主题相关:Linux文件系统权限
主题列表:
1.默认权限:umask
2.隐藏权限:chattr, lsattr
3.特殊权限:SUID/SGID/Sticky Bit
4.文件类型:file
系统环境:Redhat Fedora Core 6
文章作者:wuzhaikof
文件与(或)目录是文件系统的具体表现形式,在Linux系统管理部分,文件与目录管理映射了Linux文件系统管理策略的重要方面。本文主要就Linux文件系统(文件或目录)的默认权限与隐藏权限展开论述,关于文件和目录的路径、权限、权限表示(和设置)方法等基本概念以及常规操作(移动、删除、复制、查看等)是学习本文的基础。
一. 文件系统的默认权限(umask)
当我们在系统中新建一个文件或目录时,系统会自动赋予该文件或目录一个初始访问权限(Value),我们称为默认权限,默认权限与文件系统的umask值有关。可以在终端下直接输入umask来查看当前系统的umask值。例如:
[root]#umask
0022
也许你会问为什么自己系统的umask值只有三位数?这里第一位是特殊权限位,我们暂且不考虑它,先看后面三位数就可以了。那么这个值具体是怎样运用的呢?其实umask本质是一个掩码,为此我们有必要先了解Linux文件系统权限的表示方法及文件与目录的约定权限。
1. 文件系统的权限表示方法有两种。
一是直接用r、w、x来代表文件的所有者(u)、用户组(g)、其他用户(o)对某一文件或目录的读、写、执行(x)权限,称为字符表示法,例如上面的-rw-rw-rw-。二是用一组(三位)八进制数来间接表示文件或目录的权属,称为数字表示法,例如某文件的权限为755。
注:所谓数字表示法是指将读取(r),写入 (w) 和执行(x)
分別以4、2、l来代表,沒有授予的部份就表示值为0,然后再把所授予的权限相加而成。
2. 在不考虑umask的情况下,新建一个文件或目录的权限应该都是rwxrwxrwx,但为了提高安全性,会默认去除新建文件的可执行权限(x),而对于新建的目录,可执行位x与可否被允许进入该目录有关,因此Linux约定:
新建文件的权属是-rw-rw-rw-,权限值是666。
新建目录的权属是drwxrwxrwx,权限值是777。
那么,在给定系统umask的情况下,新建文件或目录的默认权限如下赋予:
新建文件的约定权限 - UMASK表示的权限 = 文件的默认权限
新建目录的约定权限 - UMASK 表示的权限 = 目录的默认权限
这里的减号(-)更确切地说是屏蔽的意思。
例如当前系统的UMASK值为002,或者表示为--- ---
-w-。那么新建一个文件或目录的默认权限为:
新建文件的约定权限 - UMASK表示的权限 = 文件的默认权限
-rw-rw-rw- - --- ---
-w- =
-rw-rw-r-
表示在约定权限的基础上屏蔽除所有者(u)、同组用户(g)之外其他用户(o)的可写权限。此时当你在系统中新建一个文件时,该文件的默认权限就是-rw-rw-r-了,这样你就会理解为什么UMASK是一个掩码值了。我们再实际操作一下吧。
[root]#umask 002
[root]#umask
002
[root]#touch test1
[root]#ls -dl test1
-rw-rw-r-- 1 root root 0 Jun 17 21:27 test1
test1的约定权限是rw-rw-rw-,但经过umask屏蔽后,被赋予默认权限为rw-rw-r--。
同理对于新建目录的默认权限采用同样的规则。
新建目录的约定权限 - UMASK 表示的权属 = 目录的默认权限
rwxrwxrwx - --- ---
-w- = rwxrwxr-x
[root]#mkdir testdir
[root]#ls -dl testdir
drwxrwxr-x 2 root root 4096 Jun 17 21:30 testdir
以上只抛砖引玉地概述UMASK的意义即简单的设定方法,需要注意的是,umask命令用来设置进程所创建的文件的读写权限,最保险的值是0077,即关闭创建文件的进程以外的所有进程的读写权限,表示为-rw---
----。在~/.bash_profile中,加上一行命令umask 0077可以保证每次启动Shell后, 进程的
umask权限都可以被正确设定。
二. 文件系统的隐藏权限:chattr,
lsattr
除了设置文件或目录的读(r)、写(w)、执行(x)权限外,对于某些有特殊要求的档案(如服务器日志)还可以追加隐藏权限的设定。这些隐藏权限包括:
Append only (a), compressed (c), no dump (d),
immutable (i), data journalling (j),secure deletion (s), no
tail-merging (t), undeletable (u), no atime updates (A),
synchronous directory updates (D), synchronous updates (S), and top
of directory hierarchy (T).
大部分属性在文件系统的安全管理方面起很重要的作用。关于以上属性的详细描述请兄弟们查阅chattr的在线帮助man,注意多数属性须要由root来施加。
1. 通过chattr设置档案的隐藏权限。
[root]#chattr --help
Usage: chattr [-RV] [-+=AacDdijsSu] [-v version]
files...
