|
passwd 上的 suid 訪問模式
[ian@echidna ~]$ ls -l /usr/bin/passwd
-rwsr-xr-x. 1 root root 34368 Apr 6 2010 /usr/bin/passwd
請注意�����,在用戶的權限三件套中 x 的位置上有一個 s��。這就表示��,對這個特定的程序來說�,suid 和可執(zhí)行位已經被設置�。所以,當 passwd 運行時�,它就會像 root 用戶使用完全的 superuser 訪問一樣加載它運行,而不是作為想運行該程序的用戶��。因為 passwd 和 root 訪問一起運行���,所以它可以修改 /etc/passwd�����。
suid 和 sgid 位與長目錄清單中用戶和組的 x 占據相同的空間�。如果文件是可執(zhí)行的�����,suid 或 sgid 位如果已設置���,將會顯示為小寫的 s���,否則就顯示為大寫的 S�����。
雖然 suid 和 sgid 很便利���,甚至在很多環(huán)境下是必需的,但是這些訪問模式不適當的使用會造成系統(tǒng)安全上的漏洞�����。您要盡量少地使用 suid 程序�。passwd 命令是少數 必須 為 suid 的命令之一。
設置 suid 和 sgid
suid 和 sgid 位使用字母 s 在符號上進行設置和重設�����;例如��,u+s 設置 suid 訪問模式���,g-s 刪除 sgid 模式���。在八進制格式中,suid 在第一位(高階)為值 4���,而 sgid 是值 2�����。
目錄和 sgid
當一個目錄使用 sgid 模式時���,在這個目錄中創(chuàng)建的任何文件和目錄將會繼承目錄的組 id。這個對那些被從事同一項目的一組人使用的目錄樹極為有用��。 清單 9 顯示了用戶 greg 任何設置一個 development 組所有用戶都能使用的目錄����,以及一個示例,用戶 gretchen 如何在目錄上創(chuàng)建一個文件�����。正如所創(chuàng)建的�,文件 gretchen.txt 允許組成員編輯文件,因此 gretchen 使用 chmod g-w 來取消組的寫功能��。
清單 9. sgid 訪問模式和目錄
[greg@echidna ~]$ mkdir lpi101
[greg@echidna ~]$ chmod g+ws lpi101
[greg@echidna ~]$ ls -ld lpi101
drwxrwsr-x. 2 greg development 4096 Nov 30 13:30 lpi101/
[greg@echidna ~]$ su - gretchen
Password:
[gretchen@echidna ~]$ touch ~greg/lpi101/gretchen.txt
[gretchen@echidna ~]$ ls -l ~greg/lpi101/gretchen.txt
-rw-rw-r--. 1 gretchen development 0 Nov 30 14:12 /home/greg/lpi101/gretchen.txt
[gretchen@echidna ~]$ chmod g-w ~greg/lpi101/gretchen.txt
[gretchen@echidna ~]$ ls -l ~greg/lpi101/gretchen.txt
-rw-r--r--. 1 gretchen development 0 Nov 30 14:12 /home/greg/lpi101/gretchen.txt
development 組的任何成員現在都能夠在用戶 greg 的 lpi101 目錄上創(chuàng)建文件了���。正如 清單 10 所示�,組的其他用戶不能升級文件 gretchen.txt。但是�,他們有對目錄的寫權限,因此可以刪除文件�。
清單 10. sgid 訪問模式和文件所有權
[gretchen@echidna ~]$ su - tom
Password:
[tom@echidna ~]$ echo "something" >> ~greg/lpi101/gretchen.txt
-bash: /home/greg/lpi101/gretchen.txt: Permission denied
[tom@echidna ~]$ rm ~greg/lpi101/gretchen.txt
rm: remove write-protected regular empty file `/home/greg/lpi101/gretchen.txt'? y
[tom@echidna ~]$ ls -l ~greg/lpi101/
total 0
粘貼位
您剛看到了任何有目錄寫權限的人如何刪除目錄中的文件。這對一個工作組項目是可接受的��,但是對全球共享的文件空間�,例如 /tmp 目錄,是不希望的��。幸運的是��,有解決方案���。
剩下的訪問模式為就稱為粘貼 位����。用符號表示就是 t��,用數字表示就是八進制位的高階為 1�����。它顯示在其他用戶的可執(zhí)行標識中(最后的字符)的長目錄清單��,而且 suid 和 sgid 的大小寫意義相同。如果設置一個目錄���,它只允許有所有權的用戶或者 superuser(root)刪除或者解除文件鏈接���。清單 11 顯示了用戶 greg 如何在他的 lpi101 目錄上設置粘貼位,還顯示了這個位設置用于 /tmp�����。
