首先,還是要從用戶賬戶的作用出發;
用戶賬戶的作用:證實操作者的身份
不允許任何人都以管理的身份來對計算機資源進行使用,這樣會使計算機的安全性特別低。
其次,用戶賬戶通過之後,我們要對於不同的用戶賬戶進行不同的授權(權限)
例如:超級用戶(root),擁有對於計算機的資源擁有所有權
普通賬戶(user1,user2,...),擁有指定賦予的權限。
文件系統的權限管理:
普通權限
特殊權限
文件的擴展屬性
FACL(文件系統訪問控制列表)
我們把這4個部分組成的一套體系稱爲:DAC(自主訪問控制)
說到這套體系就必須說到另一個概念
安全上下文:
任何在計算機中執行的任務都是由進程實現的;
進程有必要訪問和使用文件或某些數據資源;
簡單理解起來就是:張三的車只有張三能開,
李四不能夠開,除非張三允許李四開張三的車
張三,李四分別對車之間就有權限的關係;
就相當於: 張三對應進程1
李四對應進程2
車相當於計算機資源1
進程1能夠使用資源1
進程2不能使用資源2
補充:人操作計算機就是:人使用一個用戶賬戶登陸到計算機,計算機操作就是用戶賬戶通過
“識別”的人體手動操作打開對應的進程,而這些進程就會去對相應的文件進行執行和
處理或使用。
進程和其要操作的文件之間的關係,就定義爲安全上下文;
在DAC模型中,定義安全上下文的方式很簡單:
所有權
任何啓動進程的用戶就是該進程的所有者;進程的所有者可以變更;
任何創建文件的用戶就是該文件的所有者;文件的所有者可以變更;
使用權
在文件上面定義的對該文件的特定使用過濾規則;
三個權限:所有者權限,所屬組權限,其他人權限;
安全上下文的匹配規則:
當某個進程試圖操作某個文件時,DAC將做如下規則匹配:
1.判斷進程的所有者和文件的所有者是否爲同一用戶,如果是,則直接應用 文件的所有者權限;
2.如果不是,進一步判斷進程的所有者是否爲文件的所屬組的成員,如果 是,則直接應用文件的所屬組權限;
3.如果不是,直接應用其他人權限;
在Linux中查看某個文件的權限可以使用:ls -l[d] /PATH/TO/SOMEFILE
接下來就是要介紹與權限相關的和其命令操作:
rwxr-xr-x:三個權限位(屬主/所有者,屬組/所屬組,其他用戶)
屬主權限:rwx,此權限位標識爲user,簡寫爲u;
屬組權限:r-x,此權限位標識爲group,簡寫爲g;
其他用戶權限:r-x,此權限位標識爲other,簡寫爲o;
所有的權限位可以統一用all標識,簡寫爲a;
注意:"-"表示在該權限位上不具備指定權限;
rwx組合稱爲"權限標識三元組";
數字權限標識:二進制數字標識,在對應的權限位上有權限則爲1,無權限則爲0;
---000 0
--x 001 1
-w- 010 2
-wx 011 3
r-- 100 4
r-x 101 5
rw- 110 6
rwx 111 7
使用符號標識權限和數字表示權限的區別:
1.使用符號標識法可以只標識某個特定的權限位,也可以同時標識所有的權限位;
示例:
u=rx; ug=rwx; u=rwx,g=rx,o=r; a=rwx
2.使用數字標識法只能同時標識所有權限位;
示例:
755; 644; 7 == 007 ; 75 == 075
修改文件的使用權:
chmod - change file mode bits
格式:
chmod [OPTION]... MODE[,MODE]... FILE...
chmod [OPTION]... OCTAL-MODE FILE...
chmod [OPTION]... --reference=RFILE FILE...
