Linux安全体系的文件权限管理.docx
- 文档编号:24313806
- 上传时间:2023-05-26
- 格式:DOCX
- 页数:31
- 大小:38.79KB
Linux安全体系的文件权限管理.docx
《Linux安全体系的文件权限管理.docx》由会员分享,可在线阅读,更多相关《Linux安全体系的文件权限管理.docx(31页珍藏版)》请在冰豆网上搜索。
Linux安全体系的文件权限管理
自主访问机制(DiscretionaryAccessControl,DAC)指对象(比如程序、文件或进程等)的的拥有者可以任意的修改或授予此对象相应的权限。
Linux的UGO(User、Group、Other)和ACL(AccessControlList,访问控制列表)权限管理方式就是典型的自主访问机制。
Linux支持UGO和ACL权限管理方式,UGO将权限位信息存储在节点的权限中,ACL将权限位信息存储在节点的扩展属性中。
不同的文件系统权限位的存储和处理方式不一样,具体的文件系统(如:
ext4)实现文件权限的管理。
本章分析了UGO和ACL权限管理方式和能力机制。
1unix文件权限管理
传统的Unix文件系统的UGO(User、Group、Other)权限管理方式在文件和目录上设置权限位,用来控制用户或用户组对文件或目录的访问。
Linux继承了Unix的UGO权限管理方式。
文件或目录文件创建时,文件系统会将文件类型、时间信息、权限信息、权限位信息存入到文件的节点中。
1.1文件的权限位分配
一个文件创建后,它具有读、写和执行三种操作方式,UGO权限管理方式将访问文件的操作者简单地分为三类:
文件属主、同组用户和其他组用户。
文件属主是指创建文件的用户,他是文件的拥有者,它可以设置用户的读、写和执行权限。
同组用户是指与文件属主同一个用户组的用户。
UGO权限管理方式将文件的权限用3组3位二进制位描述,还在最前面加上一位作为文件类型标识。
每类用户占3位,读、写、执行权限各用1位描述,具有权限时,就将该位设置为1。
读、写、执行权限分别用r、w、x三个字符表示。
第一组权限位
例如:
一个文件的权限列出如下:
[root@localhost/root]
^-^$ls–l
-rw-r--r--1rootroot195Jan2822:
12scsrun.log
最前面一位‘-’,表示文件类型为普通文件。
第一个组为"rw-",表示文件属主具有读和写权限,但没有执行权限。
第二个组为"r--",表示同组其他用户具有读权限,但没有写和执行权限。
第三个组为"r--",表示其他组用户具有读权限,但没有写和执行权限。
在UGO权限管理方式中,第一个4位二进制组的第一位(最前面的一位)表示文件类型这些文件类型的描述符及含义说明如表1:
表1 文件类型的描述符
描述符
文件类型
d
目录。
l
符号链接
s
套接字文件。
b
块设备文件。
c
字符设备文件。
p
命名管道文件。
-
普通文件
例如:
一个目录的权限位列出如下:
[root@localhost/root]
^-^$ls-l
drwxr-xr-x2rootroot4096Jan2822:
33Desktop
最前面一位‘d’,表示文件类型为目录。
第一个组为"drwx",表示文件属主具有读、写和执行权限。
第二个组为"r-x",表示同组其他用户具有读和执行权限,但没有写权限。
第三个组为"r-x",表示其他组用户具有读和执行权限,但没有写权限。
目录和文件的权限位是一样的,但目录与文件在权限定义上有一些区别,目录的读操作指列出目录中的内容,写操作指在目录中创建或删除文件,执行操作指搜索和访问目录。
1.2改变权限的命令
用户缺省创建文件时,用户本身对这个文件有读写操作权限,其他用户对它具有读操作权限。
用户缺省创建目录时,用户本身对目录有读、写和执行权限,同组用户有读和执行权限,其他组用户有执行权限。
例如:
用户创建的test文件和testdir目录的权限位列出如下:
-rw-r--r--1rootroot0Feb818:
20test
drwxr-xr-x2rootroot4096Feb818:
22testdir
用户可以使用命令chmod来改变权限位,只有用户是文件的所有者或者root用户,他才能有权限改变权限位。
命令chmod有符号模式和绝对模式,符号模式指用权限位的符号形式来设置新权限位,绝对模式指直接用权限位的二进制位的数字形式设置权限位。
(1)chmod命令的符号模式
chmod命令的格式列出如下:
chmod[who]operator[permission]filename
who的含义列出如下:
u文件属主权限。
g属组用户权限。
o其他用户权限。
a所有用户。
operator的含义列出如下:
+增加权限。
-取消权限。
=设定权限。
permission的含义列出如下:
r读权限。
w写权限。
x执行权限。
s文件属主和组set-ID。
t粘性位*。
l给文件加锁,使其他用户无法访问。
u,g,o分别表示对文件属主、同组用户及其他组用户操作。
tstickybit,常用于共享文件,如:
/tmp分区。
设置t位后,同组用户即使用对文件有写操作权限,也不能删除文件。
例如:
一些chomd操作命令列出如下:
chmoda-xtemp //删除所有用户的执行权限
chmodog-wtemp//删除同组用户和其他用户的写权限
chmodg+wtemp//增加同组用户写权限
chmodu+xtemp//增加文件属主执行权限
