1. <em id="vzzs9"></em>
      <tbody id="vzzs9"></tbody>

    2. <span id="vzzs9"></span>
      <progress id="vzzs9"></progress>
      首頁 運維干貨Linux權限控制的基本原理

      Linux權限控制的基本原理

      運維派隸屬馬哥教育旗下專業運維社區,是國內成立最早的IT運維技術社區,歡迎關注公眾號:yunweipai
      領取學習更多免費Linux云計算、Python、Docker、K8s教程關注公眾號:馬哥linux運維

      Linux權限控制的基本原理插圖

      本文主要介紹 Linux 系統中,權限控制的基本原理。

      安全模型

      在 Linux 系統中,我們所有的操作實質都是在進行進程訪問文件的操作。我們訪問文件需要先取得相應的訪問權限,而訪問權限是通過 Linux 系統中的安全模型獲得的。

      對于 Linux 系統中的安全模型,我們需要知道下面兩點:

      1. Linux 系統上最初的安全模型叫 DAC, 全稱是 Discretionary Access Control ,翻譯為自主訪問控制。
      2. 后來又增加設計了一個新的安全模型叫 MAC, 全稱是 Mandatory Access Control, 翻譯為強制訪問控制。

      注意, MAC 和 DAC 不是互斥的, DAC 是最基本的安全模型,也是通常我們最常用到的訪問控制機制是 Linux 必須具有的功能, 而 MAC 是構建在 DAC 之上的加強安全機制,屬于可選模塊。訪問前, Linux 系統通常都是先做 DAC 檢查, 如果沒有通過則操作直接失敗 ; 如果通過 DAC 檢查并且系統支持 MAC 模塊,再做 MAC 權限檢查。

      為區分兩者,我們將支持 MAC 的 Linux 系統稱作 SELinux, 表示它是針對 Linux 的安全加強系統。

      這里,我們將講述 Linux 系統中的 DAC 安全模型。

      DAC 安全模型

      DAC 的核心內容是:在 Linux 中,進程理論上所擁有的權限與執行它的用戶的權限相同。其中涉及的一切內容,都是圍繞這個核心進行的。

      用戶和組 ID 信息控制

      用戶、組、口令信息

      通過 /etc/passwd 和 /etc/group 保存用戶和組信息,通過 /etc/shadow 保存密碼口令及其變動信息, 每行一條記錄。

      用戶和組分別用 UID 和 GID 表示,一個用戶可以同時屬于多個組,默認每個用戶必屬于一個與之 UID 同值同名的 GID 。

      對于 /etc/passwd , 每條記錄字段分別為 用戶名: 口令(在 /etc/shadow 加密保存):UID:GID(默認 UID): 描述注釋: 主目錄: 登錄 shell(第一個運行的程序)

      對于 /etc/group , 每條記錄字段分別為 組名:口令(一般不存在組口令):GID:組成員用戶列表(逗號分割的用戶 UID 列表)

      對于 /etc/shadow ,每條記錄字段分別為: 登錄名: 加密口令: 最后一次修改時間: 最小時間間隔: 最大時間間隔: 警告時間: 不活動時間:

      舉例

      以下是對用戶和組信息的舉例。 /etc/shadow 中的口令信息為加密存儲,不舉例。

      Linux權限控制的基本原理插圖1

      文件權限控制信息

      文件類型

      Linux 中的文件有如下類型:

      • 普通文件, 又包括文本文件和二進制文件, 可用 touch 創建;
      • 套接字文件, 用于網絡通訊,一般由應用程序在執行中間接創建;
      • 管道文件是有名管道,而非無名管道, 可用 mkfifo 創建;
      • 字符文件和塊文件均為設備文件, 可用 mknod 創建;
      • 鏈接文件是軟鏈接文件,而非硬鏈接文件, 可用 ln 創建。

      訪問權限控制組

      分為三組進行控制:

      • user 包含對文件屬主設定的權限
      • group 包含對文件屬組設定的權限
      • others 包含對其他者設定的權限

      可設定的權限

      下面給出常見(但非全部)的權限值, 包括:

      • r 表示具有讀權限。
      • w 表示具有寫權限。
      • x 一般針對可執行文件 / 目錄,表示具有執行 / 搜索權限。
      • s 一般針對可執行文件 / 目錄,表示具有賦予文件屬主權限的權限,只有 user 和 group 組可以設置該權限。
      • t 一般針對目錄,設置粘滯位后,有權限的用戶只能寫、刪除自己的文件, 否則可寫、刪除目錄所有文件。舊系統還表示可執行文件運行后將 text 拷貝到交換區提升速度。

      舉例

      通過 ls -l 可以查看到其文件類型及權限,通過 chmod 修改權限。

      舉例來說,

      Linux權限控制的基本原理插圖2

      輸出中, 第 1 個字符表示文件類型,其中,普通文件 (-)、目錄文件 (d)、套接字文件 (s),管道文件 (p),字符文件 (c),塊文件 (b),鏈接文件 (l); 第 2 個字符開始的 -rwxr-xr-x 部分表示文件的權限位,共有 9 位。

