Linux權(quán)限控制的基本原理

?

在 Linux 系統(tǒng)中，我們所有的操作實質(zhì)都是在進行進程訪問文件的操作。我們訪問文件需要先取得相應(yīng)的訪問權(quán)限，而訪問權(quán)限是通過 Linux 系統(tǒng)中的安全模型獲得的。

對于 Linux 系統(tǒng)中的安全模型，我們需要知道下面兩點：

注意, MAC 和 DAC 不是互斥的， DAC 是最基本的安全模型，也是通常我們最常用到的訪問控制機制是 Linux 必須具有的功能， 而 MAC 是構(gòu)建在 DAC 之上的加強安全機制，屬于可選模塊。訪問前， Linux 系統(tǒng)通常都是先做 DAC 檢查， 如果沒有通過則操作直接失敗 ; 如果通過 DAC 檢查并且系統(tǒng)支持 MAC 模塊，再做 MAC 權(quán)限檢查。

為區(qū)分兩者，我們將支持 MAC 的 Linux 系統(tǒng)稱作 SELinux, 表示它是針對 Linux 的安全加強系統(tǒng)。

這里，我們將講述 Linux 系統(tǒng)中的 DAC 安全模型。

DAC 的核心內(nèi)容是：在 Linux 中，進程理論上所擁有的權(quán)限與執(zhí)行它的用戶的權(quán)限相同。其中涉及的一切內(nèi)容，都是圍繞這個核心進行的。

用戶、組、口令信息

通過 /etc/passwd 和 /etc/group 保存用戶和組信息，通過 /etc/shadow 保存密碼口令及其變動信息， 每行一條記錄。

用戶和組分別用 UID 和 GID 表示，一個用戶可以同時屬于多個組，默認(rèn)每個用戶必屬于一個與之 UID 同值同名的 GID 。

對于 /etc/passwd , 每條記錄字段分別為 用戶名: 口令（在 /etc/shadow 加密保存）：UID:GID（默認(rèn) UID）: 描述注釋: 主目錄: 登錄 shell(第一個運行的程序)

對于 /etc/group ， 每條記錄字段分別為 組名：口令（一般不存在組口令）：GID：組成員用戶列表（逗號分割的用戶 UID 列表）

對于 /etc/shadow ，每條記錄字段分別為： 登錄名: 加密口令: 最后一次修改時間: 最小時間間隔: 最大時間間隔: 警告時間: 不活動時間:

舉例

以下是對用戶和組信息的舉例。 /etc/shadow 中的口令信息為加密存儲，不舉例。

文件類型

Linux 中的文件有如下類型：

• 普通文件， 又包括文本文件和二進制文件， 可用 touch 創(chuàng)建；
• 套接字文件， 用于網(wǎng)絡(luò)通訊，一般由應(yīng)用程序在執(zhí)行中間接創(chuàng)建；
• 管道文件是有名管道，而非無名管道， 可用 mkfifo 創(chuàng)建；
• 字符文件和塊文件均為設(shè)備文件， 可用 mknod 創(chuàng)建；
• 鏈接文件是軟鏈接文件，而非硬鏈接文件, 可用 ln 創(chuàng)建。

訪問權(quán)限控制組

分為三組進行控制：

• user 包含對文件屬主設(shè)定的權(quán)限
• group 包含對文件屬組設(shè)定的權(quán)限
• others 包含對其他者設(shè)定的權(quán)限

可設(shè)定的權(quán)限

下面給出常見（但非全部）的權(quán)限值， 包括：

• r 表示具有讀權(quán)限。
• w 表示具有寫權(quán)限。
• x 一般針對可執(zhí)行文件 / 目錄，表示具有執(zhí)行 / 搜索權(quán)限。
• s 一般針對可執(zhí)行文件 / 目錄，表示具有賦予文件屬主權(quán)限的權(quán)限，只有 user 和 group 組可以設(shè)置該權(quán)限。
• t 一般針對目錄，設(shè)置粘滯位后，有權(quán)限的用戶只能寫、刪除自己的文件, 否則可寫、刪除目錄所有文件。舊系統(tǒng)還表示可執(zhí)行文件運行后將 text 拷貝到交換區(qū)提升速度。