chmodgo+xtemp//增加同组用户和其他用户执行权限
(2)chmod命令的绝对模式
chmod命令绝对模式的一般形式为:
chmod[mode]file
其中mode是一个八进制数,表示权限位。
在绝对模式中,每一个权限位用一个八进制数来代表,权限位说明如下:
0400文件属主可读
0200文件属主可写
0100文件属主可执行
0040同组用户可读
0020同组用户可写
0010同组用户可执行
0004其他用户可读
0002其他用户可写
0001其他用户可执行
计算八进制权限的计算方法类似如下:
文件属主:
rwx:
4+2+1
同组用户:
rwx:
4+2+1
其他用户:
rwx:
4+2+1
用chmod命令绝对模式设置文件权限的样例列出如下:
chmod666rw-rw-rw- //所有用户具有读和写的权限
chmod644rw-r--r-- //所有文件属主具有读和写的权限,同组或其他用户具有读权限
1.3suid/guid
如果属主用户对文件设置了suid权限,那么其他用户在shell执行文件时也具有其属主的相应权限。
如果属主是root用户,那么其他普通用户在执行文件时也具有root用户的权限。
guid有相似的机制,执行相应文件的用户将具有该文件所属用户组中用户的权限。
有些特殊情况需要使用suid/guid,例如:
数据库备份时需要有系统管理权限,而系统运行的普通用户下,此时,系统管理员设置备份脚本的suid/guid,数据库备份时,备份程序通过运行备份脚本获得系统管理员权限,在备份完成后,数据库程序又恢复到普通用户的权限。
设置suid的方法是将相应的权限位之前的那一位设置为4,设置guid的方法是将相应的权限位之前的那一位设置为2,如果同时设置suid和guid,将相应的权限位之前的那一位设置为4+2。
设置suid或guid需要同时设置执行权限位。
例1 设置suid
下面方法给文件test设置了suid,755表示文件属主具有读、写和执行的权限,同组用户和其他用户具有读和执行的权限。
chmod4755test
chmodu+s test
设置结果为:
rwsr-xr-x,其中s表示设置了suid,表示其他用户在shell执行test时具有属主的权限。
例2 同时设置suid和guid
下面方法给文件test设置了suid和guid位,711表示文件属主具有读、写和执行的权限,同组用户和其他用户具有执行的权限。
chmod6711test
设置结果为:
rws--s--s。
第1个s表示设置了suid,第2个和第3个s表示设置一guid位。
1.4umask
umask命令用于设置umask值,通过设置umask值,可以为新创建的文件和目录设置缺省权限。
umask命令的形式如下:
umasknnn
其中nnn为umask的值,范围为000-777。
umask值与创建时的权限位进行"与非"逻辑运算,相当于从权限位中去掉相应的位,得到缺省的权限位。
例如,umask值为002时,创建文件和目录的缺省权限分别为664和775。
因为文件创建是不能有执行权限,为666,666与002进行"与非"逻辑运算后得到664。
目录创建时权限为777,777与002进行"与非"逻辑运算后得到775。
例1 设置umask值
命令umask设置umask值的方法如下:
$umask002
2Linux能力机制
早期linux上信任状模型非常简单,就是"超级用户对普通用户"模型。
普通用户的很多操作需要root权限,这通过setuid实现。
如果程序编写不好,就可能被攻击者利用,获得系统的控制权。
使用能力机制(capability)减小这种风险。
系统管理员为了系统的安全可以剥夺root用户的能力,这样即使root用户也将无法进行某些操作。
而这个过程又是不可逆的,也就是说如果一种能力被删除,除非重新启动系统,否则即使root用户也无法重新添加被删除的能力。
2.1能力的定义
能力机制(capability)相关结构列出如下(在include/linux/capability.h中):
typedefstructkernel_cap_struct{
__u32cap;
}kernel_cap_t;
typedefstruct__user_cap_data_struct{
__u32effective; //进程中有效的能力,是permitted的子集,允许的能力不一定有效
__u32permitted; //进程允许使用的能力
__u32inheritable;//能够被当前进程执行的程序继承的能力
}__user*cap_user_data_t;
每个进程的任务结构中有三个和能力有关的位图变量,列出如下(在include/linux/sched.h中):
structtask_struct{
……
/*进程信任值*/
uid_tuid,euid,suid,fsuid;
gid_tgid,egid,sgid,fsgid;
structgroup_info*group_info;
kernel_cap_tcap_effective,cap_inheritable,cap_permitted; //能力机制
unsignedkeep_capabilities:
1; //表示是否保持能力值
structuser_struct*user;
……
}
每种能力由一位表示,1表示具有某种能力,0表示没有。
因而这三个能力变量最大只能表示32个能力的有否。
