码迷,mamicode.com
首页 > 系统相关 > 详细

谢烟客---------Linux之文件安全上下文及特殊权限位

时间:2017-08-06 10:44:56      阅读:211      评论:0      收藏:0      [点我收藏+]

标签:linux

文件的权限位

    r, readable

        文件:文本查看工具

        目录:ls

    w, writeable

        文件:可修改

        目录:可在目录下创建、删除文件

    x,exec

        文件:可执行

        目录:cd 或 ls -l


文件的属主或属组

[root@izpo45bh60h6bsz ~]# ls -l
-rw-r--r--  1 root      root             27 Jul 31 20:04 grep.txt
rw- 属主的权限
r-- 属组的权限
r-- 其他用户的权限
左root 文件的属主
右root 文件的属组


进程的安全上下文技术分享

    用户: 文件 文件

    centos:  /bin/cat /path/to/somefile

    1)用户对文件的操作(x)

用户名同文件的属主

    用户名同文件的属主,应用属主的权限,不在检查后续的权限(例二中说明)。属主有x,则可执行,运行为一个进程,进程的名字为进程发起者的名字


如果用户名不同文件的属主

    用户名同文件的属组,应用属组的权限,不在检查后续的权限。属组有x,则可执行,运行为一个进程,进程的名字为进程发起者的名字


非属主或属组

    应用其他用户的权限,有x,则可执行,运行为一个进程,进程的名字为进程发起者的名字


   

2) 进程对文件的操作(rw)

 进程的发起者(进程名)同文件的属主,应用属主的权限,不在检查后续的权限

 进程的发起者(进程名)同文件的属组,应用属组的权限,不在检查后续的权限

应用其他权限


准备............................
##确认命令的路径
[root@izpo45bh60h6bsz ~]# which --skip-alias cat  
/usr/bin/cat
##复制命令
[root@izpo45bh60h6bsz ~]# cp -p /bin/cat /tmp/cat ##same as --preserve=mode,ownership,timestamps
[root@izpo45bh60h6bsz ~]# ls -l /tmp/cat
-rwxr-xr-x 1 root root 54080 Aug  5 11:28 /tmp/cat
1、创建用户
[root@izpo45bh60h6bsz ~]# useradd centos
2、修改属主和属组
[root@izpo45bh60h6bsz ~]# chown centos.centos /tmp/cat 
[root@izpo45bh60h6bsz ~]# ls -l /tmp/cat
-rwxr-xr-x 1 centos centos 54080 Aug  5 11:29 /tmp/cat
#############注意 chmod所有用户可用,chown,chgrp仅root可用#################

例一:
1)应用属主的x权限
》》》用户名同属主,属主有x权限,可运行为一个进程
centos用户下
[centos@izpo45bh60h6bsz ~]$ chmod 700 /tmp/cat
[centos@izpo45bh60h6bsz ~]$ ls -l /tmp/cat 
-rwx------ 1 centos centos 54080 Aug  5 11:29 /tmp/cat
[centos@izpo45bh60h6bsz ~]$ ls -l /etc/fstab
-rw-r--r-- 1 root root 358 Jun 11 05:05 /etc/fstab
[centos@izpo45bh60h6bsz ~]$ /tmp/cat /etc/fstab  ##进程的发起者非属主非属组,应用/etc/fstab文件的其他用户的权限

#
# /etc/fstab
# Created by anaconda on Fri Feb 24 02:58:22 2017
#

例二:
2)应用属组的x权限
》》》用户名同属主同属组,属主无x权限,仅属组有x权限,不能执行
centos用户下
[centos@izpo45bh60h6bsz ~]$ chmod 670 /tmp/cat
[centos@izpo45bh60h6bsz ~]$ ls -l /tmp/cat      ##用户匹配到的为属主的权限,没有执行权限位x权限
-rw-rwx--- 1 centos centos 54080 Aug  5 11:29 /tmp/cat
[centos@izpo45bh60h6bsz ~]$ ls -l /etc/fstab
-rw-r--r-- 1 root root 358 Jun 11 05:05 /etc/fstab
[centos@izpo45bh60h6bsz ~]$ /tmp/cat /etc/fstab  ##进程不能发起
-bash: /tmp/cat: Permission denied
###由以下的过程分析,首个匹配到centos时,应用首个匹配到的用户的权限。
后面就算有同用户名的属组也不应用其权限#############################

