SECB010011Unix文件權(quán)限管理實(shí)驗(yàn)

1、Unix文件權(quán)限管理實(shí)驗(yàn)2010年4月SEC-B01-001.1Unix文件權(quán)限管理實(shí)驗(yàn)技術(shù)背景FreeBSD 是一個(gè)免費(fèi)使用且?guī)в型暾创a的基于 4.4BSD-Lite 的系統(tǒng)， 它廣泛運(yùn)行于 Intel i386、i486、Pentium、 Pentium Pro、 Celeron、 Pentium II、 Pentium III、 Pentium 4(或者兼容系統(tǒng))、 Xeon、DEC Alpha 和 Sun UltraSPARC 的計(jì)算機(jī)系統(tǒng)上。 它主要以加州大學(xué)伯克利分校 的 CSRG 研究小組的軟件為基礎(chǔ)，并加入了 NetBSD、OpenBSD、386BSD 以及來自 自由軟件基

2、金會(huì) 的一些東西。FreeBSD，是 BSD UNIX 的延續(xù)， 并基于幾個(gè)關(guān)鍵的 UNIX 觀念。 FreeBSD 是一個(gè)多用戶的操作系統(tǒng)， 它能分別處理幾個(gè)同時(shí)工作的用戶所分配的毫無關(guān)聯(lián)任務(wù)。并負(fù)責(zé)為每位用戶的硬件設(shè)備、 外設(shè)、 內(nèi)存和 CPU 處理時(shí)間作出合理安排。實(shí)驗(yàn)?zāi)康耐ㄟ^在FreeBSD操作系統(tǒng)上對(duì)文件的權(quán)限進(jìn)行查看、修改等操作，進(jìn)而了解基本的UNIX文件權(quán)限體系。實(shí)驗(yàn)平臺(tái)客戶機(jī)(客戶端)：Windows XP/2003實(shí)驗(yàn)工具Putty實(shí)驗(yàn)要點(diǎn)熟悉了解文件權(quán)限的字符串表示及數(shù)字表示。實(shí)驗(yàn)拓?fù)鋵?shí)驗(yàn)流程實(shí)驗(yàn)步驟指導(dǎo)實(shí)驗(yàn)準(zhǔn)備實(shí)驗(yàn)概要：文件權(quán)限有兩種屬性：I、文件（目錄）所屬關(guān)系，如下：

3、屬主：即文件（目錄）的所有者，標(biāo)記位記為字母 u，即 user 之意組： 文件（目錄）所屬的組，標(biāo)記位記為字母 g，即 group 之意其他：操作系統(tǒng)上的其他用戶，標(biāo)記位記為字母 o，即 other 之意II、文件（目錄）的訪問控制，如下：讀標(biāo)記位： 即文件（目錄）可以被讀取，記為 r寫標(biāo)記位： 即文件（目錄）可以被寫，記為 w執(zhí)行標(biāo)記位：即文件可以被執(zhí)行或目錄可以被訪問，記為 x因?yàn)橄到y(tǒng)有能力支持多用戶， 在每一方面系統(tǒng)都會(huì)做出誰能讀、 寫和執(zhí)行的資源權(quán)力限制。這些權(quán)限以三個(gè)八位元的方式儲(chǔ)存著， 一個(gè)是表示文件所屬者， 一個(gè)是表示文件所屬群組，一個(gè)是表示其他人。 這些數(shù)字以下列方式表示，文件