      對于文件 /usr/bin/qemu-i386 , 這個權限控制的含義是:

      1. 第 2~4 位的 rwx 表示該文件可被它的 owner (屬主)以 r 或 w 或 x 的權限訪問。
      2. 第 5~7 位的 r-x 表示該文件可被與該文件同一屬組的用戶以 r 或 x 的權限訪問
      3. 第 8~10 位的 r-x 表示該文件可被其它未知用戶以 r 或 x 的權限訪問。

      對于 test/, test2/, test3/ 設定的權限:

      1. r,w,x 權限對每一權限控制組的權限用一位 8 進制來表示; 例如: 755 表示 rwxr-xr-x 。
      2. s,t 權限會替代 x 位置顯示;設定 s,t 權限則需在對應的、用于控制 r,w,x 的 8 進制權限控制組前追加數字; s 權限用于屬主屬組控制, t 用于其它控制。
      3. 設定屬主 s 需追加 4, 設定屬組 s 追加 2, 設定其它者 t 權限追加 1 ; 例如前面對 test/ 設定 t, 則用 1775, 表示 rwxrwxr-t 。

      進程權限控制信息

      進程權限

      對于進程,有如下屬性與文件訪問權限相關:

      • effective user id : 進程訪問文件權限相關的 UID (簡寫為 euid )。
      • effective group id : 進程訪問文件權限相關的 GID (簡寫為 egid )。
      • real user id : 創建該進程的用戶登錄系統時的 UID (簡寫為 ruid )。
      • real group id : 創建該進程的用戶登錄系統時的 GID (簡寫為 rgid )。
      • saved set user id : 拷貝自 euid 。
      • saved set group id : 拷貝自 egid 。

      舉例

      我們可以使用 ps 和 top 選擇查看具有 euid 和 ruid 的進程?;蛘咄ㄟ^ top 來查看進程的 euid 和 ruid

      通過 top 來查看的例子:

      首先輸入 top 得到類似如下

      Linux權限控制的基本原理插圖3

      這里通過 -d 選項延長 top 的刷新頻率便于操作。此處可見,只有 USER 字段,表示相應進程的 effective user id.

      打開 read user id 的顯示選項:

      a. 在 top 命令運行期間,輸入 f, 可以看見類似如下行:

      b. 輸入 c 即可打開 Real user name 的顯示開關。

      c. 最后 Return 回車回到 top 中,即可看到 real user id 的選項。此時輸入`o`,可調整列次序。最終我們可看到包含`effective user id`和`real user id`的輸出如下:

      Linux權限控制的基本原理插圖4

      進程訪問文件的權限控制策略

      規則

      進程訪問文件大致權限控制策略

      對于進程訪問文件而言,最重要的是 euid, 所以其權限屬性均以 euid 為 “中心”。

      • 進程的 euid 一般默認即為 其 ruid 值
      • 若可執行文件的可執行權限位為 s ,進程對其調用 exec 后,其 euid 被設置為該可執行文件的 user id
      • 進程的 saved set user id 拷貝自 euid.
      • 當進程的 euid 與文件的 user id 匹配時,進程才具有文件 user 權限位所設定的權限
      • 組權限 egid 的控制規則類似。

      通過 exec 執行文件修改權限屬性

      通過 exec 調用可執行文件之時:

      • 進程 ruid 值始終不變;
      • saved set-user ID 始終來自 euid ;
      • euid 值取決于文件的 set-user-ID 位是否被設置。

      如下:

      Linux權限控制的基本原理插圖5

      通過 setuid(uid) 系統調用修改權限屬性

      通過 setuid(uid) 修改權限屬性之時:

      • superuser 可順利修改 ruid, euid, saved set-user ID ;
      • unprivileged user 只能在 uid 與 ruid 相等時修改 euid, 其它無法修改。

      舉例

      再舉幾個比較特別的例子:

      設置了 set-user-id

      Linux權限控制的基本原理插圖6

      如前所述,這個輸出的含義是,對于 /usr/bin/sudo 文件,

      • 第 1~3 位的 rws 表示該文件可被它的 owner(屬主)以 r 或 w 或 s 的權限訪問
      • 第 4~6 位的 r-x 表示該文件可被與該文件同一屬組的用戶以 r 或 x 的權限訪問。
      • 第 7~9 位的 r-x 表示該文件可被其它未知用戶以 r 或 x 的權限訪問。

      這樣設置之后,對于 owner,具有讀、寫、執行權限,這一點沒有什么不同。但是對于不屬于 root 組的普通用戶進程來說,卻大不相同。

      普通用戶進程執行 sudo 命令時通過其 others 中的 x 獲得執行權限,再通過 user 中的 s 使得普通用戶進程臨時具有了 sudo 可執行文件屬主 ( root ) 的權限,即超級權限。

