谢烟客---------Linux之文件安全上下文及特殊权限位

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了谢烟客---------Linux之文件安全上下文及特殊权限位相关的知识,希望对你有一定的参考价值。

文件的权限位

    r, readable

        文件:文本查看工具

        目录:ls

    w, writeable

        文件:可修改

        目录:可在目录下创建、删除文件

    x,exec

        文件:可执行

        目录:cd 或 ls -l


文件的属主或属组

[[email protected] ~]# ls -l
-rw-r--r--  1 root      root             27 Jul 31 20:04 grep.txt
rw- 属主的权限
r-- 属组的权限
r-- 其他用户的权限
左root 文件的属主
右root 文件的属组


进程的安全上下文技术分享

    用户: 文件 文件

    centos:  /bin/cat /path/to/somefile

    1)用户对文件的操作(x)

用户名同文件的属主

    用户名同文件的属主,应用属主的权限,不在检查后续的权限(例二中说明)。属主有x,则可执行,运行为一个进程,进程的名字为进程发起者的名字


如果用户名不同文件的属主

    用户名同文件的属组,应用属组的权限,不在检查后续的权限。属组有x,则可执行,运行为一个进程,进程的名字为进程发起者的名字


非属主或属组

    应用其他用户的权限,有x,则可执行,运行为一个进程,进程的名字为进程发起者的名字


   

2) 进程对文件的操作(rw)

 进程的发起者(进程名)同文件的属主,应用属主的权限,不在检查后续的权限

 进程的发起者(进程名)同文件的属组,应用属组的权限,不在检查后续的权限

应用其他权限


准备............................
##确认命令的路径
[[email protected] ~]# which --skip-alias cat  
/usr/bin/cat
##复制命令
[[email protected] ~]# cp -p /bin/cat /tmp/cat ##same as --preserve=mode,ownership,timestamps
[[email protected] ~]# ls -l /tmp/cat
-rwxr-xr-x 1 root root 54080 Aug  5 11:28 /tmp/cat
1、创建用户
[[email protected] ~]# useradd centos
2、修改属主和属组
[[email protected] ~]# chown centos.centos /tmp/cat 
[[email protected] ~]# ls -l /tmp/cat
-rwxr-xr-x 1 centos centos 54080 Aug  5 11:29 /tmp/cat
#############注意 chmod所有用户可用,chown,chgrp仅root可用#################

例一:
1)应用属主的x权限
》》》用户名同属主,属主有x权限,可运行为一个进程
centos用户下
[[email protected] ~]$ chmod 700 /tmp/cat
[[email protected] ~]$ ls -l /tmp/cat 
-rwx------ 1 centos centos 54080 Aug  5 11:29 /tmp/cat
[[email protected] ~]$ ls -l /etc/fstab
-rw-r--r-- 1 root root 358 Jun 11 05:05 /etc/fstab
[[email protected] ~]$ /tmp/cat /etc/fstab  ##进程的发起者非属主非属组,应用/etc/fstab文件的其他用户的权限

#
# /etc/fstab
# Created by anaconda on Fri Feb 24 02:58:22 2017
#

例二:
2)应用属组的x权限
》》》用户名同属主同属组,属主无x权限,仅属组有x权限,不能执行
centos用户下
[[email protected] ~]$ chmod 670 /tmp/cat
[[email protected] ~]$ ls -l /tmp/cat      ##用户匹配到的为属主的权限,没有执行权限位x权限
-rw-rwx--- 1 centos centos 54080 Aug  5 11:29 /tmp/cat
[[email protected] ~]$ ls -l /etc/fstab
-rw-r--r-- 1 root root 358 Jun 11 05:05 /etc/fstab
[[email protected] ~]$ /tmp/cat /etc/fstab  ##进程不能发起
-bash: /tmp/cat: Permission denied
###由以下的过程分析,首个匹配到centos时,应用首个匹配到的用户的权限。
后面就算有同用户名的属组也不应用其权限#############################

》》》用户名不同属主同属组,仅属组有x权限,能执行

###### 修改属主为root
回到root用户
[[email protected] ~]# chown root /tmp/cat 
[[email protected] ~]# ls -l /tmp/cat   ##用户为root,应用属主的权限,没有任何权限
----rwx--- 1 root centos 54080 Aug  5 11:29 /tmp/cat
[[email protected] ~]# /tmp/cat  /etc/fstab   ###嘿嘿,好奇怪

#
# /etc/fstab
# Created by anaconda on Fri Feb 24 02:58:22 2017
#######root用户没有权限,执行。依然有执行权限###########

回到centos用户
[[email protected] ~]$ ls -l /tmp/cat    ##用户为centos,第一个匹配到的是属组,应用属组的权限,属组有x权限,可执行为一个进程
----rwx--- 1 root centos 54080 Aug  5 11:29 /tmp/cat
[[email protected] ~]$ ls -l /etc/fstab
-rw-r--r-- 1 root root 358 Jun 11 05:05 /etc/fstab
[[email protected] ~]$ /tmp/cat /etc/fstab  ##能够执行为进程,进程名为用户名,此时应用/etc/fstab文件其他用户的权限

