Linux文件的扩展属性

最新推荐文章于 2023-11-21 20:39:21 发布
最新推荐文章于 2023-11-21 20:39:21 发布
阅读量1.3k 收藏
点赞数
分类专栏: linux用户进程 文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wbd880419/article/details/130972579
版权

文件属性

Linux文件属性分为常规属性与扩展属性,其中扩展属性有两种:attr与xattr.

一般常规的文件属性由stat API 读取,一般是三种权限,ower, group,时间等。

扩展属性attr

用户态API

ioctl(fd, FS_IOC32_SETFLAGS or FS_IOC_SETFLAGS,...)

使用ioctl中扩展的命令字

内核中的处理

ext2对应的FS_IOC32_SETFLAGS的函数

long ext2_ioctl(struct file *filp, unsigned int cmd, unsigned long arg)

*/
struct ext2_inode_info {
__le32    i_data[15];
__u32    i_flags; //保存配置的位置在ext2自已的inode接口里的i_flags里。这些数据最后同步到文件系统的磁盘中。
__u32    i_faddr;
__u8    i_frag_no;
__u8    i_frag_size;
__u16    i_state;
__u32    i_file_acl;
__u32    i_dir_acl;
__u32    i_dtime;
......

命令

lsattr 与chattr

这两个命令的关键字是attr,不是xattr,但他们是文件的扩展属性的另一个基础版本

lsattr file.txt
-----a---------- file.txt
[root@localhost ~]# chattr +i file.txt //为file.txt 增加i属性。不得任意更动文件或目录。
[root@localhost ~]# lsattr file.txt
----ia---------- file.txt
[root@localhost ~]#

扩展属性xattr

扩展属性是由Linux文件系统ext2(ext3)等为文件提供可配置扩展属性的空间。目前主要使用的是security.capability与security.selinux,用于可执行文件的能力控制和强制访问控制。

API

扩展属性有一组API,以xattr为关键字。

用户态API:

#include <sys/xattr.h>       
ssize_t getxattr(const char *path, const char *name,  void *value, size_t size);       
ssize_t lgetxattr(const char *path, const char *name, void *value, size_t size);       
ssize_t fgetxattr(int fd, const char *name,void *value, size_t size);

内核对应的API入口:

见fs/xattr.c

sys_fsetxattr(int fd, char __user *name, void __user *value,size_t size, int flags);

特定文件系统的支持ops

inode_operations 是VFS调用具体文件系统的注册函数。

其中以ext3文件系统为例,对xattr的支持。

扩展属性分类

在Linux2.6.18为 5 类:分别为os2, security, system, trusted, user.

4.19 的内核支持的类别有5 大类,security又细分了12个子属性

 

其中capability,selinux为常用项,capability 是linux内核对能力的的配置参数,selinux则是内部强访等使用的配置参数。

Linux系统中的使用扩展属性的命令

getcap ,setcap 可以修改security.capability,这些正是“能力”机制的配置命令

setcap  cap_sys_admin+ep /bin/mount
[root@localhost ~]# getcap /bin/mount
/bin/mount = cap_sys_admin+ep
[root@localhost ~]#
//配置的cap_xx与linux 中capability.h宏相一致。
setcap  cap_audit_control,cap_sys_admin+ep /bin/mount
[root@localhost ~]# getcap /bin/mount
/bin/mount = cap_sys_admin,cap_audit_control+ep
[root@localhost ~]#

attr:用于显示各类属性的名称,可以配置user.类中【属性和值 】对。

attr:

attr -l /bin/mount 显示了各类中的属性名,不单是user.
Attribute "selinux" has a 34 byte value for /bin/mount 是security类中属性
Attribute "capability" has a 20 byte value for /bin/mount// 是security类中属性
Attribute "NAME" has a 5 byte value for /bin/mount //其中NAME是user类中属性
close(4)                                = 0
llistxattr("/bin/mount", "security.selinux\0security.capabi"..., 65536) = 47
lgetxattr("/bin/mount", "security.selinux", 0x0, 0) = 34
lgetxattr("/bin/mount", "security.capability", 0x0, 0) = 20
lgetxattr("/bin/mount", "user.NAME", 0x0, 0) = 5
open("/usr/share/locale/locale.alias", O_RDONLY|O_CLOEXEC) = 4
//在user类中配置NAME=mount的属性
attr -s NAME -V mount /bin/mount
Attribute "NAME" set to a 5 byte value for /bin/mount:
mount

