管理Linux文件權限和所有權 (2)

passwd 上的 suid 訪問模式
　　[ian@echidna ~]$ ls -l /usr/bin/passwd
　　-rwsr-xr-x. 1 root root 34368 Apr  6  2010 /usr/bin/passwd
　　請注意，在用戶的權限三件套中 x 的位置上有一個 s。這就表示，對這個特定的程序來說，suid 和可執行位已經被設置。所以，當 passwd 運行時，它就會像 root 用戶使用完全的 superuser 訪問一樣加載它運行，而不是作為想運行該程序的用戶。因為 passwd 和 root 訪問一起運行，所以它可以修改 /etc/passwd。
　　suid 和 sgid 位與長目錄清單中用戶和組的 x 占據相同的空間。如果文件是可執行的，suid 或 sgid 位如果已設置，將會顯示為小寫的 s，否則就顯示為大寫的 S。
　　雖然 suid 和 sgid 很便利，甚至在很多環境下是必需的，但是這些訪問模式不適當的使用會造成系統安全上的漏洞。您要盡量少地使用 suid 程序。passwd 命令是少數 必須 為 suid 的命令之一。
　　設置 suid 和 sgid
　　suid 和 sgid 位使用字母 s 在符號上進行設置和重設；例如，u+s 設置 suid 訪問模式，g-s 刪除 sgid 模式。在八進制格式中，suid 在第一位（高階）為值 4，而 sgid 是值 2。
　　目錄和 sgid
　　當一個目錄使用 sgid 模式時，在這個目錄中創建的任何文件和目錄將會繼承目錄的組 id。這個對那些被從事同一項目的一組人使用的目錄樹極為有用。 清單 9 顯示了用戶 greg 任何設置一個 development 組所有用戶都能使用的目錄，以及一個示例，用戶 gretchen 如何在目錄上創建一個文件。正如所創建的，文件 gretchen.txt 允許組成員編輯文件，因此 gretchen 使用 chmod g-w 來取消組的寫功能。
　　清單 9. sgid 訪問模式和目錄
　　[greg@echidna ~]$ mkdir lpi101
　　[greg@echidna ~]$ chmod g+ws lpi101
　　[greg@echidna ~]$ ls -ld lpi101
　　drwxrwsr-x. 2 greg development 4096 Nov 30 13:30 lpi101/
　　[greg@echidna ~]$ su - gretchen
　　Password:
　　[gretchen@echidna ~]$ touch ~greg/lpi101/gretchen.txt
　　[gretchen@echidna ~]$ ls -l ~greg/lpi101/gretchen.txt
　　-rw-rw-r--. 1 gretchen development 0 Nov 30 14:12 /home/greg/lpi101/gretchen.txt
　　[gretchen@echidna ~]$ chmod g-w ~greg/lpi101/gretchen.txt
　　[gretchen@echidna ~]$ ls -l ~greg/lpi101/gretchen.txt
　　-rw-r--r--. 1 gretchen development 0 Nov 30 14:12 /home/greg/lpi101/gretchen.txt
　　development 組的任何成員現在都能夠在用戶 greg 的 lpi101 目錄上創建文件了。正如 清單 10 所示，組的其他用戶不能升級文件 gretchen.txt。但是，他們有對目錄的寫權限，因此可以刪除文件。
　　清單 10. sgid 訪問模式和文件所有權
　　[gretchen@echidna ~]$ su - tom
　　Password:
　　[tom@echidna ~]$ echo "something" >> ~greg/lpi101/gretchen.txt
　　-bash: /home/greg/lpi101/gretchen.txt: Permission denied
　　[tom@echidna ~]$ rm ~greg/lpi101/gretchen.txt
　　rm: remove write-protected regular empty file `/home/greg/lpi101/gretchen.txt'? y
　　[tom@echidna ~]$ ls -l ~greg/lpi101/
　　total 0
　　粘貼位
　　您剛看到了任何有目錄寫權限的人如何刪除目錄中的文件。這對一個工作組項目是可接受的，但是對全球共享的文件空間，例如 /tmp 目錄，是不希望的。幸運的是，有解決方案。
