Linux安全体系的文件权限管理【DOC精选】.docx

自主访问机制(Discretionary Access Control，DAC) 指对象（比如程序、文件或进程等）的的拥有者可以任意的修改或授予此对象相应的权限。Linux的UGO（User、Group、Other）和ACL（Access Control List，访问控制列表）权限管理方式就是典型的自主访问机制。Linux支持UGO和ACL权限管理方式，UGO将权限位信息存储在节点的权限中，ACL将权限位信息存储在节点的扩展属性中。不同的文件系统权限位的存储和处理方式不一样，具体的文件系统（如：ext4）实现文件权限的管理。本章分析了UGO和ACL权限管理方式和能力机制。??1 unix文件权限管理传统的Unix文件系统的UGO（User、Group、Other）权限管理方式在文件和目录上设置权限位，用来控制用户或用户组对文件或目录的访问。Linux继承了Unix的UGO权限管理方式。文件或目录文件创建时，文件系统会将文件类型、时间信息、权限信息、权限位信息存入到文件的节点中。1.1 文件的权限位分配一个文件创建后，它具有读、写和执行三种操作方式，UGO权限管理方式将访问文件的操作者简单地分为三类：文件属主、同组用户和其他组用户。文件属主是指创建文件的用户，他是文件的拥有者，它可以设置用户的读、写和执行权限。同组用户是指与文件属主同一个用户组的用户。UGO权限管理方式将文件的权限用3组3位二进制位描述，还在最前面加上一位作为文件类型标识。每类用户占3位，读、写、执行权限各用1位描述，具有权限时，就将该位设置为1。读、写、执行权限分别用r、w、x三个字符表示。第一组权限位例如：一个文件的权限列出如下：[root@localhost /root]^-^$ ls –l-rw-r--r-- 1 root root 195 Jan 28 22:12 scsrun.log最前面一位‘-’，表示文件类型为普通文件。第一个组为rw-，表示文件属主具有读和写权限，但没有执行权限。第二个组为r--，表示同组其他用户具有读权限，但没有写和执行权限。第三个组为r--，表示其他组用户具有读权限，但没有写和执行权限。在UGO权限管理方式中，第一个4位二进制组的第一位（最前面的一位）表示文件类型这些文件类型的描述符及含义说明如表1：表1　文件类型的描述符描述符文件类型d目录。l符号链接s套接字文件。b块设备文件。c字符设备文件。p命名管道文件。-普通文件例如：一个目录的权限位列出如下：[root@localhost /root]^-^$ ls -ldrwxr-xr-x 2 root root 4096 Jan 28 22:33 Desktop最前面一位‘d’，表示文件类型为目录。第一个组为drwx，表示文件属主具有读、写和执行权限。第二个组为r-x，表示同组其他用户具有读和执行权限，但没有写权限。第三个组为r-x，表示其他组用户具有读和执行权限，但没有写权限。目录和文件的权限位是一样的，但目录与文件在权限定义上有一些区别，目录的读操作指列出目录中的内容，写操作指在目录中创建或删除文件，执行操作指搜索和访问目录。1.2 改变权限的命令用户缺省创建文件时，用户本身对这个文件有读写操作权限，其他用户对它具有读操作权限。用户缺省创建目录时，用户本身对目录有读、写和执行权限，同组用户有读和执行权限，其他组用户有执行权限。例如：用户创建的test文件和testdir目录的权限位列出如下：-rw-r--r-- 1 root root 0 Feb 8 18:20 testdrwxr-xr-x 2 root root 4096 Feb 8 18:22 testdir用户可以使用命令chmod来改变权限位，只有用户是文件的所有者或者root用户，他才能有权限改变权限位。命令chmod有符号模式和绝对模式，符号模式指用权限位的符号形式来设置新权限位，绝对模式指直接用权限位的二进制位的数字形式设置权限位。?（1）chmod命令的符号模式chmod命令的格式列出如下：chmod [who] operator [permission] filenamewho的含义列出如下：u 文件属主权限。g 属组用户权限。o 其他用户权限。a 所有用户。operator的含义列出如下：+ 增加权限。- 取消权限。= 设定权限。permission的含义列出如下：r 读权限。w 写权限。x 执行权限。s 文件属主和组set-ID。t 粘性位*。l 给文件加锁，使其他用户无法访问。u,g,o 分别表示对文件属主、同组用户及其他组用户操作。t sticky bit，常用于共享文件，如：/tmp分区。设置t位后，同组用户即使用对文件有写操作权限，也不能删除文件。例如：一些chomd操作命令列出如下：ch