使用 UNIX 權限保護文件

通過 UNIX 文件權限和 ACL 可保證文件安全。帶 sticky 位的文件和可執(zhí)行文件要求特殊的安全措施。

用于查看和保證文件安全的命令

下表介紹了用于監(jiān)視以及保證文件和目錄安全的命令。

表?7-1 保證文件和目錄安全的命令

命令

說明

手冊頁

ls

列出目錄中的文件及其有關信息。

chown

更改文件的所有權。

chgrp

更改文件的組所有權。

chmod

更改文件的權限。可以使用符號模式(使用字母和符號)或絕對模式(使用八進制數(shù)字)更改文件的權限。

文件和目錄的所有權

傳統(tǒng)的 UNIX 文件權限可以為三類用戶指定所有權：

用戶－文件或目錄的所有者，通常為創(chuàng)建該文件的用戶。文件的所有者可以決定誰擁有讀取文件、寫入文件(對文件進行更改)或執(zhí)行文件(如果該文件為命令)的權限。

組－一組用戶的成員。

其他用戶－所有其他不是文件所有者和組成員的用戶。

文件所有者通常可以指定或修改文件權限。此外，root 帳戶可以更改文件的所有權。要覆蓋系統(tǒng)策略，請參見示例?7-2。

文件可以是七種類型之一。每種類型由一個符號顯示：-(減號)

文本或程序

b

塊特殊文件

c

字符特殊文件

d

目錄

l

符號鏈接

s

套接字

D

門

P

命名管道 (FIFO)

UNIX 文件權限

下表列出并說明了可以為文件或目錄的每類用戶授予的權限。

表?7-2 文件和目錄權限

符號

權限

對象

說明

r

讀

文件

指定的用戶可以打開和讀取文件內容。

目錄

指定的用戶可以列出目錄中的文件。

w

寫

文件

指定的用戶可以修改文件的內容或刪除該文件。

目錄

指定的用戶可以在目錄中添加文件或鏈接。這些用戶也可以刪除目錄中的文件或鏈接。

x

執(zhí)行

文件

指定的用戶可以執(zhí)行文件(如果該文件為程序或 shell 腳本)。這些用戶也可以使用一個 exec(2) 系統(tǒng)調用來運行程序。

目錄

指定的用戶可以打開或執(zhí)行目錄中的文件。這些用戶也可以使該目錄以及該目錄下的目錄成為當前目錄。

-

拒絕

文件和目錄

指定的用戶無法讀寫或執(zhí)行文件。

這些文件權限可應用于常規(guī)文件，也可應用于特殊文件(如設備、套接字和命名管道 (FIFO))。

對于符號鏈接，所應用的權限為鏈接指向的文件權限。

通過對目錄設置受限文件權限，可以保護該目錄及其子目錄中的文件。但是請注意，超級用戶有權訪問系統(tǒng)中的所有文件和目錄。

特殊文件權限(setuid、setgid 和 Sticky 位)

可執(zhí)行文件和公共目錄可以使用三種特殊類型的權限：setuid、setgid 和 sticky 位。設置這些權限之后，運行可執(zhí)行文件的任何用戶都應采用該可執(zhí)行文件所有者(或組)的 ID。

設置特殊權限時必須非常小心，因為特殊權限會帶來安全風險。例如，通過執(zhí)行將用戶 ID (user ID, UID) 設置為 0(root 的 UID)的程序，用戶可以獲取超級用戶功能。此外，所有用戶可以為其擁有的文件設置特殊權限，這會帶來其他安全問題。

應對系統(tǒng)中未經(jīng)授權使用 setuid 權限和 setgid 權限獲取超級用戶功能的情況進行監(jiān)視?？梢蓹嘞逓橛脩舳皇?root 或 bin 授予管理程序的所有權。要搜索并列出所有使用此特殊權限的文件，請參見如何查找具有特殊文件權限的文件。

setuid 權限

對可執(zhí)行文件設置 setuid 權限時，將對運行該文件的進程授予基于文件所有者的訪問權限。該訪問權限不是基于正在運行可執(zhí)行文件的用戶。使用此特殊權限，用戶可以訪問通常只有屬主才可訪問的文件和目錄。

例如，passwd 命令的 setuid 權限使用戶可以更改口令。具有 setuid 權限的 passwd 命令類似如下：-r-sr-sr-x 3 root sys 28144 Jun 17 12:02 /usr/bin/passwd

此特殊權限會帶來安全風險。一些確定的用戶甚至可以在 setuid 進程執(zhí)行完畢后，找到保持由該進程授予他們的權限的方法。

注 -在程序中使用具有保留 UID (0–100) 的 setuid 權限可能無法正確設置有效的 UID。請使用 shell 腳本或避免將保留的 UID 用于 setuid

權限。

setgid 權限

setgid 權限與 setuid 權限類似?？蓪⑦M程的有效組 ID (group ID, GID) 更改為擁有該文件的組，并基于授予該組的權限對用戶授予訪問權限。/usr/bin/mail 命令具有 setgid 權限：-r-x--s--x 1 root mail 67504 Jun 17 12:01 /usr/bin/mail

