日期:2014-05-16  浏览次数:20606 次

Linux权限那些事儿
本文摘自CSDN乐知教育《草根》杂志第四期

一、 权限之粘着位
 
Linux中有一个存放临时文件的目录/tmp(类似于Windows中的temp目录),每个用户产生的临时文件都存放在此目录下,也就是说每个用户对/tmp目录都应该有写权限(否则无法拷贝生成文件),这样造成一个问题,比如,高洛峰在/tmp目录下创建了一个文件,张沫看着不爽就可以删掉,这如何控制?
其实,这种情况永远都不会发生,因为/tmp目录有一个特殊的权限标记:
ls -ld /tmp
drwxrwxrwt 5 root root 4096 May 24 13:55 /tmp
瞧见那个rwx权限最后的“t”了没,那个神奇的“t”就是粘着位t(有的资料中文也称为粘滞位),是Linux特殊权限中的第三个(另外两个是SetUID和SetGID),定义为:权限为777的目录设置粘着位t以后,具有写权限每个用户都可以在目录下创建文件,不同的是每个用户只能删除自己是所有者的文件,也就是说只能删除自己创建的文件。
读者可以做一下试验,重复一下《草根》第二期“从ls命令开始”中的案例一操作(给目录/test授予777权限用一个普通用户登录删除另一个普通用户创建的文件),不过这次创建的目录/test多授予它一个粘着位权限:
chmod o+t /test # 或 chmod 1777 /test
此时普通用户尝试删除其他用户的文件时,会给出提示“Operation not permitted”(中文翻译:你丫没事吧,瞎得瑟啥,哥的文件你删不了)。
 
二、 文件系统权限
 
每个操作系统都要有一种组织管理数据的方式,我们可以理解为就是文件系统,比如Windows的NTFS、FAT ,Linux的EXT ,而在Linux加载分区时可以针对文件系统进行权限设定。
配置文件/etc/fstab保存了Linux启动时自动加载的分区信息,/etc/fstab文件中第四项定义了加载时的设置,默认为defaults ,包括rw、suid、dev、exec、auto、nouser、async ,如果想改变整个分区的限定,可以利用这些选项。本文举两例说明,证明基于文件系统的权限那是相当霸道。
 
案例一:只读分区
 
默认加载分区是可读写rw的,但是如果特殊应用希望分区加载后是只读的,可以做一下设置:
vi /etc/fstab # 编辑/etc/fstab文件在defaults后加入ro选项(逗号分隔)
LABEL=/soft /soft ext3 defaults,ro 1 2
mount -o remount /soft # 重新加载/soft分区,使设置生效
如果你不嫌麻烦也可以重启系统,设置同样会生效。
此时整个/soft分区都是只读的,用root登录后执行:
touch /soft/testfile
touch: cannot touch `testfile': Read-only file system
会提示/soft分区是只读的,即便牛X到是root也不可以创建文件,这是凌驾于rwx权限之上的文件系统权限,相当的牛A与牛C之间。像本例是笔者公司的软件共享目录,一般半个月才更新一次软件,平时不想任何人增加或删除(包括不希望root用户误删除),所以设置为ro ,更新软件时,可以临时更改会rw来设置:
mount -o remount,rw /soft
在命令行上也可以设置分区权限,但是只是当前会话有效,而写入/etc/fstab文件后则会一直有效。
 
案例二:安全分区
 
数据存储的分区,如用做备份的分区,我们可以增加下安全设置选项:
vi /etc/fstab # 编辑/etc/fstab文件在defaults后加入noexec选项
LABEL=/backup /backup ext3 defaults,noexec 1 2
mount -o remount /backup # 重新加载/backup分区,使设置生效
此时做个试验,我们使用普通用户拷贝一个命令文件pwd在/backup目录下
cp /bin/pwd /backup
/backup/pwd
-bash: pwd: Permission denied
ls -l pwd
-rwxr-xr-x 1 liming liming 93560 Sep 25 10:13 pwd
命令拷贝到/backup下虽然具有可执行权限,但是也无法执行,在/backup分区下,任何可执行文件都将不能执行,这么做的意义在哪里?如果攻击程序、木马、病毒不能够执行,那么就相当于没有意义。
其他选项不做更多演示,这里只抛砖引玉,其他选项设置读者可man mount查看,查看-o选项中的详细介绍,更多设置读者可自行尝试,所谓授之以鱼不如授之以渔读万卷书不如行万里路万恶淫为首窗前明月光啊。
 
三、 权限之chattr
chatrr只有超人root用户可以使用,用来修改文件的权限属性,建立凌驾于rwx基础权限之上的授权。
在此介绍两个常用选项:
a 只允许在文件后追加数据,如果目录具有此属性,系统将只允许在目录下建立和修
改文件,而不允许删除任何文件。
i 不允许对文件进行任何修改,如果目录具有此属性,那么只能修改目录下的文件,
不允许建立和删除文件。
 
案例一:无法删除和更改的文件
如果要建立一个公共访问的目录,大家都可以删除和创建、拷贝文件,但是有一个基本的使用此目录的规则,要建立一个说明文件README ,这个文件不允许大家删除和修改,则可以如下设置:
chattr +i README
这时,README文件所在目录所有用户都有读写权限,但是任何用户都无法删除README文件(包括root),尝试删除会提示:
rm README
rm: remove write-protected regular empty file `README'? y
rm: cannot remove `README': Operation not permitted
同样也不可以改变文件的内容,可以查看到README文件被增加了一个不可更改的属性:
lsattr README
----i-------- README
此时,README变成了一个非常牛XX的文件,即便你是SuperUser也无法删除和修改它,想对它干嘛都不成。
若要更改或删除文件也必须先去掉i属性才可以:
chattr -i README
 
案例二:备份目录应用
假设有这样一种应用,我们每天自动化实现把上海服务器的日志通过scp和rsync远程备份到北京的备份服务器上,备份服务器的存储目录可设置为只可创建文件而不可删除。
chattr +a /backup/log
设置后,可在本机测试:
cp /var/log/messages /backup/log # 可以拷贝文件
rm /backup/log/messages # 删除文件则被禁止
rm: remove regular file `messages'? y
rm: cannot remove `messages': Operation not permitted
chattr命令不宜对目录/、/dev、/tmp、/var等设置,严重者甚至容易导致系统无法启动,比如根目录如果设置了i属性,谨慎设置,看过此文试验后造成系统问题者,笔者概不负责……
 
四 权限之ACL
Linux中默认的权限管理比较菜,难以实现复杂的权限控制,如针对一个文件设置几个用户或用户组具有不同权限,这就需要依靠ACL(Access Control List)访问控制列表实现,可以针对任意指定的用户/用户组分配权限。
开启分区的ACL功能 ,需要在/etc/fstab文件中加入acl选项,如:
LABEL=/backup /backup ext3 defaults,acl 1 2
然后重新加载分区即可生效:
mount -o remount /backup
如果想临时生效可不修改/etc/fstab文件,直接执行命令“mount -o remount,acl /backup”即可。
 
案例:设定复