1.基本概念

linux 安全上下文

• 運(yùn)行中的程序：進(jìn)程 (process)
  以進(jìn)程發(fā)起者的身份運(yùn)行：
  root: /bin/cat
  mage: /bin/cat
  進(jìn)程所能夠訪問資源的權(quán)限取決于進(jìn)程的運(yùn)行者的身份

組的類別和基本配置文件

• 組的類別

• 用戶的主要組(primary group)：

  • 用戶必須屬于一個(gè)且只有一個(gè)主組
  • 組名同用戶名，且僅包含一個(gè)用戶：私有組
  • 用戶的附加組(supplementary group)
  • 一個(gè)用戶可以屬于零個(gè)或多個(gè)輔助組

• 主要配置文件

  • /etc/passwd ：用戶及其屬性信息( 名稱、UID 吃挑、主組ID 等）

    • 文件格式：

      
      
      Paste_Image.png
  • /etc/group ：組及其屬性信息

    • 文件格式：

      
      
      Paste_Image.png
  • /etc/shadow ：用戶密碼及其相關(guān)屬性
    • 文件格式： login name:encrypted password:date of last password change:minimnu passwd age : maxmnu paasword age: password warning period:password inactivity period:account expiration date reserved field
  • /etc/gshadow:組密碼及其相關(guān)屬性
  • 文件格式： group name: encrypted password:administrators:members

2. 文件權(quán)限

• 文件屬性

Paste_Image.png

• 文件屬性進(jìn)行操作的命令
• chown
  • 作用：進(jìn)行文件屬組和屬主的更改

  • 語法：

    
    
    Paste_Image.png

• 實(shí)例：更改文件test.txt的屬組和屬主為test用戶

  
  
  Paste_Image.png
• chgrp
  • 作用： 改變文件的屬組

  • 語法：

    
    
    Paste_Image.png

  • 實(shí)例： 將test.txt文件的屬組改成root

    
    
    Paste_Image.png

• 文件權(quán)限

• 文件的權(quán)限主要針對(duì)三類對(duì)象進(jìn)行定義：
  - owner: 屬主, u
  - group: 屬組, g
  - other: 其他, o
• 每個(gè)文件針對(duì)每類訪問者都定義了三種權(quán)限：
  - r: Readable
  - w: Writable
  - x: eXcutable

注：當(dāng)然這只是最基本的權(quán)限

• 文件權(quán)限操作命令

  • chmod
  • 作用：修改文件的基本權(quán)限，當(dāng)然這里的

• 文件系統(tǒng)特殊權(quán)限

• 特殊權(quán)限的前提： 進(jìn)程有屬主和屬組盖呼；文件有屬主和屬組
  (1) 任何一個(gè)可執(zhí)行程序文件能不能啟動(dòng)為進(jìn)程, 取決發(fā)起者
  對(duì)程序文件是否擁有執(zhí)行權(quán)限
  (2) 啟動(dòng)為進(jìn)程之后儒鹿，其進(jìn)程的屬主為發(fā)起者, 進(jìn)程的屬組為
  發(fā)起者所屬的組
  (3) 進(jìn)程訪問文件時(shí)的權(quán)限，取決于進(jìn)程的發(fā)起者
  (a) 進(jìn)程的發(fā)起者几晤，同文件的屬主：則應(yīng)用文件屬主權(quán)限
  (b) 進(jìn)程的發(fā)起者约炎，屬于文件屬組；則應(yīng)用文件屬組權(quán)限
  (c) 應(yīng)用文件“其它”權(quán)限

• SUID

  • 任何一個(gè)可執(zhí)行程序文件能不能啟動(dòng)為進(jìn)程：取決發(fā)起者對(duì)
    程序文件是否擁有執(zhí)行權(quán)限
  • 啟動(dòng)為進(jìn)程之后蟹瘾，其進(jìn)程的屬主為原程序文件的屬主
    SUID 只對(duì)二進(jìn)制可執(zhí)行程序有效
    SUID 設(shè)置在目錄上無意義

• 權(quán)限設(shè)定：
  chmod u+s FILE...
  chmod u-s FILE

• 權(quán)限位映射：
  user, 占據(jù)屬主的執(zhí)行權(quán)限位
  s: 屬主擁有x 權(quán)限
  S ：屬主沒有x 權(quán)限

• SGID 對(duì)于可執(zhí)行文件

  • 任何一個(gè)可執(zhí)行程序文件能不能啟動(dòng)為進(jìn)程：取決發(fā)起者對(duì)
    程序文件是否擁有執(zhí)行權(quán)限
  • 啟動(dòng)為進(jìn)程之后圾浅，其進(jìn)程的屬主為原程序文件的屬組
  • 權(quán)限設(shè)定：
    chmod g+s FILE...
    chmod g-s FILE...

