linux下的用戶權(quán)限

本站整理 發(fā)布時間：2009-03-10 14:49:53 作者：jb51.net

用戶權(quán)限是linux安全性的一個方面。這些權(quán)限分為幾個類型，包括文件許可，文件屬性，文件系統(tǒng)配額和系統(tǒng)資源限制。（1）文件和目錄許可我們可以對linux中的文件和目錄設置許可。防止別人閱讀你的私人文件和進入敏感目錄。我們可以將

用戶權(quán)限是linux安全性的一個方面。這些權(quán)限分為幾個類型，包括文件許可，文件屬性，文件系統(tǒng)配額和系統(tǒng)資源限制。
    （1）文件和目錄許可
    我們可以對linux中的文件和目錄設置許可。防止別人閱讀你的私人文件和進入敏感目錄。我們可以將文件許可設置到最小，然后基于需要逐一放松許可。下面是一個文件許可的簡單例子：
dai$ ls -l d.txt
-rw-rw-r-- 1 dai users 20445 Nov 6 05:40 d.txt 分別為許可，鏈接數(shù)，用戶，組，字節(jié)數(shù) ，最后修改時間，名字
其中文件許可信息是：
- rw- rw- r--
    分別為文件類型所有者許可組許可其他人許可
    通常文件類型可以有： - 普通文件，d目錄， l 符號鏈接， s套接字， p 　ＦＩＦＯ管道
    文件許可的３種權(quán)限可設置為許可或拒絕，也就是置位或清空，因此可以將許可看作０和１的集合，如rwx為讀，寫，執(zhí)行，就可以寫成１１１也可以寫成八進制的７，rx為讀，寫，清空寫入許可，因此可以寫成１０１，八進制為５，rwxr-x--x為１１１１０１００１其八進制為７５１
更改文件許可：
dai$ ls -l d.txt
-rw-rw-r-- 1 dai users 20445 Nov 6 05:40 d.txt
dai$ chmod 751 d.txt
dai$ ls -l d.txt
-rwxr-x--x 1 dai users 20445 Nov 6 05:40 d.txt也可以使用chmod命令的如下符號模式：
dai$ ls -l d.txt
-rw-r--r-- 1 dai users 20445 Nov 6 05:40 d.txtdai$ chmod +x d.txt
dai$ ls -l d.txt
-rwxr-xr-x 1 dai users 20445 Nov 6 05:40 d.txt
這里chmod+x其含義是“增加執(zhí)行許可：+表示增加許可 -表示除去許可因為可以僅更改組許可
dai$ chmod g-r d.txt
dai$ ls -l d.txt
-rw---xr-x 1 dai users 20445 Nov 6 05:40 d.txt
在可寫目錄下冊除其他用戶的文件
所有用戶只要他對這個目錄有寫的權(quán)限，他不僅可以在目錄下創(chuàng)建文件，也可以冊初目錄下的所有文件，包括不屬于自己的文件
如：
dai$ ls -ld temp
drwxrwxrwx 2 dai users 20445 Nov 6 05:40 temp
我們可以看到，該目錄屬于dai，但任何人都有寫的權(quán)限，現(xiàn)在有個用戶ming　，要冊除一個不屬于他且無權(quán)讀取的文件：
ming$　ls -l
total 0
-rw------ 1 dai users 20445 Nov 6 05:40 a
-rw------- 1 ming users 20445 Nov 6 05:40 b
-rw------- 1 root root 20445 Nov 6 05:40 c
ming$　cat a
cat: a: weijianleirong
ming$　rm -f a
ming$　ls -l
total 0
-rw------- 1 ming users 20445 Nov 6 05:40 b
-rw------- 1 root root 20445 Nov 6 05:40 c
   我們可以看到文件a不是ming所有，用戶ming對文件也a沒有讀，寫權(quán)限，但他成功冊除了文件。他做到這一點是因為他對目錄有寫權(quán)限－在linux下冊除文件只是更改目錄，即只要最目錄有寫權(quán)限要讓用戶只能冊除自己的文件，只需要給目錄設置粘連位
dai$ chmod +t temp
dai$ ls -ld temp
drwxrwxrwt 2 dai users 20445 Nov 6 05:40 temp
    現(xiàn)在用戶ming　就不可以冊除文件a了，但還可以冊除自己的文件
    除了讀(r)，寫(w)，執(zhí)行(x)權(quán)限外，還可以設置兩個許可位，set-user-id（簡寫為suid）位 set-group-id（sgid）位。其作用是程序以所有者身份運行，而忽略實際執(zhí)行程序的用戶身份。
root# ls -l suiffile
rwxr-xr-x 21 dai users 20445 Nov 6 05:40 suiffile
root# chmod u+s suiffile
rwsr-xr-x 21 dai users 20445 Nov 6 05:40 suiffile
    在代表用戶權(quán)限的x位置的s位置s就是suid位
    有時候?qū)τ诿舾形募x，寫，執(zhí)行，權(quán)限并不充分使用高級文件屬性我們可以使用chattr和lsattr　。
    屬性可以增加對文件和目錄的保護和安全性，如，i　設置文件不可以更改，使文件不可以修改，冊除，重命名，s屬性使文件被冊時候，類容從磁盤上完全抹去：
i：文件不可以更改，使文件不可以修改，冊除，重命名，鏈接，寫入數(shù)據(jù)。s：文件冊除時從磁盤清零，d：文件不可以百轉(zhuǎn)儲 a：文件只能以追加模式打開，只有root可以設置這個屬性
dai$ lsattr c.txt
--------- c.txt
dai$ chattr +c c.txt
dai$ chattr +d c.txt
dai$ chattr +s c.txt
dai$ lsattr c.txt
s-c---d- c.txt
dai$ chattr -d c.tx
s-c----- c.txt