》》》用户名不同属主同属组,仅属组有x权限,能执行

###### 修改属主为root
回到root用户
[root@izpo45bh60h6bsz ~]# chown root /tmp/cat 
[root@izpo45bh60h6bsz ~]# ls -l /tmp/cat   ##用户为root,应用属主的权限,没有任何权限
----rwx--- 1 root centos 54080 Aug  5 11:29 /tmp/cat
[root@izpo45bh60h6bsz ~]# /tmp/cat  /etc/fstab   ###嘿嘿,好奇怪

#
# /etc/fstab
# Created by anaconda on Fri Feb 24 02:58:22 2017
#######root用户没有权限,执行。依然有执行权限###########

回到centos用户
[centos@izpo45bh60h6bsz ~]$ ls -l /tmp/cat    ##用户为centos,第一个匹配到的是属组,应用属组的权限,属组有x权限,可执行为一个进程
----rwx--- 1 root centos 54080 Aug  5 11:29 /tmp/cat
[centos@izpo45bh60h6bsz ~]$ ls -l /etc/fstab
-rw-r--r-- 1 root root 358 Jun 11 05:05 /etc/fstab
[centos@izpo45bh60h6bsz ~]$ /tmp/cat /etc/fstab  ##能够执行为进程,进程名为用户名,此时应用/etc/fstab文件其他用户的权限

#
# /etc/fstab
# Created by anaconda on Fri Feb 24 02:58:22 2017
#######比对来看,第一个被匹配到的用户类别,应用对应类的权限###########

》》》用户名同属主同属组,仅其他有x权限,不能执行
root用户下
[root@izpo45bh60h6bsz ~]# chown centos:centos /tmp/cat
[root@izpo45bh60h6bsz ~]# chmod 667 /tmp/cat

centos用户下
[centos@izpo45bh60h6bsz ~]$ ls -l /tmp/cat   ##匹配到第一个同用户名的是属主,应用属主的权限,无x权限,不能运行为进程
-rw-rw-rwx 1 centos centos 54080 Aug  5 11:29 /tmp/cat
[centos@izpo45bh60h6bsz ~]$ ls -l /etc/fstab
-rw-r--r-- 1 root root 358 Jun 11 05:05 /etc/fstab
[centos@izpo45bh60h6bsz ~]$ /tmp/cat /etc/fstab  ##不能运行为一个进程,权限拒绝
-bash: /tmp/cat: Permission denied

例三
3)应用其他用户的权限
》》》用户名不同属主不同属组,其他有x权限,能执行
root用户下
[root@izpo45bh60h6bsz ~]# chown root.root /tmp/cat
[root@izpo45bh60h6bsz ~]# chmod 755 /tmp/cat

centos用户下
[centos@izpo45bh60h6bsz ~]$ ls -l /tmp/cat      ##匹配不到,应用其他权限,其他有x权限,可以运行为一个进程
-rwxr-xr-x 1 root root 54080 Aug  5 11:29 /tmp/cat
[centos@izpo45bh60h6bsz ~]$ /tmp/cat /etc/fstab  ##进程名为用户名,进程名不能匹配到/etc/fstab属主或属组的权限,应用其他权限,可读

#
# /etc/fstab
# Created by anaconda on Fri Feb 24 02:58:22 2017
.....


特殊权限位

    

SUID

    文件对文件有x权限,运行为进程后,进程名是进程发起者的名字。

    当存在SUID权限后,运行为进程,其进程名是文件的属主

SGID

    任何人创建文件和目录时,其属组为创建者的基本组

    一旦某目录被设定了SGID权限,则对此目录有写权限的用户,在此目录或子目录中创建的文件为目录的基本组

Sticky 

    限制公共场景的限制 ,对于一个多人可写的目录,如果设置了sticky,则每个用户仅能删除自己的文件。避免别人删除不属于自己的文件,设置了sticky权限

   