• SGID 對(duì)于目錄

  • 默認(rèn)情況下，用戶創(chuàng)建文件時(shí)憾朴，其屬組為此用戶所屬的 主 組
  • 一旦某目錄被設(shè)定了SGID 狸捕，則對(duì)此目錄有寫權(quán)限的用戶在此
    目錄中創(chuàng)建的文件所屬的組為此目錄的屬組 通常用于創(chuàng)建一個(gè)協(xié)作目錄
  • 權(quán)限設(shè)定：
    chmod g+s DIR...
    chmod g-s DIR...
  • 權(quán)限位映射：
    group, 占據(jù)屬組的執(zhí)行權(quán)限位
    s: group 擁有x 權(quán)限
    S ：group 沒有x

• Sticky

  • 具有寫權(quán)限的目錄通常用戶可以刪除該目錄中的任何
    文件，無論該文件的權(quán)限或擁有權(quán)
  • 在目錄設(shè)置Sticky 位众雷，只有文件的所有者或root可
    以刪除該文件
  • sticky 設(shè)置在文件上無意義
  • 權(quán)限設(shè)定：
    chmod o+t DIR...
    chmod o-t DIR...
  • 權(quán)限位映射：
    t: other 擁有x 權(quán)限
    T ：other 沒有x 權(quán)

ACL

• ACL ：Access Control List 灸拍，實(shí)現(xiàn)靈活的權(quán)限管理，除了文件的所有者砾省，所屬組和其它人鸡岗，可以對(duì)更多的用戶設(shè)置權(quán)限
• CentOS7 默認(rèn)創(chuàng)建的xfs 和ext4 文件系統(tǒng)具有ACL 功能， CentOS7 之前版本编兄，默認(rèn)手工創(chuàng)建的ext4 文件系統(tǒng)無ACL功能, 需手動(dòng)增加：
  tune2fs –o acl /dev/sdb1
  mount –o acl /dev/sdb1 /mnt/test
• ACL 生效 順序：所有者轩性，自定義用戶，自定義組狠鸳，其 他 人
• 實(shí)例： 為多用戶或者組的文件和目錄賦予訪問權(quán)限r(nóng)wx
  ? mount -o acl /directory
  ? getfacl file |directory
  ? setfacl -m u:wang:rwx file|directory
  ? setfacl -Rm g:sales:rwX directory
  ? setfacl -M file.acl file|directory
  ? setfacl -m g:salesgroup:rw file| directory
  ? setfacl -m d:u:wang:rx directory
  ? setfacl -x u:wang file |directory
  ? setfacl -X file.acl directory
• ACL 文件上的group 權(quán)限是mask 值（自定義用戶揣苏，自定義組
  ，擁有組的最大權(quán)限）, 而非 傳統(tǒng)的組權(quán)限
• getfacl 可看到特殊權(quán)限：flags
• 通過ACL 賦予目錄默認(rèn)x 權(quán)限 件舵， 目錄內(nèi)文件也不會(huì)繼承x 權(quán)限
• base ACL 不能刪除
• setfacl -k dir 刪除默認(rèn)ACL 權(quán)限
• setfacl –b file1 清除所有ACL 權(quán)限
• getfacl file1 | setfacl --set-file=- file2 復(fù)制file1的 的acl 權(quán)限給file2
• mask 只影響除所有者和other 的之外的人和組的最大權(quán)限
  Mask 需要與用戶的權(quán)限進(jìn)行邏輯與運(yùn)算后卸察，才能變成有限的
  權(quán)限(Effective Permission)
• 用戶或組的設(shè)置必須存在于mask 權(quán)限設(shè)定 范圍內(nèi)才會(huì) 生效
  setfacl -m mask::rx file
• --set 選項(xiàng)會(huì)把原有的ACL 項(xiàng)都刪除，用新的替代铅祸，需要注
  意的是一定要包含UGO 的設(shè)置坑质，不能象-m 一樣只是添加
  ACL 就可 以
• 示例：
  setfacl --set u::rw,u:wang:rw,g::r,o::- file1
• 備份和恢復(fù)ACL
• 主要的文件操作命令cp 和mv 都支持ACL ，只是cp 命令需要
  加上-p 參數(shù)。但是tar 等常見的備份工具是不會(huì)保留目錄
  和文件的ACL 信息
• 實(shí)例：
  getfacl -R /tmp/dir1 > acl.txt
  setfacl -R -b /tmp/dir1
  setfacl -R --set-file=acl.txt /tmp/dir1
  setfacl --restore acl.txt
  getfacl -R /tmp/dir1