Linux安全体系的文件权限管理
发布时间:2022-12-18 08:14:20
自主访问机制(DiscretionaryAccessControl,DAC指对象(比如程序、文件或进程等)的的拥有者可以任意的修改或授予此对象相应的权限。Linux的UGO(User、Group、Other)和ACL(AccessControlList,访问控制列表)权限管理方式就是典型的自主访问机制。
Linux支持UGO和ACL权限管理方式,UGO将权限位信息存储在节点的权限中,ACL将权限位信息存储在节点的扩展属性中。不同的文件系统权限位的存储和处理方式不一样,具体的文件系统(如:ext4)实现文件权限的管理。
本章分析了UGO和ACL权限管理方式和能力机制。
1unix文件权限管理
传统的Unix文件系统的UGO(User、Group、Other)权限管理方式在文件和目录上设置权限位,用来控制用户或用户组对文件或目录的访问。Linux继承了Unix的UGO权限管理方式。
文件或目录文件创建时,文件系统会将文件类型、时间信息、权限信息、权限位信息存入到文件的节点中。
1.1文件的权限位分配
一个文件创建后,它具有读、写和执行三种操作方式,UGO权限管理方式将访问文件的操作者简单地分为三类:文件属主、同组用户和其他组用户。文件属主是指创建文件的用户,他是文件的拥有者,它可以设置用户的读、写和执行权限。同组用户是指与文件属主同一个用户组的用户。
UGO权限管理方式将文件的权限用3组3位二进制位描述,还在最前面加上一位作为文件类型标识。每类用户占3位,读、写、执行权限各用1位描述,具有权限时,就将该位设置为1。读、写、执行权限分别用r、w、x三个字符表示。第一组权限位例如:一个文件的权限列出如下:[root@localhost/root]
^-^$ls–l
-rw-r--r--1rootroot195Jan2822:12scsrun.log
最前面一位‘-’,表示文件类型为普通文件。
第一个组为"rw-",表示文件属主具有读和写权限,但没有执行权限。第二个组为"r--",表示同组其他用户具有读权限,但没有写和执行权限。
第三个组为"r--",表示其他组用户具有读权限,但没有写和执行权限。
在UGO权限管理方式中,第一个4位二进制组的第一位(最前面的一位)表示文件类型这些文件类型的描述符及含义说明如表1:表1文件类型的描述符描述符dlsbcp-
文件类型目录。符号链接套接字文件。块设备文件。字符设备文件。命名管道文件。普通文件
例如:一个目录的权限位列出如下:[root@localhost/root]^-^$ls-l
drwxr-xr-x2rootroot4096Jan2822:33Desktop最前面一位‘d’,表示文件类型为目录。
第一个组为"drwx",表示文件属主具有读、写和执行权限。
第二个组为"r-x",表示同组其他用户具有读和执行权限,但没有写权限。
第三个组为"r-x",表示其他组用户具有读和执行权限,但没有写权限。目录和文件的权限位是一样的,但目录与文件在权限定义上有一些区别,目录的读操作指列出目录中的内容,写操作指在目录中创建或删除文件,执行操作指搜索和访问目录。1.2改变权限的命令
用户缺省创建文件时,用户本身对这个文件有读写操作权限,其他用户对它具有读操作权限。用户缺省创建目录时,用户本身对目录有读、写和执行权限,同组用户有读和执行权限,其他组用户有执行权限。例如:用户创建的test文件和testdir目录的权限位列出如下:-rw-r--r--1rootroot0Feb818:20test
drwxr-xr-x2rootroot4096Feb818:22testdir
用户可以使用命令chmod来改变权限位,只有用户是文件的所有者或者root用户,他才能有权限改变权限位。
命令chmod有符号模式和绝对模式,符号模式指用权限位的符号形式来设置新权限位,绝对模式指直接用权限位的二进制位的数字形式设置权限位。
(1)chmod命令的符号模式chmod命令的格式列出如下:
chmod[who]operator[permission]filenamewho 