　　剩下的訪問模式為就稱為粘貼 位。用符號表示就是 t，用數字表示就是八進制位的高階為 1。它顯示在其他用戶的可執行標識中（最后的字符）的長目錄清單，而且 suid 和 sgid 的大小寫意義相同。如果設置一個目錄，它只允許有所有權的用戶或者 superuser（root）刪除或者解除文件鏈接。清單 11 顯示了用戶 greg 如何在他的 lpi101 目錄上設置粘貼位，還顯示了這個位設置用于 /tmp。
　　清單 11. 粘貼目錄
　　[greg@echidna ~]$ chmod +t lpi101
　　[greg@echidna ~]$ ls -ld lpi101 /tmp
　　drwxrwsr-t.  2 greg development  4096 Nov 30 14:16 lpi101
　　drwxrwxrwt. 24 root root        12288 Nov 30 14:22 /tmp
　　在以前，UNIX? 系統曾在文件上使用粘貼位在交換空間囤積可執行文件，避免重新加載。現代 Linux 內核忽略了粘貼位，如果它是設置給文件的。
　　訪問模式的總結
　　表 3 總結了這里討論的 3 種訪問模式的符號和八進制表示。
　　表 3. 訪問模式
　　訪問模式 符號 八進制
　　suid s with u 4000
　　sgid s with g 2000
　　sticky t 1000
　　將這些和早先的權限信息結合在一起，您可以看到對應 greg 的 lpi101 權限和 drwxrwsr-t 訪問模式的完整的八進制表示是 3775。雖然 ls 命令不顯示八進制權限，您可以使用 find 命令進行顯示，如清單 12清單 12 所示。
　　清單 12. 可打印的符號和八進制權限
　　[greg@echidna ~]$ find . -name lpi101  -printf "%M %m %f "
　　drwxrwsr-t 3775 lpi101
　　不可變文件
　　訪問模式和權限提供了廣泛的控制，限制了誰可以在文件和目錄上做什么。但是，它們對有些事情也不能避免，如 root 用戶對文件的無心刪除。雖然這不在 LPI Topic 104.5 的范圍內，但是在提供額外功能的文件系統上還是有些可用的附加屬性。其中之一就是不可變 屬性。設置完成后，即使是 root 用戶也不能刪除文件，直到屬性解除。
　　使用 lsattr 命令查看文件或者目錄是否設置了不可變標識（或者任何其他屬性）。要將一個文件設置為不可變，使用 chattr 命令和 -i 標識。
　　清單 13清單 13 顯示了用戶 root 可以創建一個不可變文件，但是不能刪除它，直到不可變標識被刪除。
　　清單 13. 不可變文件
　　[root@echidna ~]# touch keep.me
　　[root@echidna ~]# chattr +i keep.me
　　[root@echidna ~]# lsattr keep.me
　　----i--------e- keep.me
　　[root@echidna ~]# rm -f keep.me
　　rm: cannot remove `keep.me': Operation not permitted
　　[root@echidna ~]# chattr -i keep.me
　　[root@echidna ~]# rm -f keep.me
　　變更不可變標識需要 root 授權，或者最少 CAP_LINUX_IMMUTABLE 功能。使文件不可變通常是安全或者入侵檢測工作的一部分。見功能使用頁面（man capabilities）了解更多信息。
　　文件創建屏蔽
　　創建一個新文件時，創建進程就會指明新文件的權限。通常，所需的模式是 0666，它使文件可由任何人讀和寫。目錄默認為 0777。但是，這個寬松的創建會受到 umask 值的影響，這個值指明了用戶不想自動授予新創建的文件或者目錄什么權限。系統使用 umask 值來減少原始請求的權限。您可以使用 umask 查看 umask 設置，如清單 14清單 14 所示。
　　清單 14. 顯示八進制 umask
　　[ian@echidna ~]$ umask
　　0002
　　請記得，umask 指定了那個權限不被授予。在 Linux 系統上，用戶沒有專用組的的情況下，umask 通常默認為 0022，它可以從新文件中刪除組和其他寫權限。用戶有專用組的情況下（例如這些例子中使用的在 Fedora 系統上），umask 通常默認為 0002，它刪除了其他用戶的寫權限。使用 -S 選項來從符號上顯示 umask，以顯示哪個權限被允許的形式。
　　使用 umask 命令設置一個 unmask 并顯示。所以，如果您想要保持文件更專有，并且不允許所有組或者其他人訪問新創建的文件，就是可以使用 umask 值 0077。或者從符號上，使用 umask u=rwx,g=,o= 進行設置，如清單 15清單 14 所示。
　　清單 15. 設置 umask
　　[ian@echidna ~]$ umask -S
　　u=rwx,g=rwx,o=rx
　　[ian@echidna ~]$ umask u=rwx,g=,o=
　　[ian@echidna ~]$ umask
