到小,用圆点分隔。从下图我们可以看出,这是一种树形结构。description:这个是注释,没什么好说的,让读配置文件的人知道这个选项的意义。 message:这个就是前面提到的说明字符串了,强烈推荐写上,让使用者明白他在验证什么操作,以免引发安全隐患。 defaults:关键的地方到了!这里可以写上对于请求者是否为活动状态的三种情况(allow_any、allow_inactive、allow_active)返回的值。 可以返回的值有以下几种: no
auth_self_one_shot auth_self auth_self_keep_session auth_self_keep_always auth_admin_one_shot auth_admin auth_admin_keep_session auth_admin_keep_always yes这个实在没有什么可说的,它们的作用从字面上理解就可以了……如果不懂还是好好学学英语吧……
好了,说了这么多,可能大家还是不知道怎么使用 PolicyKit 编程吧?其实最简单的办法还是看手册啊!什么,你想要例子?看下这里吧!呵呵,相信懂得原理的你,再看这个例子的时候就不会那么吃力,很快就能应用 PolicyKit 进行编程了吧?
(全文完)
使用 PolicyKit 进行身份认证(中)
PolicyKit 的运作流程
在上次的图中,我们可以看出 PolicyKit 运作过程中的几个要素:请求发出者(gnome-mount),请求目标(磁盘),请求的动作(挂载)。下面我们来看一下 PolicyKit 的运作流程。
图一:用户点击了磁盘图标,系统通过 DBus 发送请求给 HAL。
图二:HAL收到并验证请求(请求被包装在一个叫做 PolKitCaller 的对象中,包含 uid 、 pid 、会话标识符、会话是否为活动状态、是否远程、远程地址和其他可选信息),并据此构建了 PolKitCaller 对象,之后,HAL 会调用 libpolkit 中的函数 polkit_context_can_caller_do_action () ,并把以上两个结构体作为参数。
根据这个函数传递来的参数,系统会到 PolicyKit 的配置文件(关于配置文件,会在下次说明)中进行验证,根据配置文件的返回值和验证数据库中的内容决定是否允许请求的操作。
可能的返回值有三种:通过(POLKIT_RESULT_YES)、拒绝(POLKIT_RESULT_NO)、需要验证(POLKIT_RESULT_AUTH 系列)。返回值被包含在一个叫做 PolKitResult 的结构体中。
图三:当返回值不是 POLKIT_RESULT_YES 时,HAL 把这个返回值外加之前所请求的操作一起返回给请求者。
图四:如果返回值是 POLKIT_RESULT_AUTH 系列(例如 POLKIT_RESULT_AUTH_ADMIN_KEEP_ALWAYS),顺带返回的还有定义在配置文件里的说明字符串(这样可以识别你正在验证的是什么动作)。
现在文件管理器知道想要随便挂载一个磁盘是不行的了,只好向 Authentication Agent 求助,说:”快快!帮我做个验证窗口出来!“顺带把刚才 HAL 发给它的 PolKitResult 和 PolKitAction 发给它。
图五:Authentication Agent 收到请求,也跟图二中的 HAL 一样,先验证一下传来的东西是否正确,构建个 PolKitCaller 去配置文件那里验证一下,检查 PolKitResult 是否和文件管理器传过来的一样。
然后 Authentication Agent 听话地构建一个验证窗口,包含之前返回的说明字符串。
图六:如果验证成功,它会让 HAL 去重新请求一下。此时因为验证成功,验证数据库中已经允许了此程序,当然验证通过了!