舉例

通過 ls -l 可以查看到其文件類型及權(quán)限，通過 chmod 修改權(quán)限。

舉例來說，

輸出中， 第 1 個字符表示文件類型，其中，普通文件 (-)、目錄文件 (d)、套接字文件 (s)，管道文件 (p)，字符文件 (c)，塊文件 (b)，鏈接文件 (l)； 第 2 個字符開始的 -rwxr-xr-x 部分表示文件的權(quán)限位，共有 9 位。

對于文件 /usr/bin/qemu-i386 , 這個權(quán)限控制的含義是：

對于 test/, test2/, test3/ 設(shè)定的權(quán)限：

進程權(quán)限

對于進程，有如下屬性與文件訪問權(quán)限相關(guān)：

• effective user id : 進程訪問文件權(quán)限相關(guān)的 UID （簡寫為 euid ）。
• effective group id : 進程訪問文件權(quán)限相關(guān)的 GID （簡寫為 egid ）。
• real user id : 創(chuàng)建該進程的用戶登錄系統(tǒng)時的 UID （簡寫為 ruid ）。
• real group id : 創(chuàng)建該進程的用戶登錄系統(tǒng)時的 GID （簡寫為 rgid ）。
• saved set user id : 拷貝自 euid 。
• saved set group id : 拷貝自 egid 。

舉例

我們可以使用 ps 和 top 選擇查看具有 euid 和 ruid 的進程?；蛘咄ㄟ^ top 來查看進程的 euid 和 ruid

通過 top 來查看的例子：

首先輸入 top 得到類似如下

這里通過 -d 選項延長 top 的刷新頻率便于操作。此處可見，只有 USER 字段，表示相應(yīng)進程的 effective user id.

打開 read user id 的顯示選項：

a. 在 top 命令運行期間，輸入 f, 可以看見類似如下行：

b. 輸入 c 即可打開 Real user name 的顯示開關(guān)。

c. 最后 Return 回車回到 top 中，即可看到 real user id 的選項。此時輸入`o`，可調(diào)整列次序。最終我們可看到包含`effective user id`和`real user id`的輸出如下：

規(guī)則

進程訪問文件大致權(quán)限控制策略

對于進程訪問文件而言，最重要的是 euid, 所以其權(quán)限屬性均以 euid 為 “中心”。

• 進程的 euid 一般默認(rèn)即為 其 ruid 值
• 若可執(zhí)行文件的可執(zhí)行權(quán)限位為 s ，進程對其調(diào)用 exec 后，其 euid 被設(shè)置為該可執(zhí)行文件的 user id
• 進程的 saved set user id 拷貝自 euid.
• 當(dāng)進程的 euid 與文件的 user id 匹配時，進程才具有文件 user 權(quán)限位所設(shè)定的權(quán)限
• 組權(quán)限 egid 的控制規(guī)則類似。

通過 exec 執(zhí)行文件修改權(quán)限屬性

通過 exec 調(diào)用可執(zhí)行文件之時：

• 進程 ruid 值始終不變；
• saved set-user ID 始終來自 euid ；
• euid 值取決于文件的 set-user-ID 位是否被設(shè)置。

如下：

通過 setuid(uid) 系統(tǒng)調(diào)用修改權(quán)限屬性

通過 setuid(uid) 修改權(quán)限屬性之時：

• superuser 可順利修改 ruid, euid, saved set-user ID ；
• unprivileged user 只能在 uid 與 ruid 相等時修改 euid, 其它無法修改。