MODE:符號權限標識法:
u, g, o, a:表示權限位;
+, -, =:表示授權方式;
+:表示在指定的權限位上增加指定權限;如果新增的權限是已經存在的權限,則結果相比較授權之前無變化;
-:表示在指定的權限位上撤銷指定權限;如果被撤銷權限在原權限位並不存在,則結果相比較授權之前無變化;
=:表示在指定的權限位上精確授權;此種授權方式不考慮該權限位原有的權限設定的;
r, w, x:表示具體的權限;
示例:
# chmod u-x,g+rw,o+r txt.user3
# chmod u-x,g-x,o-wx txt.user3
# chmod u+rw,g+rw,o+r txt.user3
# chmod u=r,g=r,o=rwx txt.user3
注意:
chmod +|- r|x FILE:在所有的權限位上增加或撤銷讀或執行權限;
chmod +|- w FILE:僅在所有者權限位上增加或撤銷寫權限;
注意:對於文件來說,執行權限是非常重要的安全上下文標識;因此默認情況下,所有的非目錄文件都不應該有執行權限;因爲一旦非目錄具有了執行權限,則意味着該文件可以被執行,發起爲進程,則可以按需使用系統資源;
OCTAL-MODE:八進制數字權限標識法
示例:
# chmod 640 root.txt
--reference=RFILE:
示例:
# chmod --reference=/etc/shadow root.txt
//參考/etc/shadow文件的權限位root.txt設置相同權限;
常用選項:
-R, --recursive:遞歸地設置目標文件或目錄的權限;
修改文件的所有權:
chown
chown - change file owner and group //修改文件的屬主和屬組
格式:
chown [OPTION]... [OWNER][:[GROUP]] FILE...
chown [OPTION]... --reference=RFILE FILE...
示例:
~]# chown user3 test1 //只修改這個文件的所有者,所屬組不變
~]# chown user3: test2 //把這個文件所有者改成user3,並把user3的主要組改成此文件的所屬組
~]# chown :user3 test3 //把此文件的所屬組改成user3,而所有者/屬主不變
~]# chown user3:myuser test4 //直接把此文件的屬主和屬組改成user3和myuser
注意:在使用chown命令時,特別的,可以使用"."代替":";
常用選項:
-R, --recursive:遞歸地設置目標文件或目錄的所有權;
注意:對於文件來說,普通用戶可以修改所有者爲自己的文件的使用權,但無法修改文件的所有權;修改文件所有權的操作只有root可以完成;
chgrp(不常用)
chgrp - change group ownership
格式:
chgrp [OPTION]... GROUP FILE...
chgrp [OPTION]... --reference=RFILE FILE...
注意:chown和chgrp命令所指定的用戶和組,既可以是用戶名和組名,也可以是UID和GID;
mkdir:
-m MODE:在創建目錄時爲其指定權限;
install命令:
install - copy files and set attributes
格式:
install [OPTION]... [-T] SOURCE DEST
單源複製,爲複製後的文件增加執行權限;
install [OPTION]... SOURCE... DIRECTORY
多源複製,爲複製後的文件增加執行權限;
install [OPTION]... -d DIRECTORY...
創建目錄;
常用選項:
-g, --group=GROUP
set group ownership, instead of process' current group
//設定目標文件的所屬組爲指定組,而不是進程所有者的主要組;
-m, --mode=MODE
set permission mode (as in chmod), instead of rwxr-xr-x
//設定目標文件的權限,而不是rwxr-xr-x;
-o, --owner=OWNER
set ownership (super-user only)
//設定目標文件的所有者,僅root可用;
注意:install命令,不能複製目錄,即不能以目錄爲源文件;如果其源文件是一個目錄,則install命令會進入該目錄,依次複製其中的所有非目錄文件到目標位置;
特殊權限:
SUID,SGID,STICKY
1.SUID:SUID僅設置在可執行的文件上。
默認情況下,當用戶執行此類可執行文件時,被髮起的進程的所有者不是進程發起者,而是可執行文件的所有者;換句話說,進程以文件所有者的身份運行;
SUID權限所顯示的位置:文件的屬主的權限位中的執行權限位上;如果屬主本來就具有執行權限,則顯示爲"s";如果屬主本來沒有執行權限,則顯示爲"S";