 SUID

1、在root中修改文件的属主和属组 user.user user:user
[root@izpo45bh60h6bsz ~]# chown root.centos /tmp/cat
[root@izpo45bh60h6bsz ~]# ls -l /tmp/cat
-rw-rw-rwx 1 root centos 54080 Aug  5 11:29 /tmp/cat
2、在centos中修改权限属组必须有x
[root@izpo45bh60h6bsz ~]# su - centos
Last login: Sat Aug  5 11:33:41 CST 2017 on pts/1
Welcome 10003 your home /home/centos
[centos@izpo45bh60h6bsz ~]$ chmod 755 /tmp/cat
[centos@izpo45bh60h6bsz ~]$ ls -l /tmp/cat     ##用户centos匹配到属组的权限,能执行为一个进程,进程的名字为进程发起者的名字
-rwxr-xr-x 1 root centos 54080 Aug  5 11:29 /tmp/cat
[centos@izpo45bh60h6bsz ~]$ ls -l /etc/shadow  
---------- 1 root root 2895 Aug  5 11:31 /etc/shadow
[centos@izpo45bh60h6bsz ~]$ /tmp/cat /etc/shadow  ##进程名不能匹配到/etc/shadow属主或属组,应用其他用户的权限,其他用户没有任何权限。
/tmp/cat: /etc/shadow: Permission denied

3、在root用户中给此用户授权suid权限
[centos@izpo45bh60h6bsz ~]$ chmod u+s /tmp/cat
chmod: changing permissions of ‘/tmp/cat’: Operation not permitted
[root@izpo45bh60h6bsz ~]# chmod u+s /tmp/cat
[root@izpo45bh60h6bsz ~]# ls -l /tmp/cat
-rwsr-xr-x 1 root centos 54080 Aug  5 11:29 /tmp/cat

4、在centos用户中运行cat /etc/shadow
[centos@izpo45bh60h6bsz ~]$ ls -l /tmp/cat  ##确认权限
-rwsr-xr-x 1 root centos 54080 Aug  5 11:29 /tmp/cat
[centos@izpo45bh60h6bsz ~]$ ls -l /etc/shadow ##确认centos用户对文件没有权限,centos用户发起的进程对文件也不可能有权限
---------- 1 root root 2895 Aug  5 11:31 /etc/shadow 
[centos@izpo45bh60h6bsz ~]$ /tmp/cat /etc/shadow ##执行时,进程的属主为root,root对任何文件都能操作
.............
test1:!!:17327:0:99999:7:100:100:
test2:!!:17327:0:99999:7:100:100:
test3:!!:17327:0:99999:7:100:100:
test4:!!:17327:0:99999:7:100:100:
..............

问题1:用户为自己设置密码时,需要修改shadow文件,shadow文件对任何用户都没有写权限,故而,用户执行passwd命令后,其进程名不是进程发起者,而是........

[root@izpo45bh60h6bsz ~]# fgrep "test1" /etc/shadow ##纯文本字符组成的PATTERN,对目标文本逐行匹配,打印匹配到的字符所在的行
test1:!!:17327:0:99999:7:100:100:
test18:$6...........

[root@izpo45bh60h6bsz ~]# su - test1 
[test1@izpo45bh60h6bsz ~]$ passwd  ##用户没有密码时,不能修改
Changing password for user test1.
Changing password for test1.
(current) UNIX password: 
passwd: Authentication token manipulation error

[root@izpo45bh60h6bsz ~]# echo "123" | passwd --stdin test1
Changing password for user test1.
passwd: all authentication tokens updated successfully.

[root@izpo45bh60h6bsz ~]# fgrep ‘test1‘ /etc/shadow
test1:$6$tMqP7HCh$Idl82b1AqXsAssE57D2jWQNrMgPRtZ7RP/OoSTNMHzG1fEruYW49f6QZfe314ETLlYwWu5YtUJu8Rx./Uceif/:17383:0:99999:7:::
test18:$6...........