　　0077
　　[ian@echidna ~]$ touch newfile
　　[ian@echidna ~]$ ls -l newfile
　　-rw-------. 1 ian ian 0 Nov 30 15:40 newfile
　　設置文件所有者和組
　　文件組
　　要變更文件的組，使用 chgrp 命令和組名，以及一個或者多個文件名。如果您喜歡，還可以使用組編號。普通用戶必須擁有文件，同時是文件要變更到的組的組員。root 用戶可以將文件變更到任意組。清單 16清單 16 顯示了一個例子。
　　清單 16. 變更組的所有權
　　[ian@echidna ~]$ touch file{1,2}
　　[ian@echidna ~]$ ls -l file*
　　-rw-rw-r--. 1 ian ian 0 Nov 30 15:54 file1
　　-rw-rw-r--. 1 ian ian 0 Nov 30 15:54 file2
　　[ian@echidna ~]$ chgrp development file1
　　[ian@echidna ~]$ chgrp 505 file2
　　[ian@echidna ~]$ ls -l file*
　　-rw-rw-r--. 1 ian development 0 Nov 30 15:54 file1
　　-rw-rw-r--. 1 ian development 0 Nov 30 15:54 file2
　　正如該教程中的許多其他命令，chgrp 有一個 -R 選項，允許將變更遞歸應用到所有所選的的文件和子目錄中。
　　默認組
　　當您學習之前的 訪問模式 時，您就了解了在目錄上設置 sgid 模式如何導致創建在該目錄下的新文件屬于目錄的組，而不是屬于創建該文件的用戶所在的組。
　　您還可以使用 newgrp 命令來暫時地將您的初級組變更到您所在的其他組。創建一個新的 shell，當您退出 shell 時，之前的組就能恢復，如清單 17清單 17 所示。
　　清單 17. 使用 newgrp 來暫時改變默認組
　　[ian@echidna ~]$ groups
　　ian development editor
　　[ian@echidna ~]$ newgrp development
　　[ian@echidna ~]$ groups
　　development ian editor
　　[ian@echidna ~]$ touch file3
　　[ian@echidna ~]$ ls -l file3
　　-rw-r--r--. 1 ian development 0 Nov 30 16:00 file3
　　[ian@echidna ~]$ exit
　　[ian@echidna ~]$ groups
　　ian development editor
　　文件所有者
　　root 用戶可以使用 chown 命令變更文件的所有權。在它最簡單的形式中，語法和 chgrp 命令類似，除了使用用戶名或者數字 id，而不是組名或者 id。文件的組也可能通過在用戶名或者 id 之后添加一個冒號和組名或者 id 來同時變更。如果只有給出冒號，那么就使用用戶的默認組。一般來說，-R 選項會遞歸地應用變更。清單 18清單 18 給出了一個例子。
　　清單 18. 使用 chown 變更文件所有權
　　[ian@echidna ~]$ touch file4
　　[ian@echidna ~]$ su -
　　Password:
　　[root@echidna ~]# ls -l ~ian/file4
　　-rw-rw-r--. 1 ian ian 0 Nov 30 16:04 /home/ian/file4
　　[root@echidna ~]# chown greg ~ian/file4
　　[root@echidna ~]# ls -l ~ian/file4
　　-rw-rw-r--. 1 greg ian 0 Nov 30 16:04 /home/ian/file4
　　[root@echidna ~]# chown tom:gretchen ~ian/file4
　　[root@echidna ~]# ls -l ~ian/file4
　　-rw-rw-r--. 1 tom gretchen 0 Nov 30 16:04 /home/ian/file4
　　[root@echidna ~]# chown :tom ~ian/file4
　　[root@echidna ~]# ls -l ~ian/file4
　　-rw-rw-r--. 1 tom tom 0 Nov 30 16:04 /home/ian/file4
　　指定用戶和組的較早版本使用點，而不是冒號。因為當名稱中包含點時，這個可能會造成誤解，所以已經不再推薦。
　　Linux 上的文件和目錄權限介紹就到此為止。

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]