Linux安全体系的文件权限管理.docxVIP

自主访问机制(Discretionary Access Control，DAC) 指对象（比如程序、文件或进程等）的的拥有者可以任意的修改或授予此对象相应的权限。Linux的UGO（User、Group、Other）和ACL（Access Control List，访问控制列表）权限管理方式就是典型的自主访问机制。 Linux支持UGO和ACL权限管理方式，UGO将权限位信息存储在节点的权限中，ACL将权限位信息存储在节点的扩展属性中。不同的文件系统权限位的存储和处理方式不一样，具体的文件系统（如：ext4）实现文件权限的管理。 本章分析了UGO和ACL权限管理方式和能力机制。 ? ? 1 unix文件权限管理 传统的Unix文件系统的UGO（User、Group、Other）权限管理方式在文件和目录上设置权限位，用来控制用户或用户组对文件或目录的访问。Linux继承了Unix的UGO权限管理方式。 文件或目录文件创建时，文件系统会将文件类型、时间信息、权限信息、权限位信息存入到文件的节点中。 1.1 文件的权限位分配 一个文件创建后，它具有读、写和执行三种操作方式，UGO权限管理方式将访问文件的操作者简单地分为三类：文件属主、同组用户和其他组用户。文件属主是指创建文件的用户，他是文件的拥有者，它可以设置用户的读、写和执行权限。同组用户是指与文件属主同一个用户组的用户。 UGO权限管理方式将文件的权限用3组3位二进制位描述，还在最前面加上一位作为文件类型标识。每类用户占3位，读、写、执行权限各用1位描述，具有权限时，就将该位设置为1。读、写、执行权限分别用r、w、x三个字符表示。第一组权限位 例如：一个文件的权限列出如下： [root@localhost /root] ^-^$ ls –l -rw-r--r-- 1 root root 195 Jan 28 22:12 scsrun.log 最前面一位‘-’，表示文件类型为普通文件。 第一个组为rw-，表示文件属主具有读和写权限，但没有执行权限。 第二个组为r--，表示同组其他用户具有读权限，但没有写和执行权限。 第三个组为r--，表示其他组用户具有读权限，但没有写和执行权限。 在UGO权限管理方式中，第一个4位二进制组的第一位（最前面的一位）表示文件类型这些文件类型的描述符及含义说明如表1： 表1　文件类型的描述符 描述符文件类型d目录。l符号链接s套接字文件。b块设备文件。c字符设备文件。p命名管道文件。-普通文件例如：一个目录的权限位列出如下： [root@localhost /root] ^-^$ ls -l drwxr-xr-x 2 root root 4096 Jan 28 22:33 Desktop 最前面一位‘d’，表示文件类型为目录。 第一个组为drwx，表示文件属主具有读、写和执行权限。 第二个组为r-x，表示同组其他用户具有读和执行权限，但没有写权限。 第三个组为r-x，表示其他组用户具有读和执行权限，但没有写权限。 目录和文件的权限位是一样的，但目录与文件在权限定义上有一些区别，目录的读操作指列出目录中的内容，写操作指在目录中创建或删除文件，执行操作指搜索和访问目录。 1.2 改变权限的命令 用户缺省创建文件时，用户本身对这个文件有读写操作权限，其他用户对它具有读操作权限。用户缺省创建目录时，用户本身对目录有读、写和执行权限，同组用户有读和执行权限，其他组用户有执行权限。例如：用户创建的test文件和testdir目录的权限位列出如下： -rw-r--r-- 1 root root 0 Feb 8 18:20 test drwxr-xr-x 2 root root 4096 Feb 8 18:22 testdir 用户可以使用命令chmod来改变权限位，只有用户是文件的所有者或者root用户，他才能有权限改变权限位。 命令chmod有符号模式和绝对模式，符号模式指用权限位的符号形式来设置新权限位，绝对模式指直接用权限位的二进制位的数字形式设置权限位。 ? （1）chmod命令的符号模式 chmod命令的格式列出如下： chmod [who] operator [permission] filename who的含义列出如下： u 文件属主权限。 g 属组用户权限。 o 其他用户权限。 a 所有用户。 operator的含义列出如下： + 增加权限。 - 取消权限。 = 设定权限。 permission的含义列出如下： r 读权限。 w 写权限。 x 执行权限。 s 文件属主和组set-ID。 t 粘性位*。 l 给文件加锁，使其他用户无法访问。 u,g,o 分别表示对文件属主、同组用户及其他组用户操作。 t