商务服务
【总结】Linux访问控制汇总
2024-12-16 09:49

2024/06/05 星期三
使用Linux的人经常要用到用户、权限和SELinux,这里简单记录一下,在权限方面大部分文档都侧重在了文件的权限上而忽略了目录的权限,导致很多人都不了解目录的权限本文也会单独分析一下目录的权限,并且简单介绍一下Linux下的各自访问控制机制

Linux作为多用户通用操作系统并且采用一切皆文件的理念进行设计,文件的访问控制权限也就具有举足轻重的地位,同时也让访问控制权限的管理变得非常复杂。
访问控制是信息安全中重要的概念,访问是主体(Subject)和客体(Object)之间的一种关系,控制是为了让所有的访问都是合法的,由于这个概念过于理论,这里简单来说就是要让不同身份的角色能够使用不同的资源
访问控制可以分为两类:自主访问控制(DAC)和强制访问控制(MAC,Linux最经典的为文件的ugo用户设置rwx权限的文件权限模式就属于自主访问控制,而通过编写安全策略严格限制进程访问资源的SELinux就属于强制访问控制,两种访问控制管理各有优劣。

Linux是多用户的操作系统,因此有用户和用户组的概念
用户 每个用户有唯一的用户名和用户ID(UID
用户组 每个用户组也有唯一的组名和组ID(GID,一个用户可以属于一个或多个用户组
root root是Linux中的超级管理员用户,游离于文件权限的管控之外,并且可以任意修改所有文件的权限

当用户与文件结合时,Linux的文件权限为文件设置了三种角色:拥有者(user)、所属组(group)和其他人(other,分别简写为u、g和o
文件只有唯一的拥有者,一般只能属于一个所属组,不是拥有者也不在所属用户组中的用户是其他人
对于文件来说最基本的操作有读、写、执行三种,分别简写为r、w、x
每个文件的ugo三个角色各自拥有rwx三个权限,即为9个权限位,每个角色具有的权限可以作为一组权限,用数字进行对应,4代表具有r、2代表具有w、1代表具有x,如果没有某个权限则为0,将实际具有的rwx数字相加得到1个0-7之间的数字就是这个角色的权限,按照ugo的顺序计算出三个角色各自的数字,就可以用3个0-7之间的数字简记一个文件的文件权限了

目录也是一种特殊的文件,但是目录具有管理文件的作用,因此在权限的表现方式上与文件有所不同

权限操作仅拥有执行权限(x)可以cd进入目录,也可以对目录下的文件进行读写执行操作(需要文件本身具有对应权限,但是不能ls、不能在目录下创建和删除目录、文件、软链接等仅拥有写权限(w)什么都不能做同时拥有执行和写权限(wx)可以创建和删除目录、文件、软链接等、也可以进入目录进行操作,但是不能使用ls仅拥有读权限(r)可以ls,其他什么都不能做同时拥有读和执行权限(rx)可以ls,也可以cd进入目录,可以使用文件同时拥有读和写权限(rw)可以ls,其他什么都不能做同时拥有读写执行权限(rwx)可以cd进入目录,可以使用文件,可以创建和删除文件,可以ls

即可简化为目录同样具有三种操作:列出文件:r、进入使用:x、创建删除:xw
使用以下脚本观察结果可以进行验证

 
 