参数或选项描述:
-R:递归处理,将指定目录下的所有文件及子目录一并处理。
-V:显示详细过程有版本编号。
-v:设定文件或目录版本(version)。
+ :在原有参数设定基础上,追加参数。
- :在原有参数设定基础上,移除参数。
= :更新为指定参数设定。
A:文件或目录的 atime (access time)不可被修改(modified),
可以有效预防例如手提电脑磁盘I/O错误的发生。
S:硬盘I/O同步选项,功能类似sync。
a:即append,设定该参数后,只能向文件中添加数据,而不能删除,多用于服务器日志文 件安全,只有root才能设定这个属性。
c:即compresse,设定文件是否经压缩后再存储。读取时需要经过自动解压操作。
d:即no dump,设定文件不能成为dump程序的备份目标。
i:设定文件不能被删除、改名、设定链接关系,同时不能写入或新增内容。i参数对于文件 系统的安全设置有很大帮助。
j:即journal,设定此参数使得当通过mount参数:data=ordered 或者 data=writeback
挂 载的文件系统,文件在写入时会先被记录(在journal中)。如果filesystem被设定参数为 data=journal,则该参数自动失效。
s:保密性地删除文件或目录,即硬盘空间被全部收回。
u:与s相反,当设定为u时,数据内容其实还存在磁盘中,可以用于undeletion.
各参数选项中常用到的是a和i。a选项强制只可添加不可删除,多用于日志系统的安全设定。而i是更为严格的安全设定,只有superuser
(root)
或具有CAP_LINUX_IMMUTABLE处理能力(标识)的进程能够施加该选项。我们来举一个例子:
[root]#touch chattr_test
[root]#chattr +i chattr_test
[root]#rm chattr_test
rm: remove write-protected regular empty file `chattr_test`?
y
rm: cannot remove `chattr_test`: Operation not
permitted
呵,此时连root本身都不能直接进行删除操作,必须先去除i设置后再删除。
chattr命令的在线帮助详细描述了各参数选项的适用范围及bug提示,使用时建议兄弟们仔细查阅。由于上述的这些属性是隐藏的,查看时需要使用lsattr命令,以下简述之。
lsattr命令格式:
[root]#lsattr [-RVadlv] [files...]
参数或选项说明:
-R:递归列示目录及文件属性。
-V:显示程序版本号。
-a:显示所有文件属性,包括隐藏文件(.)、当时目录(./)及上层目录(../)。
-d:仅列示目录属性。
-l:(此参数目前没有任何作用)。
-v:显示文件或目录版本。
例:
[root]#chattr +aij lsattr_test
[root]#lsattr----ia---j---
./lsattr_test
关于lsattr的用法,详情请参阅在线帮助man
三.档案的特殊权限:SUID/SGID/Sticky Bit
接下来将概要性地介绍SUID/SGID/Sticky
Bit等特殊权限及它们的设置方法,学习前需要掌握用户(组)ID、程序(process)、(文件系统权限的表示和设置方法)等知识。
前面提到的r(读)、w(写)、x(执行)是Linux文件系统的基本权限,三者规定了特定文件或目录的所有者(user)、所有者所属用户组(group)、其他(others)对文件系统的存取权限。例如:
[root]#ll apple
-rw-r--r-- 1 root 8083 0 Apr 1 20:46 apple
然而结合前面介绍的UMASK值(0022),说明还存在一些特殊的权限规范,这些权限包括SUID/SGID/Sticky
Bit,系统中就直接存在这样的例子:
[root]#ls -dl /tmp
drwxrwxrwt 342 root root 36864 Jun 14 22:13 /tmp
[root]$ll /usr/bin/passwd
-rwsr-xr-x 1 root root 27768 Jul 17 2006
/usr/bin/passwd
1.Set UID
Linux为了提高本地用户账号信息的安全性,特别指定了/etc/shadow
(影子文件)以加密密码的方式来存储用户的账户信息,同时这个文件的默认权限是-r--------,限定只有superuser才能“强制”储存,其他用户没有任何权限。可是你会发现,为什么我们可以以普通用户的身份修改我们自己的用户密码呢,毕竟更新密码就必然会写入/etc/shadow文件的?
参照前面的例子(/usr/bin/passwd),我们认为当文件系统的“所有者权限组合”的可执行位(x)被s(即rws------)取代时,构成特殊权限规定Set
UID,简称SUID。
SUID表示当请求执行包含SUID特殊权限的程序时,能够暂时拥有该程序所有者(对程序)的存取权限。假设普通用户A通过passwd命令更新自己的密码,而/usr/bin/passwd的所有者是root
(root,root),也就是说,当A请求执行passwd命令时,实际上是暂时获得root(对/usr/bin/passwd)的执行权限,并进一步更新/etc/shadow的内容。
需要注意的是,Linux规定SUID仅对系统中的二进制可执行文件设置有效,而且不可对Shell Script施加设置,毕竟Shell
脚本只是对二进制可执行文件的调度组合,最终也是要遵从binary file的权限设置。
2.Set GID
相对于SUID,当所有者所在的用户组(group)的权限组合中可执行位(x)被s所取代时(例如---rws---),便构成Set
GID的权限设置。SGID可以针对二进制文件或目录进行设置:
a.二进制可执行文件:则当请求执行该文件(程序)时,请求执行者所在的用户组(即effective
group)将暂时获得该程序(binary file)所属的用户组ID(group
ID)的存取权限.