下次我们来分析一下 PolicyKit 的配置文件。
使用 PolicyKit 进行身份认证(上)
(为了说明方便,文中很多地方使用了 PolicyKit 官方文档中的图片。这篇文章并不是官方文档的翻译,想要获得更加全面的说明,请参见这里。)
什么是 PolicyKit
PolicyKit 是什么呢?之前发帖子的时候并没有弄清,以为是一个可以用来获得 Root 权限的东西,经过 TualatriX 兄的指点,才发现根本不是那么回事。
PolicyKit 是一种应用程序本身或者应用程序之间验证身份的机制,验证通过,你就可以执行所请求的操作,否则没门。这样说来对于没有什么安全隐患的功能是用不到它的,比如我的 CugbFreer,需要的只是调用 libpcap 进行流量统计,实在看不出什么危险,验证反而麻烦。不过既然之前已经说了要写一篇,那还是简单说说吧。
为什么要使用 PolicyKit
这个看起来像是对大多数人没用的机制,但是事实并非这样,只要仔细想一下,就可以挖掘出它的用途。
比如说,nautilus 里挂载磁盘,不知道你是否留意过,第一次使用的时候,点击一个未挂载的磁盘,就会弹出 PolicyKit 验证的界面。
我们知道,磁盘的自动挂载是靠 HAL 控制的,在 HAL 上面还有 gnome-mount,当你点击 nautilus 里的未挂载磁盘时,就会调用 gnome-mount。可是 gnome-mount 只是一个用户程序,而非特权(privileged)程序,如何能够“请”得动 HAL 呢?
与其主动去请,还不如 HAL 给我们提供一个特权接口,只需要验证一下身份,就可以调用 HAL 的特权方法,来挂载和卸载设备,并且系统可以记住这种特权,这样下次你挂载的时候,就不需要验证了!是不是很方便?
当然,当很多程序都需要一种验证机制、又不想自己去实现的时候,一种统一的机制 PolicyKit 诞生了。
(小提示:PolicyKit 还有哪些应用呢?我们比较熟悉的有 Network Manager 、Gnome 面板的时间控件、Ubuntu-tweak 等等。通常是在界面上加一个“解锁”键,点击时就会触发验证,以执行特权功能。)
正在学习 PolicyKit !
正在学习 PolicyKit 。
PolicyKit 允许程序中的一部分使用 Root 权限,并且可以记住此权限,这对于 Cugb Freer 中的流量统计功能至关重要,毕竟,在 Linux 下使用 libpcap 是需要 Root 权限的,而 Cugb Freer 显然不能以 Root 权限运行。
想法是在其中添加一页,实现流量统计,此功能使用 PolicyKit 实现 Root 权限的 libpcap,同时让它记住权限,这样以后就不需要密码了。
国内关于 PolicyKit 的文章只有 TualatriX 那两篇残缺不全的……看 Ubuntu Tweak 源码的话,那个又是 Python 写的……这次要是学明白了,一定要写篇解析出来,呵呵~看手册去~
非阻塞式socket编程(select() )(转载)
版权声明:转载时请以超链接形式标明文章原始出处和作者信息及本声明
http://eastsun.blogbus.com/logs/7873846.html
Select在Socket编程中还是比较重要的,可是对于初学Socket的人来说都不太爱用Select写程序,他们只是习惯写诸如 connect、accept、recv或recvfrom这样的阻塞程序(所谓阻塞方式block,顾名思义,就是进程或是线程执行到这些函数时必须等待某个事件的发生,如果事件没有发生,进程或线程就被阻塞,函数不能立即返回)。可是使用Select就可以完成非阻塞(所谓非阻塞方式non- block,就是进程或线程执行此函数时不必非要等待事件的发生,一旦执行肯定返回,以返回值的不同来反映函数的执行情况,如果事件发生则与阻塞方式相同,若事件没有发生则返回一个代码来告知事件未发生,而进程或线程继续执行,所以效率较高)方式工作的程序,它能够监视我们需要监视的文件描述符的变化情况——读写或是异常。下面详细介绍一下!
