Linux权限控制的基本原理

《Linux权限控制的基本原理》要点：
本文介绍了Linux权限控制的基本原理，希望对您有用。如果有疑问，可以联系我们。

本文主要介绍 Linux 系统中,权限控制的基本原理.

安全模型

在 Linux 系统中,我们所有的操作实质都是在进行进程访问文件的操作.我们访问文件需要先取得相应的访问权限,而访问权限是通过 Linux 系统中的安全模型获得的.

对于 Linux 系统中的安全模型,我们需要知道下面两点：

1. Linux 系统上最初的安全模型叫 DAC,全称是 Discretionary Access Control,翻译为自主访问控制.
2. 后来又增加设计了一个新的安全模型叫 MAC,全称是 Mandatory Access Control,翻译为强制访问控制.

注意,MAC 和 DAC 不是互斥的,DAC 是最基本的安全模型,也是通常我们最常用到的访问控制机制是 Linux 必须具有的功能,而 MAC 是构建在 DAC 之上的加强安全机制,属于可选模块.访问前,Linux 系统通常都是先做 DAC 检查,如果没有通过则操作直接失败 ; 如果通过 DAC 检查并且系统支持 MAC 模块,再做 MAC 权限检查.

为区分两者,我们将支持 MAC 的 Linux 系统称作 SELinux,表示它是针对 Linux 的安全加强系统.

这里,我们将讲述 Linux 系统中的 DAC 安全模型.

DAC 安全模型

DAC 的核心内容是：在 Linux 中,进程理论上所拥有的权限与执行它的用户的权限相同.其中涉及的一切内容,都是围绕这个核心进行的.

用户和组 ID 信息控制

用户、组、口令信息

通过 /etc/passwd 和 /etc/group 保存用户和组信息,通过 /etc/shadow 保存密码口令及其变动信息,每行一条记录.

用户和组分别用 UID 和 GID 表示,一个用户可以同时属于多个组,默认每个用户必属于一个与之 UID 同值同名的 GID .

对于 /etc/passwd,每条记录字段分别为 用户名: 口令(在 /etc/shadow 加密保存)：UID:GID(默认 UID): 描述注释: 主目录: 登录 shell(第一个运行的程序)

对于 /etc/group,每条记录字段分别为 组名：口令(一般不存在组口令)：GID：组成员用户列表(逗号分割的用户 UID 列表)

对于 /etc/shadow,每条记录字段分别为： 登录名: 加密口令: 最后一次修改时间: 最小时间间隔: 最大时间间隔: 警告时间: 不活动时间:

举例

以下是对用户和组信息的举例. /etc/shadow 中的口令信息为加密存储,不举例.

文件权限控制信息

文件类型

Linux 中的文件有如下类型：

• 普通文件,又包括文本文件和二进制文件,可用 touch 创建；
• 套接字文件,用于网络通讯,一般由应用程序在执行中间接创建；
• 管道文件是有名管道,而非无名管道,可用 mkfifo 创建；
• 字符文件和块文件均为设备文件,可用 mknod 创建；
• 链接文件是软链接文件,而非硬链接文件,可用 ln 创建.

访问权限控制组

分为三组进行控制：

• user 包含对文件属主设定的权限
• group 包含对文件属组设定的权限
• others 包含对其他者设定的权限

可设定的权限

下面给出常见(但非全部)的权限值,包括：

• r 表示具有读权限.
• w 表示具有写权限.
• x 一般针对可执行文件 / 目录,表示具有执行 / 搜索权限.
• s 一般针对可执行文件 / 目录,表示具有赋予文件属主权限的权限,只有 user 和 group 组可以设置该权限.
• t 一般针对目录,设置粘滞位后,有权限的用户只能写、删除自己的文件,否则可写、删除目录所有文件.旧系统还表示可执行文件运行后将 text 拷贝到交换区提升速度.

举例

通过 ls -l 可以查看到其文件类型及权限,通过 chmod 修改权限.

举例来说,

输出中,第 1 个字符表示文件类型,其中,普通文件 (-)、目录文件 (d)、套接字文件 (s),管道文件 (p),字符文件 (c),块文件 (b),链接文件 (l)； 第 2 个字符开始的 -rwxr-xr-x 部分表示文件的权限位,共有 9 位.

对于文件 /usr/bin/qemu-i386,这个权限控制的含义是：

1. 第 2~4 位的 rwx 表示该文件可被它的 owner (属主)以 r 或 w 或 x 的权限访问.
2. 第 5~7 位的 r-x 表示该文件可被与该文件同一属组的用户以 r 或 x 的权限访问
3. 第 8~10 位的 r-x 表示该文件可被其它未知用户以 r 或 x 的权限访问.

对于 test/,test2/,test3/ 设定的权限：

1. r,w,x 权限对每一权限控制组的权限用一位 8 进制来表示； 例如： 755 表示 rwxr-xr-x .
2. s,t 权限会替代 x 位置显示；设定 s,t 权限则需在对应的、用于控制 r,x 的 8 进制权限控制组前追加数字； s 权限用于属主属组控制,t 用于其它控制.
3. 设定属主 s 需追加 4,设定属组 s 追加 2,设定其它者 t 权限追加 1 ； 例如前面对 test/ 设定 t,则用 1775,表示 rwxrwxr-t .

进程权限控制信息

进程权限

对于进程,有如下属性与文件访问权限相关：

• effective user id : 进程访问文件权限相关的 UID (简写为 euid ).
• effective group id : 进程访问文件权限相关的 GID (简写为 egid ).
• real user id : 创建该进程的用户登录系统时的 UID (简写为 ruid ).
• real group id : 创建该进程的用户登录系统时的 GID (简写为 rgid ).
• saved set user id : 拷贝自 euid .
• saved set group id : 拷贝自 egid .

举例

我们可以使用 ps 和 top 选择查看具有 euid 和 ruid 的进程.或者通过 top 来查看进程的 euid 和 ruid

通过 top 来查看的例子：

首先输入 top 得到类似如下

这里通过 -d 选项延长 top 的刷新频率便于操作.此处可见,只有 USER 字段,表示相应进程的 effective user id.

（编辑：ASP站长网）