整理Solaris10文件权限Word下载.docx
- 文档编号:19086731
- 上传时间:2023-01-03
- 格式:DOCX
- 页数:10
- 大小:272.82KB
整理Solaris10文件权限Word下载.docx
《整理Solaris10文件权限Word下载.docx》由会员分享,可在线阅读,更多相关《整理Solaris10文件权限Word下载.docx(10页珍藏版)》请在冰豆网上搜索。
管道文件是一种很特殊的文件,主要用于不同进程间的信息传递。
当两个进程间需要进行数据或信息传递时,可以通过管道文件。
一个进程将需传递的数据或信息写入管道的一端,另一进程则从管道的另一端取得所需的数据或信息。
通常管道是建立在调整缓存中。
二、Solaris10文件的权限
Solaris10系统是一个典型的多用户系统,不同的用户处于不同的地位。
为了保护系统的安全性,Solaris10系统对不同用户访问同一文件的权限做了不同的规定。
对于一个Solaris10系统中的文件来说,它的权限可以分为三种:
读的权限、写的权限和执行的权限,分别用r、w和x表示。
不同的用户具有不同的读、写和执行的权限。
对于一个文件来说,它都有一个特定的所有者,也就是对文件具有所有权的用户。
同时,由于在Solaris10系统中,用户是按组分类的,一个用户属于一个或多个组。
文件所有者以外的用户又可以分为文件所有者的同组用户和其它用户。
因此,Solaris10系统按文件所有者、文件所有者同组用户和其它用户三类规定不同的文件访问权限。
1
Solaris10文件权限的概念
Solaris10文件系统安全模型是通过给系统中的文件赋予两个属性来起作用的,这两个赋予每个文件的属性称为所有者(ownership)和访问权限(accessrights)。
Solaris10下的每一个文件必须严格地属于一个用户和一个组。
图1是在我机器上的/tmp目录下运行ls-l命令的情况。
图1Solaris10文件和文件夹的权限
从上面显示的内容可以注意到,每个文件的目录条目都是以下面类似的一些符号开始:
-rw-r--r--
这些符号用来描述文件的访问权限类别,也就是常说的文件权限。
这些访问权限指导Solaris10根据文件的用户和组所有权来处理所有访问文件的用户请求。
总共有10种权限属性,因此一个权限列表总是10个字符的长度。
它的格式遵循下列规则:
◆第1个字符表示一种特殊的文件类型。
其中字符可为d(表示该文件是一个目录)、b(表示该文件是一个系统设备,使用块输入/输出与外界交互,通常为一个磁盘)、c(表示该文件是一个系统设备,使用连续的字符输入/输出与外界交互,如串口和声音设备),“.”表示该文件是一个普通文件,没有特殊属性。
◆2~4个字符用来确定文件的用户(user)权限,5~7个字符用来确定文件的组(group)权限,8~10个字符用来确定文件的其它用户(otheruser,既不是文件所有者,也不是组成员的用户)的权限。
其中,2、5、8个字符是用来控制文件的读权限的,该位字符为r表示允许用户、组成员或其它人可从该文件中读取数据。
短线“-”则表示不允许该成员读取数据。
与此类似,3、6、9位的字符控制文件的写权限,该位若为w表示允许写,若为“-”表示不允许写。
4、7、10位的字符用来控制文件的制造权限,该位若为x表示允许执行,若为“-”表示不允许执行。
读权限的情况如图2所示。
图2读权限的情况
写读权限的情况如图3所示
图3写读权限的情况
执行权限的情况如图4所示
图4执行权限的情况
任何列在/etc/passwd文件中的用户都可以是一个文件的所有者,也称为该文件的用户。
同样任何列在/etc/group文件中的组都可以是文件组的所有者,也简称为文件的组。
下面来看两个例子,以便加深理解。
首先来看一看图1中的第二行:
drwxr-xr-x
2root
root
117
4月28日07:
14hsperfdata_root
因为第1个位置的字符是d,所以由此知道hsperfdata_root是一个目录。
第2至4位置上的属性是rwx,表示用户root拥有权限列表显示guo中所有的文件、创建新文件或者删除guo中现有的文件,或者将guo作为当前工作目录。
第5至7个位置上的权限是rwx,表示root组的成员拥有和root一样的权限。
第8至10位上的权限仅是r--,表示不是root的用户及不属于root组的成员只有对hsperfdata_root目录列表的权限。
这些用户不能创建或者删除hsperfdata_root中的文件。
下面再来看一看图1中的第一行:
-rw-r--r--
1root
0
141111.txt
在该项中,第1个位置是短线“-”,表示该文件是一个普通文件,没有特殊属性。
该文件对任何人都可读,只对user可写,user和admin的组成员可以执行该文件。
三、修改文件或者目录权限方法
1使用chmod命令
格式:
chmod命令有两种用法。
一种是包含字母和操作符表达式的字符设定法(相对权限设定);
另一种是包含数字的数字设定法(绝对权限设定)。
(1)字符设定法
chmod[ugoa][+|-|=][rwxXstugo]文件名
?