当进程进行操作时,检查任务结构中的cap_effective的对应位是否有效,例如,如果一个进程要设置系统的时钟,Linux的内核就会检查cap_effective的CAP_SYS_TIME位(第25位)是否有效。
能力定义的宏定义列出如下(在include/linux/capability.h中):
CAP_CHOWN 0 //允许改变文件的所有权
CAP_DAC_OVERRIDE 1 //忽略对文件的所有DAC访问限制
CAP_DAC_READ_SEARCH2//忽略所有对读、搜索操作的限制
CAP_FOWNER3//如果文件属于进程的UID,就取消对文件的限制
CAP_FSETID4//允许设置setuid位
CAP_KILL5//允许对不属于自己的进程发送信号
CAP_SETGID6//允许改变组ID
CAP_SETUID7//允许改变用户ID
CAP_SETPCAP8//允许向其它进程转移能力以及删除其它进程的任意能力
CAP_LINUX_IMMUTABLE9//允许修改文件的不可修改(IMMUTABLE)和只添加(APPEND-ONLY)属性
CAP_NET_BIND_SERVICE10//允许绑定到小于1024的端口
CAP_NET_BROADCAST11//允许网络广播和多播访问
CAP_NET_ADMIN12//允许执行网络管理任务:
接口、防火墙和路由等
CAP_NET_RAW13//允许使用原始(raw)套接字
CAP_IPC_LOCK14//允许锁定共享内存片段
CAP_IPC_OWNER15//忽略IPC所有权检查
CAP_SYS_MODULE16//插入和删除内核模块
CAP_SYS_RAWIO17//允许对ioperm/iopl的访问
CAP_SYS_CHROOT18//允许使用chroot()系统调用
CAP_SYS_PTRACE19//允许跟踪任何进程
CAP_SYS_PACCT20//允许配置进程记帐(processaccounting)
CAP_SYS_ADMIN21//允许执行系统管理任务:
加载/卸载文件系统、设置磁盘配额、开/关交换设备和文件等
CAP_SYS_BOOT22//允许重新启动系统
CAP_SYS_NICE23//允许提升优先级,设置其它进程的优先级
CAP_SYS_RESOURCE24//忽略资源限制
CAP_SYS_TIME25//允许改变系统时钟
CAP_SYS_TTY_CONFIG26//允许配置TTY设备
CAP_MKNOD27//允许使用mknod()系统调用
CAP_LEASE28//允许取消文件上的租借期
内核提供了两个系统调用sys_capget和sys_capset来得到或设置指定PID或所有进程的能力,这两个函数都是通过对进程任务结构task_struct中的能力变量进行操作来实现的。
在kernel/capability.c中有全局变量cap_bset设置进程初始的能力,这个变量列出如下:
kernel_cap_tcap_bset=CAP_INIT_EFF_SET;
用户可以在/proc/sys/kernel/cap-bound文件中可看到系统保留的能力。
在默认情况下,所有的位都是打开的。
在内核内存区中,/proc/sys/kernel/cap-bound直接映射到cap_bset变量中。
root用户可以删除系统保留的能力。
却不能再恢复被删除的能力,只有init进程能够添加能力。
通常,一个能力如果从能力边界集中被删除,只有系统重新启动才能恢复。
用户可通过shell命令行设置能力。
例如:
禁止加载/卸载任何内核模块,CAP_SYS_MODULE能力的值是16,可用下列命令完成:
[root@]#echo0xFFFEFFFF>/proc/sys/kernel/cap-bound
2.2能力机制操作函数集
Linux对能力的操作函数定义在操作函数集capability_ops,其列出如下(在linux26/security/capability.c中):
staticstructsecurity_operationscapability_ops={
.ptrace=cap_ptrace,//检查是否有执行ptrace的能力
.capget=cap_capget, //返回有效能力、允许能力和可继承能力的能力值
//能力集检查,有效能力应是允许能力的子集,可继承能力应是当前进程与目标进程能力集的子集
.capset_check=cap_capset_check,
.capset_set=cap_capset_set, //给目标进程设置有效能力、允许能力和可继承能力
.capable=cap_capable, //检查进程是否具有函数参数指定的能力
.settime=cap_settime, //检查是否有设置时间的能力
//设置结构netlink_skb_parms的成员eff_cap为当前进程的有效能力
.netlink_send=cap_netlink_send,
.netlink_recv=cap_netlink_recv, //检查成员eff_cap是否具有函数参数指定的能力
.bprm_apply_creds=cap_bprm_apply_creds, //设置二进制应用程序运行时的能力集
.bprm_set_security=cap_bprm_set_security, //给进程设置能力集
.bprm_secureexec=cap_bprm_secureexec,//检查当前进程uid与euid、gid与egid是否相等
.inode_setxattr=cap_inode_setxattr, //检查是否有系统管理员的能力
