linux系统文件的安全与特殊权限
一、 文件与目录的原始属性
由于不希望文件具有可执行的原始权限,默认情况下,文件是没有可执行(x)权限的,因此文件的原始属性是:-rw-rw-rw(0666)
目录的原始属性全部开放,为:-rwxrwxrwx(0777)
二、 umask
1. 文件的默认属性
在每个用户创建文件时,都有一个默认属性,这个属性是由文件的原始属性减去一个掩码而生成的,通过umask可以查看该用户的掩码,如:
[root@yxyz_test sdz]# umask
0022
或者
[root@yxyz_test test]# umask -S
u=rwx,g=rx,o=rx
这种是符号的方式直接显示用户最多拥有的权限,至于实际拥有的还与上面说的原始权限有关,譬如文件的原始属性中是没有x权限的,因此创建文件时自然也没有该权限。
root的掩码一般是0022(为什么是四位?第一位代表特殊权限,一般都为0),则root创建的文件默认权限是从原来的0666中减去相应的权限,为0644(-rw- r-- r--):
-rw-r--r-- 1 root root 0 Nov 25 09:57 test_file
目录的默认权限是0755(drwx r-x r-x):
drwxr-xr-x 2 root root 4096 Nov 25 09:54 test_dir
2. 修改掩码
(1) 直接在umask后面加上数字,如:
[root@yxyz_test test]# umask 0002
[root@yxyz_test test]# touch test_umask_file
[root@yxyz_test test]# mkdir test_umask_dir
[root@yxyz_test test]# ls -l
drwxrwxr-x 2 root root 4096 Nov 25 10:23 test_umask_dir
-rw-rw-r-- 1 root root 0 Nov 25 10:22 test_umask_file
(2) 如果在 shell 提示符下设置 umask,它将只适用于当前登录会话中的 shell 和 subshell。
但不适用于以后登录的会话。要在登录时自动应用 umask 设置,就需要修改/ets/bashrc 中的内容,但一般不建议修改该文件。
三、 文件特殊权限:SUID/SGID/Sbit
1. Set User ID
使用 ls -l 命令查看文件的访问权限,通常都是rwx ,但有时会发现有些文件的执行权限位不是 "x" 而是 "s". 如:
-rwsr-xr-x 1 root root 22984 Jan 7 2007 /usr/bin/passwd
这说明 /usr/bin/passwd 文件被设置了SUID。SUID 表示"设置用户ID",SGID表示"设置组ID"。当用户执行一个设置了SUID文件时,用户的有效ID在程序运行过程中被置为文件拥有者的用户ID。如果文件属主是 root,当用户在程序的执行过程中就成为 root 用户,有着与 root 同样的权限。同样,当一个用户执行设置了SGID文件时,用户的属组在程序执行过程中被置为文件的属组。
根据现在的Unix机里,脚本是无法设置SUID/SGID的,因为真正运行的进程是脚本的解释程序而不是脚本本身;而bash shell script 在先天上不支持SUID/SGID,但/bin/zsh是支持SUID/SGID的。perl亦如此。
2. Set Group ID
s的权限如果是在用户组,那么就是SGUID,可以用在两个方面:
(1) 文件:如果SGUID设置在二进制文件上,则不论用户是谁,在执行该程序的时候,它的有效用户组id(effective group id)将会变成该程序的用户组所有者(group id);
(2) 目录:如果是设置在目录上,则这个目录内所建立的文件或目录的用户组,将是此目录的用户组。
一般来说SGUID多用在特定的多人团队的项目开发上,在系统中用得较少。
3. Sticky Bit
SBit当前只对目录有效,对文件没有效果。对目录的作用是:“在具有SBit的目录下,用户若在该目录下具有w和x权限,则当用户在该目录下建立文件或目录时,只有文件拥有者与root才有权利删除”。
例如,/tmp 本身的属性是drwxrwxrwt 4 root root 724992 Nov 25 15:10 /tmp,在tmp里谁都可以新增或者修改文件,但仅有该文件/目录的创建者或者root能删除。
4. SUID/SGID/Sbit 权限设置
在文章开始说到umask的时候,提到掩码的第一位是特殊权限位,因为创建任何文件时,原始属性中是没有设置特殊权限的,因此在umask中,第一位始终是0。而在特殊权限中,不同的权限也是用数字来表示的,SUID为4,SGUID为2,SBit为1。(注意,在设置特殊权限位之前,相应的执行权限位(x)必须要被设置,不然设置的特殊权限位也会无效,试想一下,拥有者都无法执行了,哪里给别人执行的权限?)