第一部分决定权限的授予者,第二部分决定对权限进行何种操作(添加、删除、设定),第三部分决定具体要授予的权限,三部分组成一个字符串,也就是mode参数值。
详细描述如表-1所示。
值
描
述
授予者
u
用户,即文件、目录的所有者
g
同组用户,与文件属主有相同组ID的所有用户
o
其他用户
a
所有用户,它是系统默认值
操作符号
+
在原有权限中添加某个权限
-
在原有权限中删除某个权限
=
赋予新给定权限,并取消其他所有权限
权限位
r
设置读权限
w
设置写权限
x
设置执行权限
X
只有目标文件对某些用户是可执行的,该目标文件是目录时才追加x属性
s
设置SUID、SGID,g+s设置SGID,u+s设置SUID
t
保存程序的文本到交换设备上
与文件属主拥有一样的权限
与和文件属主同组的用户拥有一样的权限
与其他用户拥有一样的权限
实例应用如下。
如果一个系统管理员写了一个通知(news)让所有用户阅读,那么必须授权用户对这个文件有读权限,可以使用命令:
#chmoda=rnews
(2)数字设定法
第1页数字设定法的一般形式为:
chmod[mode]文件名
数字属性的格式应为3个0~7的八进制数,其顺序是(u)(g)(o)文件名,以空格分开要改变权限的文件列表,支持通配符。
3.意愿调查评估法数字表示的权限的含义如下:
0001:
所有者的执行权限。
1.环境总经济价值的构成?
0002:
所有者的写权限。
0004:
所有者的读权限。
①主体是人类;
0010:
组的执行权限。
0020:
组的写权限。
0040:
组的读权限。
0100:
其他人的执行权限。
0200:
其他人的写权限。
0400:
其他人的读权限。
安全评价的基本原则是具备国家规定资质的安全评价机构科学、公正和合法地自主开展安全评价。
1000:
粘贴位置位。
安全评价的原理可归纳为四个基本原理,即相关性原理、类推原理、惯性原理和量变到质变原理。
2000:
假如这个文件是可执行文件,则为组ID位置位,否则其中文件锁定位置位。
4000:
假如这个文件是可执行文件,则为用户ID位置位。
系统管理员写了一个通知(news)让所有用户阅读,那么必须授权用户对这个文件有读权限,可以使用命令:
二、安全预评价#chmod444news2
(一)建设项目环境影响评价的分类管理?
上述命令中,数字444是如何计算出来的呢?