將 setgid 權限應用于目錄時，該目錄中已創(chuàng)建的文件將屬于該目錄所屬于的組。這些文件不屬于創(chuàng)建進程所屬于的組。在目錄中擁有寫和執(zhí)行權限的任何用戶都可以在其中創(chuàng)建文件。但是，文件將屬于擁有該目錄的組，而不是用戶所屬于的組。

應對系統(tǒng)中未經(jīng)授權使用 setgid 權限獲取超級用戶功能的情況進行監(jiān)視?？梢蓹嘞逓榉浅Ｒ?guī)組而不是 root 或 bin 授予對此類程序的組訪問權限。要搜索并列出所有使用此權限的文件，請參見如何查找具有特殊文件權限的文件。

Sticky 位

sticky 位是保護目錄中文件的權限位。如果對目錄設置了 sticky 位，則只有文件所有者、目錄所有者或特權用戶才可以刪除文件。root 用戶是特權用戶的一個示例。sticky 位禁止用戶從公共目錄(如 /tmp)中刪除其他用戶的文件：drwxrwxrwt 7 root sys 400 Sep 3 13:37 tmp

在 TMPFS 文件系統(tǒng)中設置公共目錄時，務必手動設置 sticky 位。有關說明，請參見示例?7-5。

缺省 umask 值

創(chuàng)建文件或目錄時，將使用一組缺省權限進行創(chuàng)建。系統(tǒng)缺省值為空。文本文件具有 666 權限，該權限對所有用戶授予讀寫權限。目錄和可執(zhí)行文件具有 777 權限，該權限對所有用戶授予讀寫和執(zhí)行權限。通常，用戶會覆蓋其 shell 初始化文件(如 .bashrc 和 .kshrc.user)中的系統(tǒng)缺省值。管理員還可以設置 /etc/profile 文件中的缺省值。

由 umask 命令指定的值將從缺省值中減去。此進程的作用是以 chmod 命令授予權限的相同方式拒絕這些權限。例如，chmod 022 命令對組和其他用戶授予寫權限。umask 022 命令拒絕組和其他用戶的寫權限。

下表顯示了一些典型 umask 值及其對可執(zhí)行文件的影響。

表?7-3 不同安全級別的 umask 設置

安全級別

umask 設置

禁用的權限

許可 (744)

022

w(組和其他用戶)

中等 (740)

027

w(組)，rwx(其他用戶)

中等 (741)

026

w(組)，rw(其他用戶)

嚴重 (700)

077

rwx(組和其他用戶)

有關設置 umask 值的更多信息，請參見 umask(1) 手冊頁。

文件權限模式

使用 chmod 命令，可以更改文件的權限。您必須是超級用戶或是文件或目錄的所有者，才能更改其權限。

可以使用 chmod 命令按照以下兩種模式之一設置權限：

絕對模式－使用數(shù)字表示文件權限。使用絕對模式更改權限時，由八進制模式數(shù)字表示每個三元字節(jié)權限。絕對模式是設置權限的最常用方法。

符號模式－使用字母和符號的組合來添加或刪除權限。

下表列出了在絕對模式下設置文件權限的八進制值。可按順序以三個一組的形式，使用這些數(shù)字來設置所有者、組和其他用戶的權限。例如，值 644 為所有者設置讀寫權限，為組和其他用戶設置只讀權限。

表?7-4 在絕對模式下設置文件權限

八進制值

設置文件權限

權限說明

0

---

無權限

1

--x

僅執(zhí)行權限

2

-w-

只寫權限

3

-wx

寫和執(zhí)行權限

4

r--

只讀權限

5

r-x

讀和執(zhí)行權限

6

rw-

讀寫權限

7

rwx

讀寫和執(zhí)行權限

下表列出了用于在符號模式下設置文件權限的符號。符號可以指定要設置或更改其權限的用戶、要執(zhí)行的操作，以及要指定或更改的權限。

表?7-5 在符號模式下設置文件權限

符號

功能

說明

u

who

用戶(所有者)

g

who

組

o

who

其他用戶

a

who

All(全部)

=

operator

賦值

+

operator

新增

-

operator

刪除

r

permissions

讀

w

permissions

寫

x

permissions

執(zhí)行

l

permissions

強制鎖定，setgid 位打開，組執(zhí)行位關閉

s

permissions

setuid 或 setgid 位打開

t

permissions

Sticky 位打開，對于其他用戶，執(zhí)行位打開

功能列中的名稱 who operator permissions 指定用于更改文件或目錄的權限的符號。who

指定要更改其權限的用戶。

operator

指定要執(zhí)行的操作。

permissions

指定要更改的權限。

可以在絕對模式或符號模式下設置文件的特殊權限。但是，必須使用符號模式設置或刪除目錄的 setuid 權限。在絕對模式下，通過在權限三元字節(jié)的左側添加新的八進制值，可設置特殊權限。下表列出了用于對文件設置特殊權限的八進制值。

表?7-6 在絕對模式下設置特殊文件權限

八進制值

特殊文件權限

1

Sticky 位

2

setgid

4

setuid

總結

以上是生活随笔為你收集整理的oracle删除本地文件权限,使用 UNIX 权限保护文件的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內容還不錯，歡迎將生活随笔推薦給好友。