Lect_ch8 文件安全.pptVIP

第8章 文件安全 FILE SECURITY 本章内容 描述Linux提供的三种保护和安全机制 描述Linux文件用户的类型 讨论针对Linux文件的基本操作 解释Linux中关于文件访问权限/特权的概念 讨论用户如何为文件确定访问特权 描述用户如何设置、更改文件的权限 介绍“?”、“~”、“*”、“chmod”、“ls –l”、“ls –ld”、“umask”等命令和原语 Introduction A time sharing system offers great benefits However protecting the hardware and software resources is complicated We will focus on protecting user files Linux提供的三种文件保护机制: 使用 登录名（login name）和登录密码（password） 文件加密 文件访问特权（File access privileges） 本章着重介绍第三种方法。 基于密码的保护 每个Linux系统的用户需要有一个由系统管理员来分配username 和password 得到用户密码的三种方法: （1）用户（密码的拥有者）告知其他用户自己的密码； （2）（破解者）猜测用户的密码； （3）用暴力破解的手段来侦测用户密码。 基于密码的保护(cont) You should never let anyone else know your password You should choose a good password: 不易被其他人猜测出来的密码； 由字母、数字和标点符号组成，难以被猜测并且容易记忆的密码； 使用长密码。 基于文件加密的保护 用户使用工具软件将文件的原始内容转换为另一种完全不同的形式 转换后的文件称为被加密文件，这个转换过程则称为文件加密 使用同样的软件可以把被加密的文件转换为原始的文件，这个过程称为文件解密。 基于访问权限的文件保护 建立防止未授权的用户访问其他用户的文件机制 文件的所有者设置特定的访问权限来限制哪些用户可以对该文件进行何种操作 策略: 用户分类 访问权限分类 文件操作分类 用户分类 每个用户属于某一个组（group） 系统中的所有用户组的信息以及该组的用户都记录在/etc/group文件中。 文件：所有者（ owner users ）、组（ group users）、其他人（ Other users ） Linux有一个特殊用户，称为超级用户或根用户（Superuser or root user）可以访问所有文件。 用户名：root 用户ID：0 基于文件操作/访问权限的分类 Linux系统中，文件有三种访问权限： 读read (r) :允许读某个文件 写write(w) :允许写、修改和删除某个文件 执行execute (x) :允许执行(run)某个文件 对于目录： Read (r) :允许用户列出目录的内容，即可以使用ls命令来列出这个目录下的所有内容 Write (w) ：允许用户在目录下建立新文件，删除子目录和文件 Execute (x) :允许用户搜索这个目录，如果你没有对目录的执行特权，那么就不能使用ls –l命令来列出目录下的内容或者是使用cd命令来把该目录变成当前目录。 基于文件操作/访问权限的分类(cont) 3种用户和3种访问权限： 读取和更改文件的访问特权 读取文件的访问特权 用 ls -l 或ls -ld命令显示文件的访问权限： -rwxr--r-- 1 sarwar faculty 163 may 05 23:13 temp 改变文件的访问特权(cont) 使用chmod命令改变文件的访问权限，格式： octal-mode：8进制模式 symbolic-mode：符号模式 改变文件的访问特权(cont) “symbolic-mode”，格式为whooperatorprivilege ，其中who、operator和privilege的可能取值如表8.4所示。 改变文件的访问特权(cont) chmod 命令符号模式示例: 改变文件的访问特权(cont) chmod 命令8进制模式示例: 改变文件的访问特权(cont) 改变文件的访问特权(cont) chmod 的-R命令递归更改指定目录下所有子目录和目录内的文件的访问特权。 chmod命令后设置访问的参数只有1位或2位8进制数，按从右到左匹配。 改变文件的访问特权(cont) 对目录设置权限：读特权对目录而言意味着可以读出目录的内容，写特权意味着可以在目录下创建或删除一个文件，执行特权意味着可以检索这个目录。 改变文件的访问