0004为所有者的读权限,0040为组的读权限,0400为其他人的读权限,这3个数字相加就是0444(以上数字都是八进制数),如图5所示。
(三)环境影响评价的原则
图5分别用字符设定法和数字设定法修改文件权限
从图-中可以看到“chmod444news”和“chmoda=r
news”命令是等价的。
说明:
因为Linux系统有能力支持多用户,在每一方面系统都会做出谁能读、写和执行的资源权力限制。
这个权限以三个八位元的方式存储着,一个表示文件所属者,一个表示文件所属群组,一个表示其他人。
这些数字以下列方式表示,如表2所示。
数
字
二进制数的表示
对应的权限表示形式
权限含义
0
000
---
没有任何权限
1
001
--x
可执行
2
010
-w-
可写
3
011
-wx
可写和可执行
4
100
r--
可读
5
101
r-x
可读和可执行
6
110
rw-
可读和可写
7
111
rwx
可读、可写和可执行
文件或者目录的用户能够使用chmod命令修改文件的权限。
Chmod命令有两种方式:
一种是字符方式,使用字符来修改文件的权限;
另外一种是数字方式,使用3个数字的组合来修改文件的权限。
2使用umask命令
很显然,系统中各种文件的权限设置对特定用户的数据安全有很大影响。
但是要求用户逐一明确设置系统中每个文件的权限也是不现实的,为此,需要使用umask命令,该命令可以为用户账号中新文件的创建进行缺省设置。
具体来说,umask是用来设置权限掩码的,权限掩码由3个数字组成,将现有的存取权限减掉权限掩码后,即可产生建立文件时默认的权限。
umask[-p][-S][mode]
[选项]如下。
-S:
以文字的方式来表示权限掩码。
-p:
以数字的方式来表示权限掩码。
mode:
权限掩码。
当最初登录到系统中时,umask命令确定了创建文件的默认模式。
这一命令实际上和chmod命令正好相反。
系统管理员必须要为你设置一个合理的umask值,以确保你创建的文件具有所希望的默认权限,防止其他非同组用户对你的文件具有写权限。
在已经登录之后,可以按照个人的偏好使用umask命令来改变文件创建的默认权限。
相应的改变直到退出该shell或使用另外的umask命令之前一直有效。
一般来说,umask命令是在/etc/profile文件中设置的,每个用户在登录时都会引用这个文件,所以如果希望改变所有用户的umask,可以在该文件中加入相应的条目。
如果希望永久性地设置自己的umask值,那么就把它放在自己$HOME目录下的.profile或.bash_profile文件中。
关于如何计算umask值,umask命令允许你设定文件创建时的默认模式,对应每一类用户(文件属主、同组用户、其他用户)存在一个相应的umask值中的数字。
对于文件来说,这一数字的最大值是6。
系统不允许你在创建一个文本文件时就赋予它执行权限,必须在创建后用chmod命令增加这一权限。
目录则允许设置执行权限,这样针对目录来说,umask中各个数字最大可以到7。
表3列出了常用的umask值及对应的目录和文件权限。
umask值
目录权限
文件权限
022
775
644
027
750
640
002
755
664
006
771
660
007
770
(1)如果想知道当前的umask值,可以使用没有任何参数的umask命令:
#umask
0022
(2)如果想要改变umask值,只要使用umask命令设置一个新的值即可:
#umask002
(3)使用umask设置安全权限:
#
umask117
umask-S
u=rw,g=rw,o=
上述命令把umask值改为177,结果只有文件所有者具有读写文件的权限,其他用户不能访问该文件。
这显然是一种非常安全的状态。
其它问题
事实上,一个系统中的文件安全是一个综合问题,对于一些特殊的情况要做特殊的考虑。
比如,对于设备文件的安全性、SUID/SGID的设置等。
一般来说,各Solaris10发行版在安装时就已经把设备文件的设置做得非常不错。
但是对于磁盘设备而言,我认为惟一安全的还是只允许root用户进行读写。
否则,其它用户的账号一旦被攻破,黑客通过访问磁盘很快就可以让系统崩溃。
要做到这一点,可以使用以下命令:
#cd/dev
#chmod600sd*
Suid和Sgid是Solaris10系统中最复杂的属性,它跟一个系统的安全息息相关。
我们可以利用chmod命令来清除或者设置一个文件的Suid/Sgid属性,具体方法如下所示。
将/usr/sbin/pppd程序设置为Suid/Sgid状态,使用的命令是:
#chmodug+s/usr/sbin/pppd
要清除Sgid状态而保留Suid状态,可用以下命令:
#chmodg-s/usr/sbin/pppd
此外,如何装载文件系统,特别是将root文件系统装载为只读,以防止非授权的修改也比较重要。
3使用图形界面
除了使用chmod和umask外Solaris10在桌面环境下还可以使用图形方法,使用鼠标右键点击文件名称,执行权限一览进行设置,如图6。
图6使用图形界面修改文件权限
总之,Solaris10下文件系统的安全问题是一个非常复杂的问题。
通过本文的学习,读者对此应该有了一个较全面的了解,并且可以处理日常工作中常见的有关文件系统安全问题。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 整理 Solaris10 文件 权限