用戶權限是linux安全性的一個方面。這些權限分為幾個類型,包括文件許可,文件屬性,文件系統配額和系統資源限制。
(1)文件和目錄許可
我們可以對linux中的文件和目錄設置許可。防止別人閱讀你的私人文件和進入敏感目錄。我們可以將文件許可設置到最小,然後基於需要逐一放松許可。下面是一個文件許可的簡單例子:
dai$ ls -l d.txt
-rw-rw-r-- 1 dai users 20445 Nov 6 05:40 d.txt 分別為許可, 鏈接數,用戶,組 ,字節數 ,最後修改時間 ,名字
其中文件許可信息是:
- rw- rw- r--
分別為文件類型 所有者許可 組許可 其他人許可
通常文件類型可以有: - 普通文件 ,d目錄, l 符號鏈接, s套接字, p FIFO管道
文件許可的3種權限可設置為許可或拒絕,也就是置位或清空,因此可以將許可看作0和1的集合,如rwx為讀,寫,執行,就可以寫成111也可以寫成八進制的7,rx為讀,寫,清空寫入許可,因此可以寫成101,八進制為5,rwxr-x--x為111101001其八進制為751
更改文件許可:
dai$ ls -l d.txt
-rw-rw-r-- 1 dai users 20445 Nov 6 05:40 d.txt
dai$ chmod 751 d.txt
dai$ ls -l d.txt
-rwxr-x--x 1 dai users 20445 Nov 6 05:40 d.txt也可以使用chmod命令的如下符號模式:
dai$ ls -l d.txt
-rw-r--r-- 1 dai users 20445 Nov 6 05:40 d.txtdai$ chmod +x d.txt
dai$ ls -l d.txt
-rwxr-xr-x 1 dai users 20445 Nov 6 05:40 d.txt
這裡chmod+x其含義是“增加執行許可:+表示增加許可 -表示除去許可因為可以僅更改組許可
dai$ chmod g-r d.txt
dai$ ls -l d.txt
-rw---xr-x 1 dai users 20445 Nov 6 05:40 d.txt
在可寫目錄下冊除其他用戶的文件
所有用戶只要他對這個目錄有寫的權限,他不僅可以在目錄下創建文件,也可以冊初目錄下的所有文件,包括不屬於自己的文件
如:
dai$ ls -ld temp
drwxrwxrwx 2 dai users 20445 Nov 6 05:40 temp
我們可以看到,該目錄屬於dai,但任何人都有寫的權限,現在有個用戶ming ,要冊除一個不屬於他且無權讀取的文件:
ming$ ls -l
total 0
-rw------ 1 dai users 20445 Nov 6 05:40 a
-rw------- 1 ming users 20445 Nov 6 05:40 b
-rw------- 1 root root 20445 Nov 6 05:40 c
ming$ cat a
cat: a: weijianleirong
ming$ rm -f a
ming$ ls -l
total 0
-rw------- 1 ming users 20445 Nov 6 05:40 b
-rw------- 1 root root 20445 Nov 6 05:40 c
我們可以看到文件a不是ming所有,用戶ming對文件也a沒有讀,寫權限,但他成功冊除了文件。他做到這一點是因為他對目錄有寫權限-在linux下冊除文件只是更改目錄,即只要最目錄有寫權限要讓用戶只能冊除自己的文件,只需要給目錄設置粘連位
dai$ chmod +t temp
dai$ ls -ld temp
drwxrwxrwt 2 dai users 20445 Nov 6 05:40 temp
現在用戶ming 就不可以冊除文件a了,但還可以冊除自己的文件
除了讀(r),寫(w),執行(x)權限外,還可以設置兩個許可位,set-user-id(簡寫為suid)位 set-group-id(sgid)位。其作用是程序以所有者身份運行,而忽略實際執行程序的用戶身份。
root# ls -l suiffile
rwxr-xr-x 21 dai users 20445 Nov 6 05:40 suiffile
root# chmod u+s suiffile
rwsr-xr-x 21 dai users 20445 Nov 6 05:40 suiffile
在代表用戶權限的x位置的s位置s就是suid位
有時候對於敏感文件,讀,寫,執行,權限並不充分使用高級文件屬性我們可以使用chattr和lsattr 。
屬性可以增加對文件和目錄的保護和安全性,如,i 設置文件不可以更改,使文件不可以修改,冊除,重命名,s屬性使文件被冊時候,類容從磁盤上完全抹去:
i:文件不可以更改,使文件不可以修改,冊除,重命名,鏈接,寫入數據。s:文件冊除時從磁盤清零,d:文件不可以百轉儲 a:文件只能以追加模式打開,只有root可以設置這個屬性
dai$ lsattr c.txt
--------- c.txt
dai$ chattr +c c.txt
dai$ chattr +d c.txt
dai$ chattr +s c.txt
dai$ lsattr c.txt
s-c---d- c.txt
dai$ chattr -d c.tx
s-c----- c.txt