舉例

再舉幾個比較特別的例子：

設(shè)置了 set-user-id

如前所述，這個輸出的含義是，對于 /usr/bin/sudo 文件，

• 第 1~3 位的 rws 表示該文件可被它的 owner（屬主）以 r 或 w 或 s 的權(quán)限訪問
• 第 4~6 位的 r-x 表示該文件可被與該文件同一屬組的用戶以 r 或 x 的權(quán)限訪問。
• 第 7~9 位的 r-x 表示該文件可被其它未知用戶以 r 或 x 的權(quán)限訪問。

這樣設(shè)置之后，對于 owner，具有讀、寫、執(zhí)行權(quán)限，這一點沒有什么不同。但是對于不屬于 root 組的普通用戶進程來說，卻大不相同。

普通用戶進程執(zhí)行 sudo 命令時通過其 others 中的 x 獲得執(zhí)行權(quán)限，再通過 user 中的 s 使得普通用戶進程臨時具有了 sudo 可執(zhí)行文件屬主 ( root ) 的權(quán)限，即超級權(quán)限。

這也是為什么通過 sudo 命令就可以讓普通用戶執(zhí)行許多管理員權(quán)限的命令的原因。

設(shè)置了 stick-bit

這樣設(shè)置之后，對于 /tmp 目錄，任何人都具有讀、寫、執(zhí)行權(quán)限，這一點沒有什么不同。但是對于 others 部分設(shè)置了粘滯位 t, 其功能卻大不相同。

若目錄沒設(shè)置粘滯位，任何對目錄有寫權(quán)限者都則可刪除其中任何文件和子目錄，即使他不是相應(yīng)文件的所有者，也沒有讀或?qū)懺S可 ; 設(shè)置粘滯位后，用戶就只能寫或刪除屬于他的文件和子目錄。

這也是為什么任何人都能向 /tmp 目錄寫文件、目錄，卻只能寫和刪除自己擁有的文件或目錄的原因。

舉一個 man 程序的應(yīng)用片斷，描述 set-user-id 和 saved set-user-id 的使用

man 程序可以用來顯示在線幫助手冊， man 程序可以被安裝指定 set-user-ID 或者 set-group-ID 為一個指定的用戶或者組。

man 程序可以讀取或者覆蓋某些位置的文件，這一般由一個配置文件 (通常是 /etc/man.config 或者 /etc/manpath.config ) 或者命令行選項來進行配置。

man 程序可能會執(zhí)行一些其它的命令來處理包含顯示的 man 手冊頁的文件。

為防止處理出錯， man 會從兩個特權(quán)之間進行切換：運行 man 命令的用戶特權(quán)，以及 man 程序的擁有者的特權(quán)。

需要抓住的主線：當(dāng)只執(zhí)行 man 之時，進程特權(quán)就是 man 用戶的特權(quán)， 當(dāng)通過 man 執(zhí)行子進程（如通過 !bash 引出 shell 命令）時，用戶切換為當(dāng)前用戶，執(zhí)行完又切換回去。

過程如下：

下面我們來看看如果 man 啟動一個 shell 的時候會發(fā)生什么：

• 這里的 shell 是 man 使用 fork 和 exec 來啟動的。
• 因為這時 real user ID 和 effective user ID 都是我們的普通用戶 UID(參見 step3)， 所以 shell 沒有其它額外的權(quán)限.
• 啟動的 shell 無法訪問 man 的 saved set-user-ID(man) , 因為 shell 的 saved set-user-ID 是由 exec 從 effective user ID 拷貝過來的。
• 在執(zhí)行 exec 的子進程 ( shell ) 中，所有的 user ID 都是我們的普通用戶 ID.

實際上，我們描述 man 使用 setuid 函數(shù)的方法不是特別正確，因為程序可能會 set-user-ID 為 root . 這時候， setuid 會把所有三種 uid 都變成你設(shè)置的 id，但是我們只需要設(shè)置 effective user ID。