Select的函数格式(我所说的是Unix系统下的伯克利socket编程,和windows下的有区别,一会儿说明):
int select(int maxfdp,fd_set *readfds,fd_set *writefds,fd_set *errorfds,struct timeval *timeout);
先说明两个结构体:
第一,struct fd_set可以理解为一个集合,这个集合中存放的是文件描述符(file descriptor),即文件句柄,这可以是我们所说的普通意义的文件,当然Unix下任何设备、管道、FIFO等都是文件形式,全部包括在内,所以毫无疑问一个socket就是一个文件,socket句柄就是一个文件描述符。fd_set集合可以通过一些宏由人为来操作,比如清空集合 FD_ZERO(fd_set *),将一个给定的文件描述符加入集合之中FD_SET(int ,fd_set *),将一个给定的文件描述符从集合中删除FD_CLR(int ,fd_set*),检查集合中指定的文件描述符是否可以读写FD_ISSET(int ,fd_set* )。一会儿举例说明。
第二,struct timeval是一个大家常用的结构,用来代表时间值,有两个成员,一个是秒数,另一个是毫秒数。
具体解释select的参数:
int maxfdp是一个整数值,是指集合中所有文件描述符的范围,即所有文件描述符的最大值加1,不能错!在Windows中这个参数的值无所谓,可以设置不正确。
fd_set *readfds是指向fd_set结构的指针,这个集合中应该包括文件描述符,我们是要监视这些文件描述符的读变化的,即我们关心是否可以从这些文件中读取数据了,如果这个集合中有一个文件可读,select就会返回一个大于0的值,表示有文件可读,如果没有可读的文件,则根据timeout参数再判断是否超时,若超出timeout的时间,select返回0,若发生错误返回负值。可以传入NULL值,表示不关心任何文件的读变化。
fd_set *writefds是指向fd_set结构的指针,这个集合中应该包括文件描述符,我们是要监视这些文件描述符的写变化的,即我们关心是否可以向这些文件中写入数据了,如果这个集合中有一个文件可写,select就会返回一个大于0的值,表示有文件可写,如果没有可写的文件,则根据timeout参数再判断是否超时,若超出timeout的时间,select返回0,若发生错误返回负值。可以传入NULL值,表示不关心任何文件的写变化。
fd_set *errorfds同上面两个参数的意图,用来监视文件错误异常。
struct timeval* timeout是select的超时时间,这个参数至关重要,它可以使select处于三种状态,第一,若将NULL以形参传入,即不传入时间结构,就是将select置于阻塞状态,一定等到监视文件描述符集合中某个文件描述符发生变化为止;第二,若将时间值设为0秒0毫秒,就变成一个纯粹的非阻塞函数,不管文件描述符是否有变化,都立刻返回继续执行,文件无变化返回0,有变化返回一个正值;第三,timeout的值大于0,这就是等待的超时时间,即 select在timeout时间内阻塞,超时时间之内有事件到来就返回了,否则在超时后不管怎样一定返回,返回值同上述。
返回值:
负值:select错误 正值:某些文件可读写或出错 0:等待超时,没有可读写或错误的文件
在有了select后可以写出像样的网络程序来!举个简单的例子,就是从网络上接受数据写入一个文件中。
例子:
main()
{
int sock;
FILE *fp;
struct fd_set fds;
struct timeval timeout={3,0}; //select等待3秒,3秒轮询,要非阻塞就置0
char buffer[256]={0}; //256字节的接收缓冲区
/* 假定已经建立UDP连接,具体过程不写,简单,当然TCP也同理,主机ip和port都已经给定,要写的文件已经打开
sock=socket(...);
bind(...);
fp=fopen(...); */
while(1)
{
FD_ZERO(&fds); //每次循环都要清空集合,否则不能检测描述符变化
FD_SET(sock,&fds); //添加描述符
FD_SET(fp,&fds); //同上
maxfdp=sock>fp?sock+1:fp+1; //描述符最大值加1
switch(select(maxfdp,&fds,&fds,NULL,&timeout)) //select使用
{
case -1: exit(-1);break; //select错误,退出程序
case 0:break; //再次轮询
default:
if(FD_ISSET(sock,&fds)) //测试sock是否可读,即是否网络上有数据
{
recvfrom(sock,buffer,256,.....);//接受网络数据
if(FD_ISSET(fp,&fds)) //测试文件是否可写
fwrite(fp,buffer...);//写入文件
buffer清空;
}// end if break;
}// end switch
}//end while
}//end main
pcap_pkthdr 中 len 和 caplen的区别(转载)
libpcap捕获时,使用pcap_loop之类的函数,在调用处理的handle的时候,返回的第一个参数的类型为pcap_pkthdr,第二个参数为uint8_t的指针,前者中有两个数据域的东东:caplen和len,如下:
struct pcap_pkthdr {
struct timeval ts; /* time stamp */