//attr -g从user类中取出
attr -g NAME /bin/mount
Attribute "NAME" had a 5 byte value for /bin/mount:
mount

getfattr与setfattr 可配置各个大类的属性

getfattr mount
file: mount
user.NAME //与attr一样,可以取出所有类别的属性,但只显示user类别的属性。
[root@localhost bin]#
[root@localhost bin]# setfattr  -x user.NAME -h ./mount //删除一
[root@localhost bin]# getfattr mount
[root@localhost bin]# setfattr  -n user.NAME -v mymount ./mount
[root@localhost bin]# getfattr mount
file: mount
user.NAME
[root@localhost bin]#
//可配置user trusted等。
[root@localhost ~]# setfattr -n trusted.md5sum -v d41d8cd98f00b204e00998ecf8427e file.txt
[root@localhost ~]# getfattr file.txt
[root@localhost ~]# attr -l file.txt
Attribute "selinux" has a 38 byte value for file.txt
Attribute "md5sum" has a 30 byte value for file.txt
[root@localhost ~]# getfattr -m trusted file.txt
file: file.txt
trusted.md5sum


[root@localhost ~]# setfattr -n security.md5sum -v d41d8cd98f00b204e00998ecf8427e file.txt

[root@localhost ~]# getfattr -m security file.txt
# file: file.txt
security.md5sum
security.selinux

内核中如何实现“能力”机制

当可执行程序加载过程中取“security.capability”中数据的过程。

 

使用的过程

在进程启动后,他每通过一个系统调用时,都会使用cap_capable 来检查它的cred中的cap_effective是否有效。

 

capability机制

查看当前bash的cap的命令 capsh

当前centos用户当前可使用的权限为0。

 

root用户的权限

 

 

capsh --inh=cap_net_admin --user=centos --

启动一个bash,以centos的用户名,此用户名的capability为cap_net_admin

 

进程的5种功能级别

  • CapInh = Inherited capabilities //继承而来的
  • CapPrm – Permitted capabilities //允许的,是CapEff的超级。使用setcap可以修改。
  • CapEff = Effective capabilities //真实生效的
  • CapBnd = Bounding set //系统可以支持的范围。
  • CapAmb = Ambient capabilities set //环境中的。

查看一个进程的Cap集合

cat /proc/81772/status | grep Cap

CapInh: 0000000000001000

CapPrm: 0000000000000000

CapEff: 0000000000000000

CapBnd: 0000001fffffffff

CapAmb: 0000000000000000

Rock80中/etc/secuirty/*.conf 与pam_cap.so

在su netadmin等命令时,会读到此文件,并且cap_set给bash进程。这样netadmin启动的进程就有了相应的cap了。

pam组件在认证过程中用pam_cap.so

附件

How to Configure Linux Capabilities Per User - ITCodar

Linux capabilities 101 - Linux Audit (linux-audit.com)

capabilities(7) - Linux manual page (man7.org) 对capabilities的全面说明

Linux Capabilities: Hardening Linux binaries by removing setuid (linux-audit.com) 为ping程序取消root s位,并为它配置net_raw的cap(setcap )