尝试修改密码,从而修改shadow文件
##生成密码,普通用户修改密码必须满足密码复杂度机制,长,随机,周期长,数字、字母、特殊字符3种
[root@izpo45bh60h6bsz ~]# tr -dc ‘a-zA-Z0-9‘ < /dev/urandom | head -c 6 | xargs
FjG1LO

##修改密码
[test1@izpo45bh60h6bsz ~]$ passwd
Changing password for user test1.
Changing password for test1.
(current) UNIX password: 
New password: 
Retype new password: 
passwd: all authentication tokens updated successfully.
[test1@izpo45bh60h6bsz ~]$ 

查看shadow文件
[root@izpo45bh60h6bsz ~]# fgrep ‘test1‘ /etc/shadow
test1:$6$KvgQbaJC$AxpTwktyH1kDldxoMXorPwL/2VHEutGaZq/RXXL8xLPtgStH23MDfHPlo5ZtFKRJTjKv/kmduyeBmPd1xiyV60:17383:0:99999:7:::
test18:$6...........

###########密码部分改变的原因##############
[test1@izpo45bh60h6bsz ~]$ ls -l /bin/passwd       ##test1用户能执行此文件
-rwsr-xr-x. 1 root root 27832 Jun 10  2014 /bin/passwd
[test1@izpo45bh60h6bsz ~]$ ls -l /etc/shadow       ##执行后的进程名为root,故而能改shadow文件
---------- 1 root root 2985 Aug  5 13:56 /etc/shadow


SGID

1、准备目录
[root@izpo45bh60h6bsz ~]# cd /tmp
[root@izpo45bh60h6bsz tmp]# mkdir test

[root@izpo45bh60h6bsz tmp]# ls -ld test  ##root用户创建,属组、主为root
drwxr-xr-x 2 root root 4096 Aug  5 14:54 test

[root@izpo45bh60h6bsz tmp]# groupadd mygrp #添加用户
[root@izpo45bh60h6bsz tmp]# groupadd distro
[root@izpo45bh60h6bsz tmp]# useradd centos

[root@izpo45bh60h6bsz tmp]# chown .mygrp test 
[root@izpo45bh60h6bsz tmp]# ls -ld test
drwxr-xr-x 2 root mygrp 4096 Aug  5 14:54 test

》》》任何人创建文件和目录时,其属组为创建者的基本组
1、mygrp用户组内的用户对此目录有w权限
[root@izpo45bh60h6bsz tmp]# chmod g+w test
[root@izpo45bh60h6bsz tmp]# ls -ld test
drwxrwxr-x 2 root mygrp 4096 Aug  5 14:54 test

2、添加distro、centos用户到mygrp组内,让distro用户拥有mygrp组的权限
[root@izpo45bh60h6bsz tmp]# su - centos
[centos@izpo45bh60h6bsz ~]$ mkdir /tmp/test/a.centos
mkdir: cannot create directory ‘/tmp/test/a.centos’: Permission denied
[centos@izpo45bh60h6bsz ~]$ touch /tmp/test/a.centos
touch: cannot touch ‘/tmp/test/a.centos’: Permission denied

[root@izpo45bh60h6bsz tmp]# gpasswd -a distro mygrp
[root@izpo45bh60h6bsz tmp]# gpasswd -a centos mygrp

3、让mygrp、distro用户分别在此目录中创建文件
[root@izpo45bh60h6bsz tmp]# su - centos 
[centos@izpo45bh60h6bsz ~]$ touch /tmp/test/a.centos
[centos@izpo45bh60h6bsz ~]$ ls -l /tmp/test/a.centos
-rw-rw-r-- 1 centos centos 0 Aug  5 15:12 /tmp/test/a.centos

[root@izpo45bh60h6bsz tmp]# su - distro
[distro@izpo45bh60h6bsz ~]$ touch /tmp/test/a.distro
[distro@izpo45bh60h6bsz ~]$ ls -l /tmp/test/a.distro
-rw-rw-r-- 1 distro distro 0 Aug  5 15:12 /tmp/test/a.distro

》》》一旦某目录被设定了SGID权限,则对此目录有写权限的用户,在此目录或子目录中创建的文件为目录的基本组

root用户中
[root@izpo45bh60h6bsz tmp]# ls -ld test
drwxr-xr-x 2 root mygrp 4096 Aug  5 14:54 test
[root@izpo45bh60h6bsz tmp]# chmod g+s /tmp/test
[root@izpo45bh60h6bsz tmp]# ls -ld /tmp/test
drwxrwsr-x 2 root mygrp 4096 Aug  5 15:12 /tmp/test  ##小写s