清單 11. 粘貼目錄
[greg@echidna ~]$ chmod +t lpi101
[greg@echidna ~]$ ls -ld lpi101 /tmp
drwxrwsr-t. 2 greg development 4096 Nov 30 14:16 lpi101
drwxrwxrwt. 24 root root 12288 Nov 30 14:22 /tmp
在以前�,UNIX? 系統(tǒng)曾在文件上使用粘貼位在交換空間囤積可執(zhí)行文件����,避免重新加載。現代 Linux 內核忽略了粘貼位��,如果它是設置給文件的��。
訪問模式的總結
表 3 總結了這里討論的 3 種訪問模式的符號和八進制表示�����。
表 3. 訪問模式
訪問模式 符號 八進制
suid s with u 4000
sgid s with g 2000
sticky t 1000
將這些和早先的權限信息結合在一起�����,您可以看到對應 greg 的 lpi101 權限和 drwxrwsr-t 訪問模式的完整的八進制表示是 3775。雖然 ls 命令不顯示八進制權限�����,您可以使用 find 命令進行顯示�,如清單 12清單 12 所示。
清單 12. 可打印的符號和八進制權限
[greg@echidna ~]$ find . -name lpi101 -printf "%M %m %f "
drwxrwsr-t 3775 lpi101
不可變文件
訪問模式和權限提供了廣泛的控制�����,限制了誰可以在文件和目錄上做什么�����。但是�����,它們對有些事情也不能避免��,如 root 用戶對文件的無心刪除���。雖然這不在 LPI Topic 104.5 的范圍內���,但是在提供額外功能的文件系統(tǒng)上還是有些可用的附加屬性�����。其中之一就是不可變 屬性�����。設置完成后����,即使是 root 用戶也不能刪除文件���,直到屬性解除。
使用 lsattr 命令查看文件或者目錄是否設置了不可變標識(或者任何其他屬性)����。要將一個文件設置為不可變,使用 chattr 命令和 -i 標識��。
清單 13清單 13 顯示了用戶 root 可以創(chuàng)建一個不可變文件���,但是不能刪除它�����,直到不可變標識被刪除���。
清單 13. 不可變文件
[root@echidna ~]# touch keep.me
[root@echidna ~]# chattr +i keep.me
[root@echidna ~]# lsattr keep.me
----i--------e- keep.me
[root@echidna ~]# rm -f keep.me
rm: cannot remove `keep.me': Operation not permitted
[root@echidna ~]# chattr -i keep.me
[root@echidna ~]# rm -f keep.me
變更不可變標識需要 root 授權�,或者最少 CAP_LINUX_IMMUTABLE 功能�����。使文件不可變通常是安全或者入侵檢測工作的一部分���。見功能使用頁面(man capabilities)了解更多信息����。
文件創(chuàng)建屏蔽
創(chuàng)建一個新文件時��,創(chuàng)建進程就會指明新文件的權限��。通常����,所需的模式是 0666,它使文件可由任何人讀和寫。目錄默認為 0777���。但是����,這個寬松的創(chuàng)建會受到 umask 值的影響����,這個值指明了用戶不想自動授予新創(chuàng)建的文件或者目錄什么權限。系統(tǒng)使用 umask 值來減少原始請求的權限����。您可以使用 umask 查看 umask 設置,如清單 14清單 14 所示�����。
清單 14. 顯示八進制 umask
[ian@echidna ~]$ umask
0002
請記得�����,umask 指定了那個權限不被授予��。在 Linux 系統(tǒng)上����,用戶沒有專用組的的情況下,umask 通常默認為 0022�����,它可以從新文件中刪除組和其他寫權限��。用戶有專用組的情況下(例如這些例子中使用的在 Fedora 系統(tǒng)上)���,umask 通常默認為 0002���,它刪除了其他用戶的寫權限。使用 -S 選項來從符號上顯示 umask�����,以顯示哪個權限被允許的形式�����。
使用 umask 命令設置一個 unmask 并顯示�����。所以,如果您想要保持文件更專有���,并且不允許所有組或者其他人訪問新創(chuàng)建的文件���,就是可以使用 umask 值 0077�;蛘邚姆柹希褂 umask u=rwx,g=,o= 進行設置���,如清單 15清單 14 所示�����。
清單 15. 設置 umask
[ian@echidna ~]$ umask -S
u=rwx,g=rwx,o=rx
[ian@echidna ~]$ umask u=rwx,g=,o=
[ian@echidna ~]$ umask
0077
[ian@echidna ~]$ touch newfile