4、（目錄）的每種所屬關(guān)系均從下表中取一種以組合表示：數(shù)值權(quán)限標(biāo)記位標(biāo)示0不能讀，不能寫，不能執(zhí)行-1不能讀，不能寫，可執(zhí)行-x2不能讀，可寫，不能執(zhí)行-w-3不能讀，可寫，可執(zhí)行-wx4可讀，不能寫，不能執(zhí)行r-5可讀，不能寫，可執(zhí)行r-x6可讀，可寫，不能執(zhí)行rw-7可讀，可寫，可執(zhí)行rwx以普通帳戶登錄注：傳統(tǒng)UNIX（如BSD Family）考慮到系統(tǒng)安全風(fēng)險(xiǎn)，默認(rèn)禁止root帳戶遠(yuǎn)程登錄。1. 打開Putty，輸入目標(biāo)主機(jī)的IP地址，確定后可以看到登錄界面，如圖 1-1圖 1-12. 點(diǎn)擊上圖中的打開（Open）以連接遠(yuǎn)程主機(jī)，第一次登錄時(shí)會(huì)彈出主機(jī)身份識(shí)別密鑰，點(diǎn)確定（yes）接受之。

5、如圖 1-2圖 1-23. 用帳戶 test 密碼 t3stBSd# 登錄遠(yuǎn)程系統(tǒng)，如圖 1-3圖 1-34. 查看文件權(quán)限，如圖 1-4圖 1-45. 如上圖,查看文件 /etc/passwd 及 /etc/master.passwd 的權(quán)限，命令如下：ls -al /etc/passwdls -al /etc/master.passwd6. 我們可以看到如下的權(quán)限標(biāo)記(各從屬關(guān)系的權(quán)限位之間的空格是為了便于介紹而添加的，實(shí)際樣式見圖 1-4：- rw- r- r- 1 root wheel 1409 Dec 4 15:37 /etc/passwd- rw- - - 1 root wheel

6、 1623 Dec 4 15:37 /etc/master.passwd以 - rw- r- r- 為例，第一部分為 -，第二部分為 rw-，第三部分為 r-，第四部分為 r-第一部分：用于區(qū)分文件、目錄、設(shè)備、鏈接等 若列表后面的是文件，則此處為 符號(hào) - 若列表后面的是目錄，則此處為 字母 d若列表后面的是塊設(shè)備，則此處為 字母 b若列表后面的是字符設(shè)備，則此處為 字母 c若列表后面的是軟鏈接，則此處為 字母 l第二部分：屬主權(quán)限 對(duì)于文件 /etc/passwd，該文件的屬主（root）可讀、可寫，不可執(zhí)行 對(duì)于文件 /etc/master.passwd，該文件的屬主（root）可讀、可

7、寫，不可執(zhí)行第三部分：屬組權(quán)限 對(duì)于文件 /etc/passwd，該文件的屬組（wheel）可讀、不可寫，不可執(zhí)行 對(duì)于文件 /etc/master.passwd，該文件的屬組（wheel）不可讀、不可寫，不可執(zhí)行第四部分：其他人權(quán)限 對(duì)于文件 /etc/passwd，其他人可讀、不可寫，不可執(zhí)行 對(duì)于文件 /etc/master.passwd，其他人不可讀、不可寫，不可執(zhí)行7. 嘗試向沒有寫權(quán)限的文件寫入數(shù)據(jù)，如圖 1-5命令如下：echo test /etc/passwd8. 得到的結(jié)果是：Permission denied，即權(quán)限不足。圖 1-59. 嘗試讀取沒有讀權(quán)限的文件，如圖 1-

8、6命令如下：cat /etc/master.passwd10. 得到的結(jié)果是：Permission denied，即權(quán)限不足。圖 1-611. 創(chuàng)建文件并修改其權(quán)限，如圖 1-7圖 1-7命令如下：創(chuàng)建空文件 touch myfile查看文件權(quán)限 ls -al myfile 我們可以看到文件的權(quán)限為 -rw-r-r-,寫為數(shù)字形式即為 0644，此時(shí)屬主可讀寫， 屬組及其他人只讀為文件屬組增加寫權(quán)限 chmod g+w myfile查看文件權(quán)限 ls -al myfile 我們可以看到文件的權(quán)限為 -rw-rw-r-,寫為數(shù)字形式即為 0664，此時(shí)屬主及屬組可 讀寫，其他人只讀，此種情形下的

