使用 UNIX 权限保护文件

通过 UNIX 文件权限和 ACL 可保证文件安全。带 sticky 位的文件和可执行文件要求特殊的安全措施。

用于查看和保证文件安全的命令

下表介绍了用于监视以及保证文件和目录安全的命令。

表 7-1 保证文件和目录安全的命令

文件和目录的所有权

传统的 UNIX 文件权限可以为三类用户指定所有权：

• 用户－文件或目录的所有者，通常为创建该文件的用户。文件的所有者可以决定谁拥有读取文件、写入文件（对文件进行更改）或执行文件（如果该文件为命令）的权限。

• 组－一组用户的成员。

• 其他用户－所有其他不是文件所有者和组成员的用户。

文件所有者通常可以指定或修改文件权限。此外，root 帐户可以更改文件的所有权。要覆盖系统策略，请参见示例 7-2。

文件可以是七种类型之一。每种类型由一个符号显示：

-（减号）

文本或程序

b

块特殊文件

c

字符特殊文件

d

目录

l

符号链接

s

套接字

D

门

P

命名管道 (FIFO)

UNIX 文件权限

下表列出并说明了可以为文件或目录的每类用户授予的权限。

表 7-2 文件和目录权限

这些文件权限可应用于常规文件，也可应用于特殊文件（如设备、套接字和命名管道 (FIFO)）。

对于符号链接，所应用的权限为链接指向的文件权限。

通过对目录设置受限文件权限，可以保护该目录及其子目录中的文件。但是请注意，超级用户有权访问系统中的所有文件和目录。

特殊文件权限（setuid、setgid 和 Sticky 位）

可执行文件和公共目录可以使用三种特殊类型的权限：setuid、setgid 和 sticky 位。设置这些权限之后，运行可执行文件的任何用户都应采用该可执行文件所有者（或组）的 ID。

设置特殊权限时必须非常小心，因为特殊权限会带来安全风险。例如，通过执行将用户 ID (user ID, UID) 设置为 0（root 的 UID）的程序，用户可以获取超级用户功能。此外，所有用户可以为其拥有的文件设置特殊权限，这会带来其他安全问题。

应对系统中未经授权使用 setuid 权限和 setgid 权限获取超级用户功能的情况进行监视。可疑权限为用户而不是 root 或 bin 授予管理程序的所有权。要搜索并列出所有使用此特殊权限的文件，请参见如何查找具有特殊文件权限的文件。

setuid 权限

对可执行文件设置 setuid 权限时，将对运行该文件的进程授予基于文件所有者的访问权限。该访问权限不是基于正在运行可执行文件的用户。使用此特殊权限，用户可以访问通常只有属主才可访问的文件和目录。

例如，passwd 命令的 setuid 权限使用户可以更改口令。具有 setuid 权限的 passwd 命令类似如下：

-r-sr-sr-x   3 root     sys       28144 Jun 17 12:02 /usr/bin/passwd

此特殊权限会带来安全风险。一些确定的用户甚至可以在 setuid 进程执行完毕后，找到保持由该进程授予他们的权限的方法。

setgid 权限

setgid 权限与 setuid 权限类似。可将进程的有效组 ID (group ID, GID) 更改为拥有该文件的组，并基于授予该组的权限对用户授予访问权限。/usr/bin/mail 命令具有 setgid 权限：

-r-x--s--x   1 root   mail     67504 Jun 17 12:01 /usr/bin/mail

将 setgid 权限应用于目录时，该目录中已创建的文件将属于该目录所属于的组。这些文件不属于创建进程所属于的组。在目录中拥有写和执行权限的任何用户都可以在其中创建文件。但是，文件将属于拥有该目录的组，而不是用户所属于的组。

应对系统中未经授权使用 setgid 权限获取超级用户功能的情况进行监视。可疑权限为非常规组而不是 root 或 bin 授予对此类程序的组访问权限。要搜索并列出所有使用此权限的文件，请参见如何查找具有特殊文件权限的文件。

Sticky 位

sticky 位是保护目录中文件的权限位。如果对目录设置了 sticky 位，则只有文件所有者、目录所有者或特权用户才可以删除文件。root 用户是特权用户的一个示例。sticky 位禁止用户从公共目录（如 /tmp）中删除其他用户的文件：

drwxrwxrwt 7  root  sys   400 Sep  3 13:37 tmp

在 TMPFS 文件系统中设置公共目录时，务必手动设置 sticky 位。有关说明，请参见示例 7-5。

缺省 umask 值

创建文件或目录时，将使用一组缺省权限进行创建。系统缺省值为空。文本文件具有 666 权限，该权限对所有用户授予读写权限。目录和可执行文件具有 777 权限，该权限对所有用户授予读写和执行权限。通常，用户会覆盖其 shell 初始化文件（如 .bashrc 和 .kshrc.user）中的系统缺省值。管理员还可以设置 /etc/profile 文件中的缺省值。

由 umask 命令指定的值将从缺省值中减去。此进程的作用是以 chmod 命令授予权限的相同方式拒绝这些权限。例如，chmod 022 命令对组和其他用户授予写权限。umask 022 命令拒绝组和其他用户的写权限。

下表显示了一些典型 umask 值及其对可执行文件的影响。

表 7-3 不同安全级别的 umask 设置

有关设置 umask 值的更多信息，请参见 umask(1) 手册页。

文件权限模式

使用 chmod 命令，可以更改文件的权限。您必须是超级用户或是文件或目录的所有者，才能更改其权限。

可以使用 chmod 命令按照以下两种模式之一设置权限：

• 绝对模式－使用数字表示文件权限。使用绝对模式更改权限时，由八进制模式数字表示每个三元字节权限。绝对模式是设置权限的最常用方法。

• 符号模式－使用字母和符号的组合来添加或删除权限。

下表列出了在绝对模式下设置文件权限的八进制值。可按顺序以三个一组的形式，使用这些数字来设置所有者、组和其他用户的权限。例如，值 644 为所有者设置读写权限，为组和其他用户设置只读权限。

表 7-4 在绝对模式下设置文件权限

下表列出了用于在符号模式下设置文件权限的符号。符号可以指定要设置或更改其权限的用户、要执行的操作，以及要指定或更改的权限。

表 7-5 在符号模式下设置文件权限

功能列中的名称 who operator permissions 指定用于更改文件或目录的权限的符号。

who

指定要更改其权限的用户。

operator

指定要执行的操作。

permissions

指定要更改的权限。

可以在绝对模式或符号模式下设置文件的特殊权限。但是，必须使用符号模式设置或删除目录的 setuid 权限。在绝对模式下，通过在权限三元字节的左侧添加新的八进制值，可设置特殊权限。下表列出了用于对文件设置特殊权限的八进制值。

表 7-6 在绝对模式下设置特殊文件权限