b.目录:假设目录A,此时在A目录下创建的文件或子目录所属的用户组ID,将自动被赋予A目录的组ID
SGID主要用于多人组成的项目开发上,一般比较少用到。
3. Sticky Bit
我们认为,当文件系统“其他(others)”的权限组合中可执行位(x)被t所取代时(例如------rwt),便构成Sticky
Bit的权限设置。SBIT顾名思义可以起到限制访问的作用,是容易理解而好用的设置,它只对目录有效。当对一个目录A施加了SBIT设定以后,并且使用者对A目录有w和x权限时,则使用者在A目录下所创建的个人文档(含目录)只有使用者本身或root可以执行删除、更名、移动等操作(是否可读依实际权限r而定)。
由前面所举的/tmp目录,我们做一下简单的测试:
[root]#ls -dl /tmp
drwxrwxrwt 342 root root 36864 Jun 14 22:13 /tmp
[root]#cd /tmp
[root]#touch orange
[root]#chmod 777 orange (注意这里设置orange权限全开)
[root]#logout (退出root,并以普通用户登录)
[console]$cd /tmp
[console]$rm orange
rm: cannot remove `orange': Operation not
permitted
注意:SBIT一般仅针对目录施加有意义。
接下来再简单介绍以上几种特殊权限的设置方法。如果你已经掌握了用(八进制)数字来表示权限的规则,再结合chmod命令进行设置就很简单了。以下是SUID/SGID/Sticky
Bit约定对应的八进制数值:
*SUID 4
*SGID 2
*SBIT 1
设置时我们把表示特殊权限的数字放在其他三位数字权限的前面,现举例如下:
[root]#touch banana ; ll banana
-rw-r--r-- 1 root 8083 0 Jun 16 18:16 banana
[root]#chmod 4775 banana ; ll banana
-rwsrwxr-x 1 root 8083 0 Jun 16 18:16
banana (注意SUID仅对二进制文件有效)
[root]#chmod 6775 banana ; ll banana
-rwsrwsr-x 1 root 8083 0 Jun 16 18:16
banana (注意权限组合)
[root]#chmod 1775 banana ; ll banana
-rwxrwxr-t 1 root 8083 0 Jun 16 18:16
banana (注意SBIT一般仅针对目录有意义)
以下再举一个特例:
[root]#chmod 7666 banana ; ll banana
-rwSrwSrwT 1 root 8083 0 Jun 16 18:16 banana
呵,特殊权限位变成大写的了,注意例子中我们把banana文件的基本权限设为666,说明banana没有任何可执行权限,这里特殊权限位为大写,我们认为是“空”,毕竟文件的所有者都没有定义执行权限,(程序的)请求执行者当然不能获得执行权限。
以上介绍了特殊权限SUID/SGID/Sticky
Bit的基本概念及设定方法,个人认为如果有条件,应该重点把握SUID这一特殊权限,因为就程序而言,一个可以改变UID的程序是SUID程序。我们知道在各种操作系统中都普遍存在缓冲区溢出的可能,这是严重威胁系统安全的漏洞,而具有SUID特殊权限的程序就经常被入侵者所利用,他们编写一些特殊代码,迫使系统在执行SUID程序时发生缓冲区溢出,进而获得superuser的执行权限。当然系统中默认允许SUID的程序,例如passwd、ping、su等,在系统运作均衡、提高管理效率及系统诊断方面也是必要的,只是我们应当根据实际需要,尽量减少这些安全隐患的存在。
四.文件类型:file
前面介绍了Linux文件系统权限的相关概念。我们知道Linux文件系统是Linux内核支持的基本功能之一, 并由根 /
开始往下形成倒立树状的级连式结构。文件与目录是Linux文件系统的两个基本元素,(广义的)文件分为普通文件、目录文件、连接文件和特殊文件。可以通过file命令来识别各种不同的文件类型。
应用举例:
[root]#file ~/.bashrc
/home/b/j/console/.bashrc: ASCII text
[root]#file /usr/bin/passwd
/usr/bin/passwd: setuid ELF 64-bit LSB executable, AMD x86-64,
version 1 (SYSV), for GNU/Linux 2.6.9, dynamically linked (uses
shared libs), for GNU/Linux 2.6.9, stripped
[root]#file /usr/lib/python2.4/test/185test.db
/usr/lib/python2.4/test/185test.db: Berkeley DB 1.85 (Hash, version
2, big-endian)
关于file命令的用法可以通过file –help 或 file的在线帮助man 了解更多详情。
*******************************************************************************
参考资料:
《Redhat Linux 9 系统管理》--(李蔚泽 清华大学出版社)
《鸟哥的Linux私房菜》 --(http://linux.vbird.org/)
《UNIX 缓冲区溢出程序的机理》----- Cooltang's Box
《Linux系统安全》------ 寂寞风情's blog
《Linux档案系统管理(第三篇)》-----(fanqiang.chinaunix.net/)