9、等價(jià)命令為：chmod 0664 myfile為文件屬主增加可執(zhí)行權(quán)限 chmod u+x myfile查看文件權(quán)限 ls -al myfile我們可以看到文件的權(quán)限為 -rwxrw-r-,寫為數(shù)字形式即為 0764，此時(shí)屬主可讀寫執(zhí)行，屬組可讀寫，其他人只讀，此種情形下的等價(jià)命令為：chmod 0764 myfile刪除文件 rm -f myfile特殊權(quán)限用 su 命令將當(dāng)前用戶切換到root，密碼為 4dmIN.BSD!，如圖 1-8注：FreeBSD 考慮到系統(tǒng)安全風(fēng)險(xiǎn)，禁止非同一組的帳戶互相切換，因此用戶帳戶要想切換 為 root，則該帳戶必須屬于 root 帳戶的主要組，即 whe

10、el 組。命令如下：su -圖 1-8粘滯位 (sticky)1. 我們查看系統(tǒng) /tmp 目錄的權(quán)限，如圖 1-9命令如下：ls -al / | grep tmp圖 1-92. 我們可以看到，權(quán)限位表示為 drwxrwxrwt，即這是一個(gè)目錄（第一位為字母d），屬主可讀可寫可執(zhí)行，屬組可讀可寫可執(zhí)行，其他人可讀可寫可執(zhí)行，最后那個(gè)小寫字母t，表示這個(gè)目錄具有粘滯位，所謂粘滯位，意思為：普通用戶在此目錄中創(chuàng)建的文件，讀寫受其權(quán)限位的限制，但是刪除卻只能由文件所有者或root刪除，其他用戶即使擁有寫權(quán)限，也不能刪除之。注：若該目錄對(duì)其他用戶是不可訪問的，即目錄原權(quán)限位為 drwxrwxr- (0

11、776)，在添加粘滯位后，最后一位將變?yōu)榇髮懽帜窽，即成為 drwxrwxr-T (1776)。3. 下面我們舉例簡(jiǎn)單說明粘滯位的基本用途。創(chuàng)建普通目錄 sample，并設(shè)置其權(quán)限位為 drwxrwx(0770)，即屬主和屬組可讀可寫可訪問，其他人不可讀不可寫不可訪問，如圖 1-10圖 1-10命令如下：創(chuàng)建目錄mkdir /sample更改權(quán)限chmod 0770 /sample在該例中，上面這條命令的效果相當(dāng)于 chmod g+w /sample 及 chmod o-rx /sample 兩條命令的效果。查看文件權(quán)限ls -al / | grep sample我們可以看到新的權(quán)限位為 dr

12、wxrwx-，即 07704. 切換到普通帳戶 sample， 在 /sample 目錄中創(chuàng)建一個(gè)空文件，設(shè)置其權(quán)限位為 0660，即屬主及屬組可讀可寫不可執(zhí)行，其他人不可讀不可寫不可執(zhí)行，如圖 1-11圖 1-11命令如下：切換帳戶su - sample創(chuàng)建文件touch /sample/abcd更改權(quán)限chmod 0660 /sample/abcd查看權(quán)限ls -al /sample/abcd5. 我們可以看到新的權(quán)限位為 -rw-rw-，即 0660輸入 exit 退出到 root環(huán)境，切換到普通帳戶 test， 嘗試刪除文件 /sample/abcd，發(fā)現(xiàn)文件被成功刪除了，最后輸入ex

13、it退出到root環(huán)境，如圖 1-12圖 1-12命令如下：退出當(dāng)前會(huì)話exit切換帳戶su - test刪除文件rm -f /sample/abcd查看文件ls -al /sample/abcd此時(shí)報(bào)找不到文件錯(cuò)誤。退出當(dāng)前會(huì)話exit6. 為目錄 /sample增加粘滯位，如圖 1-13圖 1-13命令如下：增加粘滯位chmod u+t /sample查看目錄權(quán)限ls -al / | grep sample此時(shí)我們可以看到，/sample 目錄的權(quán)限位為 drwxrwxT (1770)，即屬主及屬組可讀可寫可訪問，其他人不可讀不可寫不可訪問，且目錄具有粘滯位。7. 重復(fù)上面的第4步，以普通