管理SUID權限:
1.符號標識法:chmod u+s FILE
2.數字標識法:chmod 4755 FILE
2.SGID:SGID可以設置在可執行文件或目錄的屬組權限位的執行權限上。
如果某個目錄設置了SGID權限,並且對於某些用戶有寫權限,則所有在此目錄中創建的新文件和目錄的所屬組均爲其父目錄的所屬組,而並非進程發起者的主要組;
SGID權限的顯示位置:文件的屬組權限位上的執行權限上;如果屬組本來就有執行權限,則顯示爲"s",否則,就顯示爲"S";
管理SGID權限:
1.符號標識法:chmod g+s DIR
2.數字標識法:chmod 2770 DIR
3.STICKY:STICKY僅設置在目錄的其他用戶權限位的執行權限上。
如果在某個目錄上的權限設置爲多個用戶都擁有寫權限,那就意味着凡是擁有寫權限的用戶都能直接管理該目錄中的所有文件名,包括改名文件及刪除文件名等操作;因此需要在這樣的目錄上設置STICKY特殊權限;如果此類目錄設置了STICKY,則所有用戶即便擁有寫權限,也僅能刪除或改名所有者爲其自身的文件;
STICKY權限的顯示位置:在目錄的其他用戶的權限位的執行權限上;如果該權限位本來有執行權限,則顯示爲"t",否則,顯示爲"T";
管理STICKY權限:
1.符號標識法:chmod o+t DIR
2.數字標識法:chmod 1777 DIR
權限遮罩碼:umask
作用:在創建目錄或文件時,被創建出來的目錄或文件的默認權限上刪除遮罩碼上所對應的權限;
注意:在創建目錄或文件時,默認不設置特殊權限;
對於目錄文件:默認的權限爲:0777-umask 0777-0033 = 0744
對於非目錄文件:默認的權限爲:0666-umask 0666-0033 = 0644
umask [OCTAL-MODE]
默認設置遮罩碼的文件:/etc/bashrc
規則:如果用戶的UID大於199並且用戶的用戶名和主要組的組名相同,則遮罩碼爲002;否則遮罩碼爲022;
文件的擴展屬性:
lsattr:
lsattr - list file attributes on a Linux second extended file system
格式:
lsattr [ -RVadv ] [ files... ]
chattr:
chattr - change file attributes on a Linux file system
格式:
chattr [ -RVf ] [ -v version ] [ mode ] files...
mode可以是:+-=[aAcCdDeijsStTu]
+
-
=
a:在向文件寫數據時,只能以附加的方式進行寫操作;文件的內容不能被更改和刪除;一般會爲日誌文件設置此屬性;
A:atime,文件的訪問時間戳控制屬性;對於併發訪問量較大或者併發訪問頻率較高的文件,應該設置此屬性以降低IO成本;防止IO瓶頸;
c:設置是否自動壓縮之後再存儲;
C:是否開啓"寫時複製";
d:使用dump備份文件系統是,跳過屬性設置爲d的文件;
D:設置文件在文件系統中的異步寫操作;
i:設置文件不能被刪除,改名及設定鏈接關係;
s:設置文件的保密性刪除;
u:與s屬性相反,如果此類文件被刪除,則在存儲器中會繼續保存其內容;
FACL:
Filesystem Access Control List,文件系統訪問控制列表;
想要應用此功能,必須讓文件系統能夠支持;
FACL爲文件系統的額外賦權機制;
在原有的u,g,o權限位之外,讓普通用戶能夠控制權限賦予另外的某個指定的用戶或組的一種賦權機制;
這種機制在CentOS或者RHEL7之後的發行版本中,才逐漸成熟;
與FACL相關的命令:
getfacl:
getfacl - get file access control lists
格式:
getfacl [-aceEsRLPtpndvh] file ...
setfacl
setfacl - set file access control lists
格式:
setfacl [-bkndRLPvh] [{-m|-x} acl_spec] file ...
setfacl --restore=file
常用選項:
-m acl_spec:爲指定文件設置acl_spec;
-x acl_spec:將acl_spec從指定文件上移除;
acl_spec:acl_specification,acl規格,訪問控制列表;
u:USERNAME:MODE
g:GROUPNAME:MODE
MODE一般是使用符號權限標識法標識的權限;
示例:
爲文件賦予指定用戶的額外訪問權限:
[user3@lab1 ~]$ setfacl -m u:link:rwx /tmp/temp/
撤銷指定文件的額外訪問權限:
[user3@lab1 ~]$ setfacl -x u:link /tmp/temp/
注意:如果設置了FACL之後,再修改目標文件的使用權限,那麼FACL中設置的權限條目可能受到影響而導致授權失敗;因此,爲了保證沒有此項干擾,應該先調整目標文件或目錄的權限,再設置FACL;