1 前言
Linux系统的安全体系文件权限管理是通过自主访问机制(Discretionary Access Control,DAC)实现的。自主访问机制指对象(比如程序、文件或进程等)的拥有者可以任意的修改或授予此对象相应的权限。Linux的UGO(User、Ggroup、Other)和ACL(Access Control List,访问控制列表)权限管理方式就是典型的自主访问机制。
Linux支持UGO和ACL权限管理方式,UGO将权限位信息存储在节点的权限中,ACL将权限位信息存储在节点的扩展属性中。不同的文件系统权限位的存储与处理方式不一样,具体的文件系统实现了文件权限的管理。
早期linux信任状模型非常简单,就是超级用户对普通用户模型。普通用户的很多操作如果需要root权限,要通过setuid实现。如果程序编写的不好,就可能被攻击者利用,获得系统的控制权。使用能力机制可以减小这种风险。系统管理员为了系统的安全可以剥夺root用户的能力,这样即使root用户也将无法进行某些操作。这个过程是不可逆的,也就是说如果一种能力被删除,除非重新启动系统,否则即使root用户也无法重新添加被删除的能力。
原来的linux系统只有一份用户管理的视图,user_ns的引入使得linux系统管理员可以给普通用户抽象出一份宿主机用户管理视图的子集,在此子集中的用户及其资源对其用户管理视图的感知如同子集就是独自拥有一台宿主机,其有自己的root用户。
本文分析了UGO和ACL权限管理方式和能力机制,在此基础上分析了user_namespace是怎么做到用户的虚拟化。
2 UGO文件权限管理
传统的linux文件系统的UGO权限管理方式在文件和目录上设置权限位,用来控制用户或用户组对文件或目录的访问。文件或目录文件创建时,文件系统会将文件类型、时间信息、权限信息、权限位信息等存入到文件的节点中。
2.1 文件的权限位分配
一个文件创建后,它具有读、写和执行三种操作方式,UGO权限管理方式将文件访问的操作者简单的分为三类:文件属主、同组用户和其他组用户。文件属主指创建文件的用户,他是文件的拥有者,它可以设置用户的读、写和执行权限。同组用户是指与文件属主是同一个用户组的用户。
UGO权限管理方式将文件的权限用3组分别为3位二进制位描述,并在最前面加上一位作为文件类型标识。每一组表示一类用户,其读、写、执行权限分别用一位表示,具有权限时,就将该位设置为1。读、写、执行权限分别用r、w、x表示。
例如,一个文件的权限列出如下:
-rwxr-xr-x 1 root root 12371 Jul 12 22:56 client
最前面一位‘-’,表示文件类型为普通文件。
第一组为“rwx”,表示文件属主具有读、写和执行权限。
第二组为“r-x”,表示同组的其他用户具有读与执行权限,但是没有写权限。
第三组为“r-x”,表示其他组用户具有读与执行权限,但是没有写权限。
在UGO权限管理方式中,第一个4位二进制组的第一位表示文件类型,这些文件类型详见下表:
描述符 |
文件类型 |
d |
目录 |
l |
符号链接 |
s |
套接字文件 |
b |
块设备文件 |
c |
字符设备文件 |
p |
命名管道文件 |
- |
普通文件 |
例如一个目录的权限位如下:
drwxr-xr-x 2 root root 4096Jul 5 04:41 Desktop
最前面一位是’d’,表示文件类型为目录。
目录和文件的权限位是一样的,但是目录与文件在权限定义上有一些区别,目录的读操作指列出目录中的内容,写操作指在目录中创建或删除文件,执行操作指搜索和访问目录。
2.2 改变权限的命令
用户缺省创建文件时,用户本身对这个文件有读写操作权限,其他用户对它具有读操作权限。用户缺省创建目录时,用户本身对目录有读、写和执行权限,同组用户有读和执行权限,其他组用户有执行权限。
用户可以使用命令chmod来改变权限位,只有用户是文件的所有者或者root用户,他才能有权限改变权限位。
命令chmod有符号模式和绝对模式,符号模式指用权限位的符号形式来设置新权限位,绝对模式指直接用权限位的二进制的数字形式设置权限位。
(1) chmod命令的符号模式
chmod命令的格式列出如下:
chmod [who] operator [permission] filename
who 的含义列出如下:
u 文件属主权限。
g 属组用户权限。
o 其他用户权限。
a 所有用户。
operator的含义列出如下:
+ 增加权限。
- 取消权限。
= 设定权限。
permission的含义列出如下:
r 读权限。
w 写权限。
x 执行权限。
s 文件属主和组set-ID。
t 粘性位。
i 给文件加锁,使其他用户无法访问。
u,g,o分别表示对文件属主、同组用户及其他组用户操作。
t sticky bit, 常用于共享文件,如:/tmp分区。设置t位之后,同组用户即使对文件有写操作权限,也不能删除文件。
举些例子如下:
chmod a-x temp//删除所有用户的执行权限
chmod og-w temp//删除同组用户和其他用户的写权限
(2) chmod 命令的绝对模式
chmod 命令绝对模式的一般形式为:
chmod [mode] file
其中mode是一个八进制数,表示权限位。在绝对模式中,每一个权限位用一个八进制数来代表,权限位说明如下:
0400 文件属主可读
0200 文件属主可写
0100 文件属主可执行
0040 同组用户可读
0020 同组用户可写
0010 同组用户可执行
0004 其他用户可读
0002 其他用户可写
0001 其他用户可执行
计算八进制权限的计算方式如下:
文件属主:rwx:4+2+1
同组用户:rwx:4+2+1
其他用户:rwx:4+2+1
例如:chmod 666 filename 所有用户都具有读和写的权限。
2.3 suid/guid
如果属主对文件设置了suid权限,那么其他用户在shell执行文件时也具有其属主的相应权限。如果属主是root用户,那么其他普通用户在执行文件时也具有root用户的权限。guid有相似的机制,执行相应文件的用户将具有该文件所属用户组的用户的权限。
设置suid的方法是将相应的权限位之前的那一位设置为4,设置guid的方法是将相应的权限位之前的那一位设置为2,如果同时设置suid和guid,将相应的权限位之前的那一位设置为4+2.设置suid或guid需要同时设置执行权限位。
例:设置suid
下面方法给文件test设置了suid,755表示文件属主具有读、写和执行的权限,同组用户和其他用户具有读和执行的权限。
chmod 4755 test
chmod u+s test
设置结果为:rws r-x r-x, 其中s表示设置了suid, 表示其他用户在shell执行test时具有属主权限。
例:同时设置suid和guid
下面方法给文件test设置了suid和guid位,711表示文件属主具有读、写和执行的权限,同组用户和