      這也是為什么通過 sudo 命令就可以讓普通用戶執行許多管理員權限的命令的原因。

      設置了 stick-bit

      Linux權限控制的基本原理插圖7

      這樣設置之后,對于 /tmp 目錄,任何人都具有讀、寫、執行權限,這一點沒有什么不同。但是對于 others 部分設置了粘滯位 t, 其功能卻大不相同。

      若目錄沒設置粘滯位,任何對目錄有寫權限者都則可刪除其中任何文件和子目錄,即使他不是相應文件的所有者,也沒有讀或寫許可 ; 設置粘滯位后,用戶就只能寫或刪除屬于他的文件和子目錄。

      這也是為什么任何人都能向 /tmp 目錄寫文件、目錄,卻只能寫和刪除自己擁有的文件或目錄的原因。

      舉一個 man 程序的應用片斷,描述 set-user-id 和 saved set-user-id 的使用

      man 程序可以用來顯示在線幫助手冊, man 程序可以被安裝指定 set-user-ID 或者 set-group-ID 為一個指定的用戶或者組。

      man 程序可以讀取或者覆蓋某些位置的文件,這一般由一個配置文件 (通常是 /etc/man.config 或者 /etc/manpath.config ) 或者命令行選項來進行配置。

      man 程序可能會執行一些其它的命令來處理包含顯示的 man 手冊頁的文件。

      為防止處理出錯, man 會從兩個特權之間進行切換:運行 man 命令的用戶特權,以及 man 程序的擁有者的特權。

      需要抓住的主線:當只執行 man 之時,進程特權就是 man 用戶的特權, 當通過 man 執行子進程(如通過 !bash 引出 shell 命令)時,用戶切換為當前用戶,執行完又切換回去。

      過程如下:

      1. 假設 man 程序文件被用戶 man 所擁有,并且已經被設置了它的 set-user-ID 位,當我們 exec 它的時候,我們有如下情況:
        – real user ID = 我們的用戶 UID
        – effective user ID = man 用戶 UID
        – saved set-user-ID = man 用戶 UID
      2. man 程序會訪問需要的配置文件和 man 手冊頁。這些文件由 man 用戶所擁有,但是由于 effective user ID 是 man, 文件的訪問就被允許了。
      3. 在 man 為我們運行任何命令的時候,它會調用 setuid(getuid())) (getuid() 返回的是 real user id).
        因為我們不是 superuser 進程,這個變化只能改變 effective user ID. 我們會有如下情況:
        現在 man 進程運行的時候把我們得 UID 作為它的 effective user ID. 這也就是說,我們只能訪問我們擁有自己權限的文件。也就是說,它能夠代表我們安全地執行任何 filter.
        – real user ID = 我們的用戶 UID(不會被改變)
        – effective user ID = 我們的用戶 UID
        – saved set-user-ID = man 的用戶 UID(不會被改變)
      4. 當 filter 做完了的時候, man 會調用 setuid(euid).
        這里, euid 是 man 用戶的 UID.(這個 ID 是通過 man 調用 geteuid 來保存的) 這個調用是可以的,因為 setuid 的參數和 saved set-user-ID 是相等的。(這也就是為什么我們需要 saved set-user-ID). 這時候我們會有如下情況:
        – real user ID = 我們的用戶 UID(不會被改變)
        – effective user ID = man 的 UID
        – saved set-user-ID = man 的用戶 UID(不會被改變)
      5. 由于 effective user ID 是 man, 現在 man 程序可以操作它自己的文件了。
        通過這樣使用 saved set-user-ID, 我們可以在進程開始和結束的時候通過程序文件的 set-user-ID 來使用額外的權限。然而,期間我們卻是以我們自己的權限運行的。如果我們無法在最后切換回 saved set-user-ID, 我們就可能會在我們運行的時候保留額外的權限。

      下面我們來看看如果 man 啟動一個 shell 的時候會發生什么:

      • 這里的 shell 是 man 使用 fork 和 exec 來啟動的。
      • 因為這時 real user ID 和 effective user ID 都是我們的普通用戶 UID(參見 step3), 所以 shell 沒有其它額外的權限.
      • 啟動的 shell 無法訪問 man 的 saved set-user-ID(man) , 因為 shell 的 saved set-user-ID 是由 exec 從 effective user ID 拷貝過來的。
      • 在執行 exec 的子進程 ( shell ) 中,所有的 user ID 都是我們的普通用戶 ID.

      實際上,我們描述 man 使用 setuid 函數的方法不是特別正確,因為程序可能會 set-user-ID 為 root . 這時候, setuid 會把所有三種 uid 都變成你設置的 id,但是我們只需要設置 effective user ID。

      關于作者

      呂凱,大連理工大學碩士,現為 TPV 資深主任工程師。關注軟件開發、系統運維、內容管理、行動管理等領域,喜歡計數寫作及分享。(文章來自公眾號:高效運維開發)

      本文鏈接:http://www.abandonstatusquo.com/19060.html

      網友評論comments

      發表評論

      您的電子郵箱地址不會被公開。

      暫無評論

      Copyright ? 2012-2022 YUNWEIPAI.COM - 運維派 京ICP備16064699號-6
      掃二維碼
      掃二維碼
      返回頂部
      久久久久亚洲国内精品|亚洲一区二区在线观看综合无码|欧洲一区无码精品色|97伊人久久超碰|一级a爱片国产亚洲精品