[ian@echidna ~]$ ls -l newfile
-rw-------. 1 ian ian 0 Nov 30 15:40 newfile
設置文件所有者和組
文件組
要變更文件的組�,使用 chgrp 命令和組名��,以及一個或者多個文件名����。如果您喜歡,還可以使用組編號��。普通用戶必須擁有文件����,同時是文件要變更到的組的組員。root 用戶可以將文件變更到任意組�����。清單 16清單 16 顯示了一個例子����。
清單 16. 變更組的所有權
[ian@echidna ~]$ touch file{1,2}
[ian@echidna ~]$ ls -l file*
-rw-rw-r--. 1 ian ian 0 Nov 30 15:54 file1
-rw-rw-r--. 1 ian ian 0 Nov 30 15:54 file2
[ian@echidna ~]$ chgrp development file1
[ian@echidna ~]$ chgrp 505 file2
[ian@echidna ~]$ ls -l file*
-rw-rw-r--. 1 ian development 0 Nov 30 15:54 file1
-rw-rw-r--. 1 ian development 0 Nov 30 15:54 file2
正如該教程中的許多其他命令,chgrp 有一個 -R 選項��,允許將變更遞歸應用到所有所選的的文件和子目錄中��。
默認組
當您學習之前的 訪問模式 時�,您就了解了在目錄上設置 sgid 模式如何導致創(chuàng)建在該目錄下的新文件屬于目錄的組,而不是屬于創(chuàng)建該文件的用戶所在的組����。
您還可以使用 newgrp 命令來暫時地將您的初級組變更到您所在的其他組。創(chuàng)建一個新的 shell��,當您退出 shell 時����,之前的組就能恢復�����,如清單 17清單 17 所示����。
清單 17. 使用 newgrp 來暫時改變默認組
[ian@echidna ~]$ groups
ian development editor
[ian@echidna ~]$ newgrp development
[ian@echidna ~]$ groups
development ian editor
[ian@echidna ~]$ touch file3
[ian@echidna ~]$ ls -l file3
-rw-r--r--. 1 ian development 0 Nov 30 16:00 file3
[ian@echidna ~]$ exit
[ian@echidna ~]$ groups
ian development editor
文件所有者
root 用戶可以使用 chown 命令變更文件的所有權���。在它最簡單的形式中�,語法和 chgrp 命令類似�,除了使用用戶名或者數字 id,而不是組名或者 id�。文件的組也可能通過在用戶名或者 id 之后添加一個冒號和組名或者 id 來同時變更。如果只有給出冒號����,那么就使用用戶的默認組。一般來說���,-R 選項會遞歸地應用變更��。清單 18清單 18 給出了一個例子���。
清單 18. 使用 chown 變更文件所有權
[ian@echidna ~]$ touch file4
[ian@echidna ~]$ su -
Password:
[root@echidna ~]# ls -l ~ian/file4
-rw-rw-r--. 1 ian ian 0 Nov 30 16:04 /home/ian/file4
[root@echidna ~]# chown greg ~ian/file4
[root@echidna ~]# ls -l ~ian/file4
-rw-rw-r--. 1 greg ian 0 Nov 30 16:04 /home/ian/file4
[root@echidna ~]# chown tom:gretchen ~ian/file4
[root@echidna ~]# ls -l ~ian/file4
-rw-rw-r--. 1 tom gretchen 0 Nov 30 16:04 /home/ian/file4
[root@echidna ~]# chown :tom ~ian/file4
[root@echidna ~]# ls -l ~ian/file4
-rw-rw-r--. 1 tom tom 0 Nov 30 16:04 /home/ian/file4
指定用戶和組的較早版本使用點���,而不是冒號�����。因為當名稱中包含點時���,這個可能會造成誤解�����,所以已經不再推薦��。
Linux 上的文件和目錄權限介紹就到此為止����。
億恩科技地址(ADD):鄭州市黃河路129號天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯(lián)系:億恩小凡
QQ:89317007
電話:0371-63322206
本文出自:億恩科技【www.allwellnessguide.com】
服務器租用/服務器托管中國五強�!虛擬主機域名注冊頂級提供商����!15年品質保障!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