14、帳號(hào) sample 創(chuàng)建文件 abcd；重復(fù)上面的第5步，以普通帳號(hào) test 嘗試刪除 /sample/abcd，發(fā)現(xiàn)這次刪除不了了，如圖 1-14圖 1-14S位 (suid / sgid)S位分為SUID和SGID，分別作用于屬主和屬組的權(quán)限位。uid 和euid真實(shí)用戶 ID (uid) 是擁有或啟動(dòng)進(jìn)程的用戶 UID。 生效 UID (euid) 是進(jìn)程以其身份運(yùn)行的用戶 ID。 舉例來說， passwd 工具通常是以發(fā)起修改密碼的用戶身份啟動(dòng)， 也就是說其進(jìn)程的真實(shí)用戶 ID 是那個(gè)用戶的 ID；但是， 由于需要修改密碼數(shù)據(jù)庫(kù)， 它會(huì)以 root 用戶作為生效用戶 ID 的身份運(yùn)行

15、。 這樣， 普通的非特權(quán)用戶就可以修改口令， 而不是看到 “Permission Denied” 錯(cuò)誤了。SUIDsetuid 權(quán)限可以通過在普通權(quán)限前面加上一個(gè)數(shù)字四 (4) 來設(shè)置，如圖 1-15圖 1-15命令如下:創(chuàng)建新文件 touch /tmp/abcd.sh為屬主增加執(zhí)行權(quán)限 chmod u+x /tmp/abcd.sh查看文件權(quán)限 ls -al /tmp/abcd.sh為文件設(shè)置 setuid 權(quán)限 chmod 4744 /tmp/abcd.sh查看文件權(quán)限 ls -al /tmp/abcd.sh我們可以看到，在原先的屬主執(zhí)行權(quán)限的位置變成了 s。 這樣，需要提升特權(quán)的可執(zhí)行文件

16、， 例如 passwd 就可以正常運(yùn)行了。SGIDsetgid 權(quán)限的作用與setuid 權(quán)限類似，只是當(dāng)應(yīng)用程序配合這一設(shè)定運(yùn)行時(shí)，它會(huì)被授予文件屬組的權(quán)限。setgid 權(quán)限可以通過在普通權(quán)限前面加上一個(gè)數(shù)字二 (2) 來設(shè)置，如圖 1-16圖 1-16命令如下:為屬組增加執(zhí)行權(quán)限 chmod g+x /tmp/abcd.sh查看文件權(quán)限 ls -al /tmp/abcd.sh為文件設(shè)置 setgid 權(quán)限 chmod 2754 /tmp/abcd.sh查看文件權(quán)限 ls -al /tmp/abcd.sh我們可以看到，在原先的屬組執(zhí)行權(quán)限的位置變成了 s。注: 在上面的例子中，盡管 she

17、ll 腳本也屬于可執(zhí)行文件的一種，但它們可能不會(huì)以配置的 euid 或生效用戶 ID 的身份運(yùn)行。 這是因?yàn)?shell 腳本出于安全考慮可能無法直接調(diào)用 setuid 函數(shù)。修改文件標(biāo)志除了上面說到的權(quán)限之外,FreeBSD還有另外一套用于文件及目錄的標(biāo)志,用以進(jìn)一步在多用戶環(huán)境下更好地設(shè)置文件及目錄的訪問控制，這些標(biāo)志的設(shè)置需要用到 chflags 命令，下面簡(jiǎn)單演示幾個(gè)常用的標(biāo)志，如圖 1-17圖 1-17以普通帳戶 test 登錄系統(tǒng)，做以下操作創(chuàng)建新文件touch fileflags為文件添加不可刪除標(biāo)志（uunlink）chflags uunlink fileflags添加了此標(biāo)志后，我們嘗試刪除文件，發(fā)現(xiàn)刪除失敗。為文件添加僅可以追加方式修改標(biāo)志（uappend）chf