例如,如果有文件test_uid,
-rwxr-xr-x 1 root root 0 Nov 25 15:23 test_uid
要增加s权限,则要在原来的权限755之前加多一个4,即4775,则
chmod 4755 test_uid 或者用符号的形式:
chmod u+s test_uid
得到的最终属性是:
-rwsr-xr-x 1 root root 0 Nov 25 15:23 test_uid
如果想为目录设置Sbit为,如
drwxr-xr-x 2 root root 4096 Nov 25 16:11 test_sbit
则可以用chmod 1755 test_sbit或者chmod o+t test_sbit,得到:
drwxr-xr-t 2 root root 4096 Nov 25 16:11 test_sbit
5. 改变所有权对特殊权限位的影响
在改变一个文件的所有权时,相应的SUID/SGID也将被清除,这是出于安全性的考虑。
四、 关于进程运行时的有效用户id和有效组id
如果普通文件myfile是属于foo用户的,是可执行的,现在没设SUID位,ls -l命令显示如下:
-rwxr-xr-x 1 foo staff 7734 Apr 05 17:07 myfile
任何用户都可以执行这个程序。UNIX的内核是根据什么来确定一个进程对资源的访问权限的呢?是这个进程的运行用户的(有效)ID,包括user id和group id。用户可以用id命令来查到自己的或其他用户的user id和group id。
除了一般的user id和group id外,还有两个称之为effective 的id,就是有效id,上面的四个id表示为:uid,gid,euid,egid。内核主要是根据euid和egid来确定进程对资源的访问权限。
一个进程如果没有SUID或SGID位,则euid=uid egid=gid,分别是运行这个程序的用户的uid和gid。例如kevin用户的uid和gid分别为204和202,foo用户的uid和gid为200,201,kevin运行myfile程序形成的进程的euid=uid=204,egid=gid=202,内核根据这些值来判断进程对资源访问的限制,其实就是kevin用户对资源访问的权限,和foo没关系。
如果一个程序设置了SUID,则euid和egid变成被运行的程序的所有者的uid和gid,例如kevin用户运行myfile,euid=200,egid=201,uid=204,gid=202,则这个进程具有它的属主foo的资源访问权限。
SUID的作用就是这样:让本来没有相应权限的用户运行这个程序时,可以访问他没有权限访问的资源。passwd就是一个很鲜明的例子。
SUID的优先级比SGID高,当一个可执行程序设置了SUID,则SGID会自动变成相应的egid。
下面讨论一个例子:
UNIX系统有一个/dev/kmem的设备文件,是一个字符设备文件,里面存储了核心程序要访问的数据,包括用户的口令。所以这个文件不能给一般的用户读写,权限设为:cr--r----- 1 root system 2, 1 May 25 1998 kmem
但ps等程序要读这个文件,而ps的权限设置如下:
-r-xr-sr-x 1 bin system 59346 Apr 05 1998 ps
这是一个设置了SGID的程序,而ps的用户是bin,不是root,所以不能设置SUID来访问kmem,但大家注意了,bin和root都属于system组,而且ps设置了SGID,一般用户执行ps,就会获得system组用户的权限,而文件kmem的同组用户的权限是可读,所以一般用户执行ps就没问题了。但有些人说,为什么不把ps程序设置为root用户的程序,然后设置SUID位,不也行吗?这的确可以解决问题,但实际中为什么不这样做呢?因为SGID的风险比SUID小得多,所以出于系统安全的考虑,应该尽量用SGID代替SUID的程序,如果可能的话。
五、 安全性
SUID虽然很好了解决了一些问题,但是同时也会带来一些安全隐患。因为设置了 SUID 位的程序如果被攻击(通过缓冲区溢出等方面),那么hacker就可以拿到root权限。因此在安全方面特别要注意那些设置了SUID的程序。
六、参考
1. 《shell十三问》
(完)