#
# /etc/fstab
# Created by anaconda on Fri Feb 24 02:58:22 2017
#######比对来看,第一个被匹配到的用户类别,应用对应类的权限###########

》》》用户名同属主同属组,仅其他有x权限,不能执行
root用户下
[[email protected] ~]# chown centos:centos /tmp/cat
[[email protected] ~]# chmod 667 /tmp/cat

centos用户下
[[email protected] ~]$ ls -l /tmp/cat   ##匹配到第一个同用户名的是属主,应用属主的权限,无x权限,不能运行为进程
-rw-rw-rwx 1 centos centos 54080 Aug  5 11:29 /tmp/cat
[[email protected] ~]$ ls -l /etc/fstab
-rw-r--r-- 1 root root 358 Jun 11 05:05 /etc/fstab
[[email protected] ~]$ /tmp/cat /etc/fstab  ##不能运行为一个进程,权限拒绝
-bash: /tmp/cat: Permission denied

例三
3)应用其他用户的权限
》》》用户名不同属主不同属组,其他有x权限,能执行
root用户下
[[email protected] ~]# chown root.root /tmp/cat
[[email protected] ~]# chmod 755 /tmp/cat

centos用户下
[[email protected] ~]$ ls -l /tmp/cat      ##匹配不到,应用其他权限,其他有x权限,可以运行为一个进程
-rwxr-xr-x 1 root root 54080 Aug  5 11:29 /tmp/cat
[[email protected] ~]$ /tmp/cat /etc/fstab  ##进程名为用户名,进程名不能匹配到/etc/fstab属主或属组的权限,应用其他权限,可读

#
# /etc/fstab
# Created by anaconda on Fri Feb 24 02:58:22 2017
.....


特殊权限位

    

SUID

    文件对文件有x权限,运行为进程后,进程名是进程发起者的名字。

    当存在SUID权限后,运行为进程,其进程名是文件的属主

SGID

    任何人创建文件和目录时,其属组为创建者的基本组

    一旦某目录被设定了SGID权限,则对此目录有写权限的用户,在此目录或子目录中创建的文件为目录的基本组

Sticky 

    限制公共场景的限制 ,对于一个多人可写的目录,如果设置了sticky,则每个用户仅能删除自己的文件。避免别人删除不属于自己的文件,设置了sticky权限

   


 SUID

1、在root中修改文件的属主和属组 user.user user:user
[[email protected] ~]# chown root.centos /tmp/cat
[[email protected] ~]# ls -l /tmp/cat
-rw-rw-rwx 1 root centos 54080 Aug  5 11:29 /tmp/cat
2、在centos中修改权限属组必须有x
[[email protected] ~]# su - centos
Last login: Sat Aug  5 11:33:41 CST 2017 on pts/1
Welcome 10003 your home /home/centos
[[email protected] ~]$ chmod 755 /tmp/cat
[[email protected] ~]$ ls -l /tmp/cat     ##用户centos匹配到属组的权限,能执行为一个进程,进程的名字为进程发起者的名字
-rwxr-xr-x 1 root centos 54080 Aug  5 11:29 /tmp/cat
[[email protected] ~]$ ls -l /etc/shadow  
---------- 1 root root 2895 Aug  5 11:31 /etc/shadow
[[email protected] ~]$ /tmp/cat /etc/shadow  ##进程名不能匹配到/etc/shadow属主或属组,应用其他用户的权限,其他用户没有任何权限。
/tmp/cat: /etc/shadow: Permission denied

3、在root用户中给此用户授权suid权限
[[email protected] ~]$ chmod u+s /tmp/cat
chmod: changing permissions of ‘/tmp/cat’: Operation not permitted
[[email protected] ~]# chmod u+s /tmp/cat
[[email protected] ~]# ls -l /tmp/cat
-rwsr-xr-x 1 root centos 54080 Aug  5 11:29 /tmp/cat

4、在centos用户中运行cat /etc/shadow
[[email protected] ~]$ ls -l /tmp/cat  ##确认权限
-rwsr-xr-x 1 root centos 54080 Aug  5 11:29 /tmp/cat
[[email protected] ~]$ ls -l /etc/shadow ##确认centos用户对文件没有权限,centos用户发起的进程对文件也不可能有权限
---------- 1 root root 2895 Aug  5 11:31 /etc/shadow 
[[email protected] ~]$ /tmp/cat /etc/shadow ##执行时,进程的属主为root,root对任何文件都能操作
.............
test1:!!:17327:0:99999:7:100:100:
test2:!!:17327:0:99999:7:100:100:
test3:!!:17327:0:99999:7:100:100:
test4:!!:17327:0:99999:7:100:100:
..............