bpf_u_int32 caplen; /* length of portion present */
bpf_u_int32 len; /* length this packet (off wire) */
};
caplen——真正实际捕获的包的长度
len——这个包的长度
因为在某些情况下你不能保证捕获的包是完整的,例如一个包长1480,但是你捕获到1000的时候,可能因为某些原因就中止捕获了,所以caplen是记录实际捕获的包长,也就是1000,而len就是1480。
用vim格式化代码
虽然不是第一次听说,但是第一次用的感觉还是很神奇。
以下转自:http://hi.baidu.com/seesea8/blog/item/b96c8e51eb8f352743a75b41.html
从别的编辑器里粘贴到vim里的代码经常由于不正常的缩进变得格式混乱。在vim的官方FAQ (http://vimdoc.sourceforge.net/cgi-bin/vimfaq2html3.pl)找到的:
格式化全文:
gg=G
自动缩进当前行:
==
这个是原文节选:
14.6. How do I format/indent an entire file?You can format/indent an entire file using the gg=G command, where
gg - Goto the beginning of the file
= - apply indentation
G - till end of fileFor more information, read
:help gg
:help =
:help G
:help 'formatprg'
:help C-indenting
CMake 项目卸载方法
CMake 默认不提供 uninstall 这个 target,想要的话,输入:
xargs rm < install_manifest.txt
对于不修改配置的项目足够了。
manifest.txt是CMake生成的安装文件列表。
Linux下国际化编程(Gettext、i18n)
参考:http://blog.chinaunix.net/u1/59571/showart_1670949.html
一、编写程序
对于国际化程序的编写,终端程序和图形界面程序是不同的,但是后期的翻译步骤是一致的。
终端程序只有gettext函数,可以通过预编译(#define)来简化,而glib中的gi18n.h提供了_()宏,比较方便。把所有文本放在_()中间即可。
下面编写两个示例来说明。
终端程序:
#include#include #include #define _(STRING) gettext(STRING) int main () { setlocale (LC_ALL, ""); bindtextdomain ("test", "./locale/"); textdomain ("test"); printf (_("This is English.\n")); return 0; }
GTK+程序:
#include#include #include #define GETTEXT_PACKAGE "gi18n" #define LOCALEDIR "./locale" int main(int argc,char **argv) { GtkWidget *window; gtk_init (&argc, &argv); bindtextdomain (GETTEXT_PACKAGE, LOCALEDIR); bind_textdomain_codeset (GETTEXT_PACKAGE, "UTF-8"); textdomain (GETTEXT_PACKAGE); window = gtk_window_new (GTK_WINDOW_TOPLEVEL); gtk_window_set_title (GTK_WINDOW(window), _("help")); g_signal_connect (G_OBJECT (window), "delete-event", G_CALLBACK (gtk_main_quit), NULL); gtk_widget_show (window); gtk_main (); return 0; }
二、生成po文件
xgettext -k_ -o lang.po ./*.c
三、编辑po文件
将头部的CHARSET改为"UTF-8",在msgstr后加入翻译。
四、生成mo文件
msgfmt -o test.mo lang.po
注意test是你程序中的GETTEXT_PACKAGE名字。
五、移动mo文件
先建立locale/zh_CN/LC_MASSAGES/这个文件夹,然后把mo文件移动过去,注意locale是你程序中的LOCALEDIR。
六、运行程序
呵呵,看看效果吧,在不同的locale下(可修改$LANG),运行的程序效果不同哦~
源码见这里:http://cid-162cb1a1d5fea75d.skydrive.live.com/self.aspx/.Public/i18n.7z
(第一次用skydrive,不知道会不会很麻烦……)
关于
标签云
友情链接
- A Bit? No!!!
- bones7456
- Cooking Linux
- HomeZZ
- I'm M.B.Samnew
- I'm TualatriX
- L'ven's Blog
- ShelleX is Not ShelleXtend
- Var的小宇宙
- 七星庐
- 小汐的露青轩
- 歪歪灰主流
- 若有所思&&若有所想
- 运维进行时
- 阳光烂灿的日子
- 麦麦的不老阁