.inode_removexattr=cap_inode_removexattr,//检查是否有系统管理员的能力
//以前是root,当前进程是非root用户,清除有效能力
.task_post_setuid=cap_task_post_setuid,
.task_reparent_to_init=cap_task_reparent_to_init,
.syslog=cap_syslog, //检查是否有系统管理员的能力
//检查是否有系统管理员的能力及足够的页
.vm_enough_memory=cap_vm_enough_memory,
};
进程运行时,通过检查进程的有效能力集tsk->cap_effective的能力位,判断进程是否具有相应的能力。
检查能力的通用函数cap_capable列出如下:
intcap_capable(structtask_struct*tsk,intcap)
{
if(cap_raised(tsk->cap_effective,cap)) //比较能力对应的位
return0;
return-EPERM;
}
#defineCAP_TO_MASK(x)(1<<(x�
#definecap_raised(c,flag)(cap_t(c)&CAP_TO_MASK(flag�
2.3应用程序运行设置信任值
二进制应用程序运行时,Linux内核会调用函数load_elf_binary装载执行二进制elf格式文件。
函数load_elf_binary执行时,会调用函数compute_creds设置新运行进程的信任值,包括uid、gid、能力集、安全ID、密钥环等。
函数compute_creds的调用层次图如图5。
图5 函数compute_creds的调用层次图
函数compute_creds计算并设置当前进程的信任值,然后设置信号、资源限制,唤醒等待的父进程。
其列出如下(在linux26/fs/exec.c中):
voidcompute_creds(structlinux_binprm*bprm)
{
intunsafe;
if(bprm->e_uid!
=current->uid)
suid_keys(current); //目前函数未实现,仅返回0
exec_keys(current);
task_lock(current);
//如果当前进程的文件或信号处理等的引用计数超过1,将unsafe设置为LSM_UNSAFE_SHARE,表示非安全共享
unsafe=unsafe_exec(current);
security_bprm_apply_creds(bprm,unsafe); //设置当前进程的能力集、uid、gid和sid
task_unlock(current);
//如果有不安全因素,杀死当前进程,否则,设置信号、资源限制、唤醒等待的父进程
security_bprm_post_apply_creds(bprm);
}
新运行的进程应清空线程密钥环和进程密钥环。
清除函数exec_keys列出如下(在linux26/security/keys/process_keys.c中):
intexec_keys(structtask_struct*tsk)
{
structkey*old;
/*新运行的任务没有线程密钥环*/
task_lock(tsk);
old=tsk->thread_keyring;
tsk->thread_keyring=NULL;//进程的线程密钥环设置为空
task_unlock(tsk);
key_put(old); //清除进程旧的线程密钥环
/*新运行的进程删除进程密钥环*/
spin_lock_irq(&tsk->sighand->siglock);
old=tsk->signal->process_keyring;
tsk->signal->process_keyring=NULL; //进程密钥环设置为空
spin_unlock_irq(&tsk->sighand->siglock);
key_put(old);//清除旧的进程密钥环
return0;
}
函数selinux_bprm_apply_creds给当前进程设置uid、gid、能力集和sid。
其列出如下(在linux26/security/capability.c中):
staticvoidselinux_bprm_apply_creds(structlinux_binprm*bprm,intunsafe)
{
structtask_security_struct*tsec;
structbprm_security_struct*bsec;
u32sid;
intrc;
secondary_ops->bprm_apply_creds(bprm,unsafe); //设置uid、gid和能力集
tsec=current->security;
bsec=bprm->security;
sid=bsec->sid;
tsec->osid=tsec->sid;
bsec->unsafe=0;
if(tsec->sid!
=sid){
/*检查共享状态,如果检查进程有共享权限,不改变sid*/
if(unsafe&LSM_UNSAFE_SHARE){
rc=avc_has_perm(tsec->sid,sid
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Linux 安全 体系 文件 权限 管理