问题1:用户为自己设置密码时,需要修改shadow文件,shadow文件对任何用户都没有写权限,故而,用户执行passwd命令后,其进程名不是进程发起者,而是........

[[email protected] ~]# fgrep "test1" /etc/shadow ##纯文本字符组成的PATTERN,对目标文本逐行匹配,打印匹配到的字符所在的行
test1:!!:17327:0:99999:7:100:100:
test18:$6...........

[[email protected] ~]# su - test1 
[[email protected] ~]$ passwd  ##用户没有密码时,不能修改
Changing password for user test1.
Changing password for test1.
(current) UNIX password: 
passwd: Authentication token manipulation error

[[email protected] ~]# echo "123" | passwd --stdin test1
Changing password for user test1.
passwd: all authentication tokens updated successfully.

[[email protected] ~]# fgrep ‘test1‘ /etc/shadow
test1:$6$tMqP7HCh$Idl82b1AqXsAssE57D2jWQNrMgPRtZ7RP/OoSTNMHzG1fEruYW49f6QZfe314ETLlYwWu5YtUJu8Rx./Uceif/:17383:0:99999:7:::
test18:$6...........

尝试修改密码,从而修改shadow文件
##生成密码,普通用户修改密码必须满足密码复杂度机制,长,随机,周期长,数字、字母、特殊字符3种
[[email protected] ~]# tr -dc ‘a-zA-Z0-9‘ < /dev/urandom | head -c 6 | xargs
FjG1LO

##修改密码
[[email protected] ~]$ passwd
Changing password for user test1.
Changing password for test1.
(current) UNIX password: 
New password: 
Retype new password: 
passwd: all authentication tokens updated successfully.
[[email protected] ~]$ 

查看shadow文件
[[email protected] ~]# fgrep ‘test1‘ /etc/shadow
test1:$6$KvgQbaJC$AxpTwktyH1kDldxoMXorPwL/2VHEutGaZq/RXXL8xLPtgStH23MDfHPlo5ZtFKRJTjKv/kmduyeBmPd1xiyV60:17383:0:99999:7:::
test18:$6...........

###########密码部分改变的原因##############
[[email protected] ~]$ ls -l /bin/passwd       ##test1用户能执行此文件
-rwsr-xr-x. 1 root root 27832 Jun 10  2014 /bin/passwd
[[email protected] ~]$ ls -l /etc/shadow       ##执行后的进程名为root,故而能改shadow文件
---------- 1 root root 2985 Aug  5 13:56 /etc/shadow


SGID

1、准备目录
[[email protected] ~]# cd /tmp
[[email protected] tmp]# mkdir test

[[email protected] tmp]# ls -ld test  ##root用户创建,属组、主为root
drwxr-xr-x 2 root root 4096 Aug  5 14:54 test

[[email protected] tmp]# groupadd mygrp #添加用户
[[email protected] tmp]# groupadd distro
[[email protected] tmp]# useradd centos

[[email protected] tmp]# chown .mygrp test 
[[email protected] tmp]# ls -ld test
drwxr-xr-x 2 root mygrp 4096 Aug  5 14:54 test

》》》任何人创建文件和目录时,其属组为创建者的基本组
1、mygrp用户组内的用户对此目录有w权限
[[email protected] tmp]# chmod g+w test
[[email protected] tmp]# ls -ld test
drwxrwxr-x 2 root mygrp 4096 Aug  5 14:54 test

2、添加distro、centos用户到mygrp组内,让distro用户拥有mygrp组的权限
[[email protected] tmp]# su - centos
[[email protected] ~]$ mkdir /tmp/test/a.centos
mkdir: cannot create directory ‘/tmp/test/a.centos’: Permission denied
[[email protected] ~]$ touch /tmp/test/a.centos
touch: cannot touch ‘/tmp/test/a.centos’: Permission denied

[[email protected] tmp]# gpasswd -a distro mygrp
[[email protected] tmp]# gpasswd -a centos mygrp

3、让mygrp、distro用户分别在此目录中创建文件
[[email protected] tmp]# su - centos 
[[email protected] ~]$ touch /tmp/test/a.centos
[[email protected] ~]$ ls -l /tmp/test/a.centos
-rw-rw-r-- 1 centos centos 0 Aug  5 15:12 /tmp/test/a.centos

[[email protected] tmp]# su - distro
[[email protected] ~]$ touch /tmp/test/a.distro
[[email protected] ~]$ ls -l /tmp/test/a.distro
-rw-rw-r-- 1 distro distro 0 Aug  5 15:12 /tmp/test/a.distro