yaxinsn
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
目录与文件属性ls
12-17
linux下编写的ls:基本要求——扩展教材中ls的实现代码的功能: a对输出的文件、目录进行排序(如按文件名排、按修改时间排、按类型排), b分栏(输出支持一行多栏), c“.”开头文件(默认隐藏这类文件), d支持参数(如可以执行./myls /tmp); e支持更多选项(阅读man ls,如递归的“-r”选项);
linux修改文件扩展属性的源文件chattr.c
02-26
linux修改文件扩展属性的源文件chattr.c,下载后只需要执行gcc chattr.c -o chattr.out即可编译出chattr.out文件,从而执行./chattr.out -i a.txt等命令来对文件扩展属性进行更好的操作。 详情见文章:https://dingdong.blog.csdn.net/article/details/129227812
xattr:对Go的扩展属性支持(linux + darwin + freebsd)
03-11
Xattr的 对Go的扩展属性支持(Linux + darwin + freebsd + netbsd + solaris)。 “扩展属性是与文件和目录永久关联的name:value对,类似于与流程关联的环境字符串。属性可以定义或未定义。如果已定义,则其值可以为空或非空。” SetWithFlags允许额外传递系统标志以转发给基础调用。 FreeBSD和NetBSD不支持此功能,该参数将被忽略。 所有函数的L变体( LGet/LSet/... )与Get/Set/...相同,除了它们不引用出现在路径末尾的符号链接。 有关详细信息,请参见 。 例子 const path = "/tmp/myfile" const prefix = "user." if err := xattr . Set ( path , prefix + "test" , [] byte ( "tes
linux 查看文件属性(ls,lsattr,file,stat)实例详解
01-11
查看文件属性有多种方法,且这些方法中偏向不同,具体如下: 1,ls     ls -a 查看所有文件     ls -l 查看详细的属性  2,lsattr     查看文件扩展属性,     如果文件被 chattr +i   添加了写保护,     用lsattr可以看到添加的属性 3,file 查看文件的类型 4,stat     查看文件的状态 测试结果: 感谢阅读,希望能帮助到大家,谢谢大家对本站的支持! 您可能感兴趣的文章:Linux du命令查看文件夹大小并按降序排列Linux系统下如何查看及修改文件读写权限
file-xattr.el:在Linux上读写扩展文件属性
05-15
Linux上读写扩展文件属性 一个简单的getfattr / setfattr包装器,提供对Linux扩展文件属性的访问。 (c) ,大卫·毛斯(David Maus) 该程序是免费软件:您可以根据自由软件基金会发布的GNU通用公共许可的条款(许可的版本3)或(根据您的选择)任何更高版本来重新分发和/或修改它。 分发该程序是希望它会有用,但是没有任何保证; 甚至没有对适销性或特定用途适用性的暗示保证。 有关更多详细信息,请参见GNU通用公共许可证。 您应该已经与该程序一起收到了GNU通用公共许可证的副本。 如果没有,请参阅 。
xattr-文件系统扩展属性
Yang的博客
03-26 2224
xattr-文件系统扩展属性
Linux 安全 - 扩展属性xattr
最新发布
小立仔
11-21 1633
Linux 安全 - 扩展属性xattr简介
Linux文件属性
qq_21337539的博客
09-24 1098
linux termianl中用ls -lih 命令可以查看文件属性,其输出的每列数据代表的含义如下图所示。下面本文将针对这些内容进行详细说明。
Linux下七种文件类型、文件属性及其查看方法
Gefangenes的博客
05-22 5211
Linux中最多的一种文件类型, 包括 纯文本文件(ASCII);二进制文件(binary);数据格式的文件(data);各种压缩文件.第一个属性为 [-]就是目录, 能用 # cd 命令进入的。第一个属性为 [d],例如 [drwxrwxrwx]块设备文件 : 就是存储数据以供系统存取的接口设备,简单而言就是硬盘。例如一号硬盘的代码是 /dev/hda1等文件。第一个属性为 [b]字符设备文件:即串行端口的接口设备,例如键盘、鼠标等等。第一个属性为 [c]
Linux操作系统学习——文件系统之文件属性
qq_30386941的博客
08-11 706
Linux系统是一种典型的多用户系统,不同的用户处于不同的地位,拥有不同的权限。为了保护系统的安全性,Linux系统对不同的用户访问同一文件(包括目录文件)的权限做了不同的规定。其中包含的信息有第一列的文件类型和权限、第三列属主、第四列属组和最后一列的文件(目录)名。
Linux文件被自动加属性保护,正确设置Linux扩展属性增强文件安全
weixin_30405507的博客
04-29 329
