1.基本概念
linux 安全上下文
- 運行中的程序:進程 (process)
以進程發起者的身份運行:
root: /bin/cat
mage: /bin/cat
進程所能夠訪問資源的權限取決于進程的運行者的身份
組的類別和基本配置文件
組的類別
-
用戶的主要組(primary group):
- 用戶必須屬于一個且只有一個主組
- 組名同用戶名,且僅包含一個用戶:私有組
- 用戶的附加組(supplementary group)
- 一個用戶可以屬于零個或多個輔助組
-
主要配置文件
- /etc/passwd :用戶及其屬性信息( 名稱、UID 、主組ID 等)
-
文件格式:
Paste_Image.png
-
- /etc/group :組及其屬性信息
-
文件格式:
Paste_Image.png
-
- /etc/shadow :用戶密碼及其相關屬性
- 文件格式: login name:encrypted password:date of last password change:minimnu passwd age : maxmnu paasword age: password warning period:password inactivity period:account expiration date reserved field
- /etc/gshadow:組密碼及其相關屬性
- 文件格式: group name: encrypted password:administrators:members
- /etc/passwd :用戶及其屬性信息( 名稱、UID 、主組ID 等)
2. 文件權限
-
文件屬性
Paste_Image.png
- 文件屬性進行操作的命令
- chown
- 作用:進行文件屬組和屬主的更改
-
語法:
Paste_Image.png
-
實例:更改文件test.txt的屬組和屬主為test用戶
Paste_Image.png - chgrp
- 作用: 改變文件的屬組
-
語法:
Paste_Image.png -
實例: 將test.txt文件的屬組改成root
Paste_Image.png
-
文件權限
- 文件的權限主要針對三類對象進行定義:
- owner: 屬主, u
- group: 屬組, g
- other: 其他, o - 每個文件針對每類訪問者都定義了三種權限:
- r: Readable
- w: Writable
- x: eXcutable
注:當然這只是最基本的權限
-
文件權限操作命令
- chmod
- 作用:修改文件的基本權限,當然這里的
-
文件系統特殊權限
特殊權限的前提: 進程有屬主和屬組;文件有屬主和屬組
(1) 任何一個可執行程序文件能不能啟動為進程, 取決發起者
對程序文件是否擁有執行權限
(2) 啟動為進程之后,其進程的屬主為發起者, 進程的屬組為
發起者所屬的組
(3) 進程訪問文件時的權限,取決于進程的發起者
(a) 進程的發起者,同文件的屬主:則應用文件屬主權限
(b) 進程的發起者,屬于文件屬組;則應用文件屬組權限
(c) 應用文件“其它”權限-
SUID
- 任何一個可執行程序文件能不能啟動為進程:取決發起者對
程序文件是否擁有執行權限 - 啟動為進程之后,其進程的屬主為原程序文件的屬主
SUID 只對二進制可執行程序有效
SUID 設置在目錄上無意義
- 任何一個可執行程序文件能不能啟動為進程:取決發起者對
權限設定:
chmod u+s FILE...
chmod u-s FILE權限位映射:
user, 占據屬主的執行權限位
s: 屬主擁有x 權限
S :屬主沒有x 權限-
SGID 對于可執行文件
- 任何一個可執行程序文件能不能啟動為進程:取決發起者對
程序文件是否擁有執行權限 - 啟動為進程之后,其進程的屬主為原程序文件的屬組
- 權限設定:
chmod g+s FILE...
chmod g-s FILE...
- 任何一個可執行程序文件能不能啟動為進程:取決發起者對
-
SGID 對于目錄
- 默認情況下,用戶創建文件時,其屬組為此用戶所屬的 主 組
- 一旦某目錄被設定了SGID ,則對此目錄有寫權限的用戶在此
目錄中創建的文件所屬的組為此目錄的屬組 通常用于創建一個協作目錄 - 權限設定:
chmod g+s DIR...
chmod g-s DIR... - 權限位映射:
group, 占據屬組的執行權限位
s: group 擁有x 權限
S :group 沒有x
-
Sticky
- 具有寫權限的目錄通常用戶可以刪除該目錄中的任何
文件,無論該文件的權限或擁有權 - 在目錄設置Sticky 位,只有文件的所有者或root可
以刪除該文件 - sticky 設置在文件上無意義
- 權限設定:
chmod o+t DIR...
chmod o-t DIR... - 權限位映射:
t: other 擁有x 權限
T :other 沒有x 權
- 具有寫權限的目錄通常用戶可以刪除該目錄中的任何
ACL
- ACL :Access Control List ,實現靈活的權限管理,除了文件的所有者,所屬組和其它人,可以對更多的用戶設置權限
- CentOS7 默認創建的xfs 和ext4 文件系統具有ACL 功能, CentOS7 之前版本,默認手工創建的ext4 文件系統無ACL功能, 需手動增加:
tune2fs –o acl /dev/sdb1
mount –o acl /dev/sdb1 /mnt/test - ACL 生效 順序:所有者,自定義用戶,自定義組,其 他 人
- 實例: 為多用戶或者組的文件和目錄賦予訪問權限rwx
? mount -o acl /directory
? getfacl file |directory
? setfacl -m u:wang:rwx file|directory
? setfacl -Rm g:sales:rwX directory
? setfacl -M file.acl file|directory
? setfacl -m g:salesgroup:rw file| directory
? setfacl -m d:u:wang:rx directory
? setfacl -x u:wang file |directory
? setfacl -X file.acl directory - ACL 文件上的group 權限是mask 值(自定義用戶,自定義組
,擁有組的最大權限), 而非 傳統的組權限 - getfacl 可看到特殊權限:flags
- 通過ACL 賦予目錄默認x 權限 , 目錄內文件也不會繼承x 權限
- base ACL 不能刪除
- setfacl -k dir 刪除默認ACL 權限
- setfacl –b file1 清除所有ACL 權限
- getfacl file1 | setfacl --set-file=- file2 復制file1的 的acl 權限給file2
- mask 只影響除所有者和other 的之外的人和組的最大權限
Mask 需要與用戶的權限進行邏輯與運算后,才能變成有限的
權限(Effective Permission) - 用戶或組的設置必須存在于mask 權限設定 范圍內才會 生效
setfacl -m mask::rx file - --set 選項會把原有的ACL 項都刪除,用新的替代,需要注
意的是一定要包含UGO 的設置,不能象-m 一樣只是添加
ACL 就可 以 - 示例:
setfacl --set u::rw,u:wang:rw,g::r,o::- file1 - 備份和恢復ACL
- 主要的文件操作命令cp 和mv 都支持ACL ,只是cp 命令需要
加上-p 參數。但是tar 等常見的備份工具是不會保留目錄
和文件的ACL 信息 - 實例:
getfacl -R /tmp/dir1 > acl.txt
setfacl -R -b /tmp/dir1
setfacl -R --set-file=acl.txt /tmp/dir1
setfacl --restore acl.txt
getfacl -R /tmp/dir1