1、让mygrp、distro用户分别在此目录中创建文件
[root@izpo45bh60h6bsz tmp]# su - distro
[distro@izpo45bh60h6bsz ~]$ touch /tmp/test/b.distro
[distro@izpo45bh60h6bsz ~]$ ls -l /tmp/test/b.distro
-rw-rw-r-- 1 distro mygrp 0 Aug  5 15:16 /tmp/test/b.distro

[root@izpo45bh60h6bsz tmp]# su - centos
[centos@izpo45bh60h6bsz ~]$ touch /tmp/test/b.centos
[centos@izpo45bh60h6bsz ~]$ ls -l /tmp/test/b.centos
-rw-rw-r-- 1 centos mygrp 0 Aug  5 15:16 /tmp/test/b.centos


Sticky

##centos用户对目录有写权限,可以删除任意文件
[centos@izpo45bh60h6bsz ~]$ ls -l /tmp/test
total 0
-rw-rw-r-- 1 centos centos 0 Aug  5 15:12 a.centos
-rw-rw-r-- 1 distro distro 0 Aug  5 15:12 a.distro
-rw-rw-r-- 1 centos mygrp  0 Aug  5 15:16 b.centos
-rw-rw-r-- 1 distro mygrp  0 Aug  5 15:16 b.distro

##删除a.distro文件
[centos@izpo45bh60h6bsz ~]$ rm /tmp/test/a.distro
rm: remove write-protected regular empty file ‘/tmp/test/a.distro’? y
[centos@izpo45bh60h6bsz ~]$ ls -l /tmp/test
total 0
-rw-rw-r-- 1 centos centos 0 Aug  5 15:12 a.centos
-rw-rw-r-- 1 centos mygrp  0 Aug  5 15:16 b.centos
-rw-rw-r-- 1 distro mygrp  0 Aug  5 15:16 b.distro

##避免别人删除不属于自己的文件,设置了sticky权限
[root@izpo45bh60h6bsz tmp]# chmod o+t /tmp/test
[root@izpo45bh60h6bsz tmp]# su - centos
[centos@izpo45bh60h6bsz ~]$ rm /tmp/test/b.distro 
rm: cannot remove ‘/tmp/test/b.distro’: Operation not permitted


SGID,SUID,STICKY

sst 三位二进制用八进制表示

    000 0
    001 1
    010 2
    011 3
    100 4
    101 5 
    110 6
    111 7
    
1777 --> sticky + rwxrwxrwx
4777 --> suid + rwxrwxrwx


特殊权限位映射

    SUID占据属主的执行权限位

    SGID占据属组的执行权限位

    STICKY占据其他的执行权限位

    分别用s,s,t表示,有x权限时,用小宝,没有s权限时,用大写

SUID权限位
1)有x
drwxrwxr-x 2 centos centos 4096 Aug  5 15:11 a.centos
drwxrwxr-x 2 centos centos 4096 Aug  5 15:11 a.centos
# chmod u+s a.centos
drwsrwxr-x 2 centos centos 4096 Aug  5 15:11 a.centos
2)无x
# chmod u-x a.centos
drwSrwxr-x 2 centos centos 4096 Aug  5 15:11 a.centos

SGID权限位
1)有x
-rwxrwxr-- 1 distro distro    0 Aug  5 15:04 a.distro
# chmod g+s a.distro
-rw-rwsr-- 1 distro distro    0 Aug  5 15:04 a.distro
2)无x
# chmod g-x a.distro
-rw-rwSr-- 1 distro distro    0 Aug  5 15:04 a.distro
STICKY权限位
1)无x
-rw-rw-r-- 1 mygrp  mygrp     0 Aug  5 15:03 a.mygrp
chmod o+t a.mygrp 
-rw-rw-r-T 1 mygrp mygrp 0 Aug  5 15:03 a.mygrp
2)有x
# chmod o+x a.mygrp 
-rw-rw-r-t 1 mygrp mygrp 0 Aug  5 15:03 a.mygrp



本文出自 “Reading” 博客,请务必保留此出处http://sonlich.blog.51cto.com/12825953/1953825

谢烟客---------Linux之文件安全上下文及特殊权限位

标签:linux

原文地址:http://sonlich.blog.51cto.com/12825953/1953825

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!