用戶權限是linux安全性的一個方面。這些權限分為幾個類型����,包括文件許可�,文件屬性,文件系統配額和系統資源限制。
(1)文件和目錄許可
我們可以對linux中的文件和目錄設置許可�。防止別人閱讀你的私人文件和進入敏感目錄��。我們可以將文件許可設置到最小,然后基于需要逐一放松許可。下面是一個文件許可的簡單例子:
dai$ ls -l d.txt
-rw-rw-r-- 1 dai users 20445 Nov 6 05:40 d.txt 分別為許可�, 鏈接數�����,用戶,組 �,字節數 �����,最后修改時間 ����,名字
其中文件許可信息是:
- rw- rw- r--
分別為文件類型 所有者許可 組許可 其他人許可
通常文件類型可以有: - 普通文件 �,d目錄, l 符號鏈接�, s套接字���, p FIFO管道
文件許可的3種權限可設置為許可或拒絕��,也就是置位或清空,因此可以將許可看作0和1的集合����,如rwx為讀���,寫�,執行����,就可以寫成111也可以寫成八進制的7�����,rx為讀��,寫,清空寫入許可���,因此可以寫成101,八進制為5�����,rwxr-x--x為111101001其八進制為751
更改文件許可:
dai$ ls -l d.txt
-rw-rw-r-- 1 dai users 20445 Nov 6 05:40 d.txt
dai$ chmod 751 d.txt
dai$ ls -l d.txt
-rwxr-x--x 1 dai users 20445 Nov 6 05:40 d.txt也可以使用chmod命令的如下符號模式:
dai$ ls -l d.txt
-rw-r--r-- 1 dai users 20445 Nov 6 05:40 d.txtdai$ chmod +x d.txt
dai$ ls -l d.txt
-rwxr-xr-x 1 dai users 20445 Nov 6 05:40 d.txt
這里chmod+x其含義是“增加執行許可:+表示增加許可 -表示除去許可因為可以僅更改組許可
dai$ chmod g-r d.txt
dai$ ls -l d.txt
-rw---xr-x 1 dai users 20445 Nov 6 05:40 d.txt
在可寫目錄下冊除其他用戶的文件
所有用戶只要他對這個目錄有寫的權限����,他不僅可以在目錄下創建文件,也可以冊初目錄下的所有文件,包括不屬于自己的文件
如:
dai$ ls -ld temp
drwxrwxrwx 2 dai users 20445 Nov 6 05:40 temp
我們可以看到�,該目錄屬于dai��,但任何人都有寫的權限,現在有個用戶ming ,要冊除一個不屬于他且無權讀取的文件:
ming$ ls -l
total 0
-rw------ 1 dai users 20445 Nov 6 05:40 a
-rw------- 1 ming users 20445 Nov 6 05:40 b
-rw------- 1 root root 20445 Nov 6 05:40 c
ming$ cat a
cat: a: weijianleirong
ming$ rm -f a
ming$ ls -l
total 0
-rw------- 1 ming users 20445 Nov 6 05:40 b
-rw------- 1 root root 20445 Nov 6 05:40 c
我們可以看到文件a不是ming所有,用戶ming對文件也a沒有讀�,寫權限���,但他成功冊除了文件����。他做到這一點是因為他對目錄有寫權限-在linux下冊除文件只是更改目錄�,即只要最目錄有寫權限要讓用戶只能冊除自己的文件,只需要給目錄設置粘連位
dai$ chmod +t temp
dai$ ls -ld temp
drwxrwxrwt 2 dai users 20445 Nov 6 05:40 temp
現在用戶ming 就不可以冊除文件a了�����,但還可以冊除自己的文件
除了讀(r)�����,寫(w),執行(x)權限外�����,還可以設置兩個許可位�,set-user-id(簡寫為suid)位 set-group-id(sgid)位。其作用是程序以所有者身份運行����,而忽略實際執行程序的用戶身份��。
root# ls -l suiffile
rwxr-xr-x 21 dai users 20445 Nov 6 05:40 suiffile
root# chmod u+s suiffile
rwsr-xr-x 21 dai users 20445 Nov 6 05:40 suiffile
在代表用戶權限的x位置的s位置s就是suid位
有時候對于敏感文件,讀��,寫�,執行,權限并不充分使用高級文件屬性我們可以使用chattr和lsattr �。
屬性可以增加對文件和目錄的保護和安全性���,如����,i 設置文件不可以更改,使文件不可以修改��,冊除�����,重命名����,s屬性使文件被冊時候�����,類容從磁盤上完全抹去:
i:文件不可以更改,使文件不可以修改�����,冊除��,重命名�����,鏈接,寫入數據��。s:文件冊除時從磁盤清零�����,d:文件不可以百轉儲 a:文件只能以追加模式打開�,只有root可以設置這個屬性
dai$ lsattr c.txt
--------- c.txt
dai$ chattr +c c.txt
dai$ chattr +d c.txt
dai$ chattr +s c.txt
dai$ lsattr c.txt
s-c---d- c.txt
dai$ chattr -d c.tx
s-c----- c.txt