除了上述rwx权限外,文件权限中还为文件和目录提供了setuid、setgid权限,目录提供sticky权限
setuid 只能作用在拥有者的执行位上,当非拥有者的用户执行文件时,进程会以拥有者的身份运行,如果文件具有setuid权限,u的x会变成小写s;如果文件具有setuid权限但u不具有x权限,u的x会变成大写S用于提示缺少x权限;如果是目录设置了setuid权限,则任意用户在目录下创建的文件的拥有者都是该目录的拥有者
setgid 只能作用在所属组的执行位上,当非所属组的用户执行文件时,进程会以所属组的身份运行,如果文件具有setgid权限,g的x会变成小写s;如果文件具有setgid权限但g不具有x权限,g的x会变成大写S用于提示缺少x权限;如果是目录设置了setgid权限,则任意用户在目录下创建的文件的所属组都是该目录的所属组
sticky 用户只能删除和修改拥有者为自己的文件(对于o=wx的目录,即任何人都可以创建和删除文件的目录,每个人都可以在目录下随意删除其他用户拥有的文件,这显然是不对的,sticky用于解决这个问题,如果目录具有sticky权限,o的x会变成小写t,如果目录具有sticky权限但o不具有x权限,o的x会变成大写T用于提示缺少x权限
setuid、setgid和sticky也分别对应数字4、2和1,作为第四个数字,但是在使用时会放到ugo数字之前

ACL 根据以上用户和文件权限进行检查的方式被称为ACL访问控制列表
SEL SELinux是在这个基础上进行的强制访问控制MAC,通过配置安全策略规则,对程序进程、用户文件、网络资源等系统资源进行管控,从而减少潜在的安全漏洞

    以上就是本篇文章【【总结】Linux访问控制汇总】的全部内容了,欢迎阅览 ! 文章地址:http://www78564.xrbh.cn/news/30319.html 
     文章      相关文章      动态      同类文章      热门文章      栏目首页      网站地图      返回首页 迅博思语移动站 http://www78564.xrbh.cn/mobile/ , 查看更多   
最新文章
LG 推出三款 OLED GX9s 智能显示器:21:9 曲面屏,内置 webOS
IT之家 4 月 21 日消息,LG 电子本月 3 日向美国市场发布了三款 LG UltraGear OLED GX9s 系列智能显示器。这三款显示器均采用
北斗导航苹果版北斗导航手机版下载「北斗导航苹果版」
北斗导航苹果版是一款专业的手机导航软件,使用的是中国自有的地基授时系统进行定位导航,可在全球范围内全天候、全天时为各类用
盒马、京东、拼多多,官宣放大招!
4月11日,盒马宣布,面向中国外贸企业开放入驻通道,绿色通道24小时专人加急处理,简化认证流程,缩短审核认证周期。除了24小时
买手机要看哪些配置?怎么挑选手机主要看什么?手机配置「买手机要看哪些配置?怎么挑选手机主要看什么?」
网购消费查券省钱上【百佣】App,只需3步操作,同一个商品用券更便宜。在购买手机时,了解手机配置是非常重要的。本文将介绍买手
给力!长沙县、长沙经开区政企合力放大招,就地过年成优选长沙手机「给力!长沙县、长沙经开区政企合力放大招,就地过年成优选」
记者获悉,为深入贯彻落实党中央、国务院、省、市关于2021年春节期间疫情防控“就地过年”倡导,1月22日,长沙县人民政府、 长沙
戈雅夏日皮肤突袭,铠无双限定皮肤巨帅,瑶双喜临门
最近王者荣耀给公孙离出了一款新皮肤,公孙离的这款新皮肤,也是一款FMVP皮肤。这款皮肤的质量还是非常不错的,而且价格也不贵,
阅见伊犁|广州读书月公布广州、伊犁等六地共读书单
四月的风拂过珠江,木棉的火焰点燃了岭南的春意;同一阵风掠过天山,伊犁河谷的杏花正以漫山遍野的雪白回应。4月1日,在“书香羊
红米Turbo4发布,性价比是否能超越真我Neo7?红米手机4「红米Turbo4发布,性价比是否能超越真我Neo7?」
近日,红米正式发布了其最新中端手机——红米Turbo4,起售价1999元。这款手机在多方面进行了升级,尤其在防尘防水、定位技术和电
应对手机没电的实用技巧与应变策略分享手机没电了怎么办「应对手机没电的实用技巧与应变策略分享」
  在这个信息化的时代,手机几乎成了我们生活中不可或缺的一部分。无论是工作、学习,还是社交、娱乐,手机都扮演着重要的角色