Linux扩展属性可以保护文件免于意外或恶意修改,并且只需要几句简单命令就可以加强服务器安全。在Unix的初期,可以分配三种权限,包括用户(user)、组(group)和其他(other)。随着Linux逐渐取代Unix和数据安全性得到越来越高重视,Linux扩展属性因此而诞生。权限与属性最重要的不同在于属性并不依赖于某个用户帐号。因此,可以将文件授权给所有用户,甚至是root。你也可以使用属性来...
linux文件文件扩展属性操作
liuhong的专栏
02-10 3937
一、通过命令行操作扩展属性:     1、设置扩展属性:           setfattr -n user.name -v liuhong ttttt.c      2、获得一个扩展属性:            输入:getfattr -n user.name  ttttt.c           输出:# file: ttttt.c            user.name="l
linux修改文件_Linux 设置修改文件扩展属性命令:chattr, lsattr
weixin_39600837的博客
12-04 439
目录一、命令描述二、命令格式三、命令帮助信息四、命令选项五、练习一、命令描述1、chattr:作用:设置文件扩展属性,并且能够提高系统的安全性。2、lsattr:作用:用于显示chattr设置属性。二、命令格式1、chattr:chattr [-RVf] [-+=aAcCdDeijsStTu] [-v version] files...2、lsattr:lsattr [-RVadlv] [fi...
linux文件属性、权限
wangzhenyu177的博客
07-31 5776
0.目录目录 命令ls 文件权限 1 读写执行权限的意义 2 读写执行权限的修改 3 文件默认权限 4 文件特殊权限及修改 5 文件隐藏权限及修改 文件属主属组修改 文件时间戳1 .命令ls命令ls,用于列出(list)各文件。 默认仅显示非隐藏文件文件名。 各选项: 选项“-a”:显示包括隐藏文件在内的所有文件名。 文件名第一个字符为“.”的即为隐藏文件。 选项“-d”:若参数为目录1,该选
linux文件属性
m0_69211839的博客
03-27 887
这个设计方法是readdir不可重入的关键。(1)设备文件对应的是硬件设备,也就是说这个文件虽然在文件系统中存在,但是并不是真正存在于硬盘上的一个文件,而是文件系统虚拟制造出来的(叫虚拟文件系统,如/dev /sys /proc等)(1)每个文件中都附带了这个文件的一些属性属性信息是存在于文件本身中的,但是它不像文件的内容一样可以被vi打开看到,属性信息只能被专用的API打开看到):对于符号链接文件,stat和fstat查阅的是符号链接文件指向的文件属性,而lstat查阅的是符号链接文件本身的属性
xattr属性是什么linux,Linux自主访问控制机制模块之详细描述
weixin_31236101的博客
05-16 950
原标题:Linux自主访问控制机制模块之详细描述2.3.1.2 扩展属性的实现扩展属性在内核中采用xattr结构进行标识,定义在include/linux/xattr.h中,具体定义如下所示:对于该结构,其各字段的含义如表2-1所示:表2-1 xattr中各字段的含义类型字段含义char *name扩展属性的名字void *value扩展属性值size_tvalue_len扩展属性值的长度同时,内...
linux系统编程 文件属性
qq_29750559的博客
05-14 209
在一般文件的情况下,对于普通文件来说,文件数据的理论大小 == 在块设备上实际占用的空间大小。但是空洞文件却不是这样的,对于空洞文件来说,文件数据的理论大小 > 在块设备上实际占用的空间大小。
Android Selinux介绍,如何添加selinux 权限
yinhunzw的专栏
11-14 8358
文件类: type=1400 audit(0.0:104avc: denied { search } for name="vendor" dev="tmpfs" ino=9241 scontext=u:r:dumpstate:s0 tcontext=u:object_r:mnt_vendor_file:s0 tclass=dir permissive=0 分析: 缺少的权限:{write/read/search} 谁缺少权限:scontext=u:r:dumpstate:s0 哪个文件的权限:t.
xattr属性是什么linux_【Linux笔记】设备树基础知识
weixin_32283253的博客
02-01 759
整理自:百问网+正点原子前言之前分享的笔记:【Linux笔记】总线设备驱动模型中在platform_device部分有简单说明描述设备有两种方法:一种是使用platform_device结构体来指定;另一种是使用设备树来描述。本篇笔记我们就来简单地学习一下设备树的一些知识。什么是设备树设备树简单理解就是描述设备信息(资源)的一棵树。设备树(Device Tree)用代码体现如下:这些代码被保存在....
Unix扩展属性是什么
05-22
Unix扩展属性是一种在Unix/Linux操作系统中用于给文件或目录附加附加元数据的机制。它们允许用户为文件或目录添加一些额外的信息,如文件的作者、文件的安全性、文件的访问权限等等。这些属性可以用来存储与文件相关的任何信息,并且不会干扰文件或目录的正常操作。Unix扩展属性通常由文件系统提供支持,并且可以通过各种命令和API访问和管理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值