》》》一旦某目录被设定了SGID权限,则对此目录有写权限的用户,在此目录或子目录中创建的文件为目录的基本组

root用户中
[[email protected] tmp]# ls -ld test
drwxr-xr-x 2 root mygrp 4096 Aug  5 14:54 test
[[email protected] tmp]# chmod g+s /tmp/test
[[email protected] tmp]# ls -ld /tmp/test
drwxrwsr-x 2 root mygrp 4096 Aug  5 15:12 /tmp/test  ##小写s

1、让mygrp、distro用户分别在此目录中创建文件
[[email protected] tmp]# su - distro
[[email protected] ~]$ touch /tmp/test/b.distro
[[email protected] ~]$ ls -l /tmp/test/b.distro
-rw-rw-r-- 1 distro mygrp 0 Aug  5 15:16 /tmp/test/b.distro

[[email protected] tmp]# su - centos
[[email protected] ~]$ touch /tmp/test/b.centos
[[email protected] ~]$ ls -l /tmp/test/b.centos
-rw-rw-r-- 1 centos mygrp 0 Aug  5 15:16 /tmp/test/b.centos


Sticky

##centos用户对目录有写权限,可以删除任意文件
[[email protected] ~]$ ls -l /tmp/test
total 0
-rw-rw-r-- 1 centos centos 0 Aug  5 15:12 a.centos
-rw-rw-r-- 1 distro distro 0 Aug  5 15:12 a.distro
-rw-rw-r-- 1 centos mygrp  0 Aug  5 15:16 b.centos
-rw-rw-r-- 1 distro mygrp  0 Aug  5 15:16 b.distro

##删除a.distro文件
[[email protected] ~]$ rm /tmp/test/a.distro
rm: remove write-protected regular empty file ‘/tmp/test/a.distro’? y
[[email protected] ~]$ ls -l /tmp/test
total 0
-rw-rw-r-- 1 centos centos 0 Aug  5 15:12 a.centos
-rw-rw-r-- 1 centos mygrp  0 Aug  5 15:16 b.centos
-rw-rw-r-- 1 distro mygrp  0 Aug  5 15:16 b.distro

##避免别人删除不属于自己的文件,设置了sticky权限
[[email protected] tmp]# chmod o+t /tmp/test
[[email protected] tmp]# su - centos
[[email protected] ~]$ rm /tmp/test/b.distro 
rm: cannot remove ‘/tmp/test/b.distro’: Operation not permitted


SGID,SUID,STICKY

sst 三位二进制用八进制表示

    000 0
    001 1
    010 2
    011 3
    100 4
    101 5 
    110 6
    111 7
    
1777 --> sticky + rwxrwxrwx
4777 --> suid + rwxrwxrwx


特殊权限位映射

    SUID占据属主的执行权限位

    SGID占据属组的执行权限位

    STICKY占据其他的执行权限位

    分别用s,s,t表示,有x权限时,用小宝,没有s权限时,用大写

SUID权限位
1)有x
drwxrwxr-x 2 centos centos 4096 Aug  5 15:11 a.centos
drwxrwxr-x 2 centos centos 4096 Aug  5 15:11 a.centos
# chmod u+s a.centos
drwsrwxr-x 2 centos centos 4096 Aug  5 15:11 a.centos
2)无x
# chmod u-x a.centos
drwSrwxr-x 2 centos centos 4096 Aug  5 15:11 a.centos

SGID权限位
1)有x
-rwxrwxr-- 1 distro distro    0 Aug  5 15:04 a.distro
# chmod g+s a.distro
-rw-rwsr-- 1 distro distro    0 Aug  5 15:04 a.distro
2)无x
# chmod g-x a.distro
-rw-rwSr-- 1 distro distro    0 Aug  5 15:04 a.distro
STICKY权限位
1)无x
-rw-rw-r-- 1 mygrp  mygrp     0 Aug  5 15:03 a.mygrp
chmod o+t a.mygrp 
-rw-rw-r-T 1 mygrp mygrp 0 Aug  5 15:03 a.mygrp
2)有x
# chmod o+x a.mygrp 
-rw-rw-r-t 1 mygrp mygrp 0 Aug  5 15:03 a.mygrp



本文出自 “Reading” 博客,请务必保留此出处http://sonlich.blog.51cto.com/12825953/1953825

以上是关于谢烟客---------Linux之文件安全上下文及特殊权限位的主要内容,如果未能解决你的问题,请参考以下文章

谢烟客---------Linux之权限

谢烟客---------Linux之SELinux的基本应用

谢烟客---------Linux之文件系统管理挂载

谢烟客---------Linux之find查找

谢烟客---------Linux之文件系统管理创建与挂载

谢烟客---------Linux之Bash基础特性配置文件