四、权限管理

本文涉及的产品
运维安全中心(堡垒机),免费版 6个月
访问控制,不限时长
运维安全中心(堡垒机),企业双擎版 50资产 7天
简介:

4.1、基本权限

  文件的权限是针对文件的属主、属组以及其他用户对该文件的操作限制。通常文件的基本权限有r(可读)、w(可写)、x(可执行),这三个权限对于文件与目录又有着不同的含义。

文件:
  r:可读, 可以使用类似 cat 等命令查看文件内容;
  w:可写, 可以编辑此文件但并不具备删除文件本身的权限
  x: 可执行, eXacutable, 可以命令提示符下当作命令提交给内核运行。
目录: (若对目录有写和执行权限,那么用户可以删除目录中的文件,无论是否有权限)
  r: 可以对此目录执行ls以列出内部的所有文件;
  w: 可以在此目录创建文件;
  x: 可以使用cd切换进此目录,也可以使用ls -l查看内部文件的详细信息
bash-4.1$ whoami 
mylinux
bash-4.1$ id
uid=500(mylinux) gid=500(mylinux) 组=500(mylinux)
bash-4.1$ ls -l                  #当前用户为mylinux即对下列文件属于其他用户,只有可读权限
总用量 16
-rw-r--r-- 1 root root   36 3月   8 17:05 abc2.txt
-rw-r--r-- 1 root root   33 3月   7 08:50 abc.txt
srwxrwxrwx 1 root root    0 11月 15 16:47 agent_cmd.sock
-rw-r--r-- 1 root root  477 3月   7 12:01 fstab
-rw-r--r-- 1 root root 1486 3月   5 00:00 passwd.txt

4.2、创建文件的默认权限 umask
  在创建一个文件或目录是,通常会有一个基本权限,此权限由unmsk(遮罩码)所确定,创建文件
基本权限为:666-umask,文件默认不能用赋予执行权限,若果算的的结果中有执行权限,其权限应该加1;创建目录的默认权限为777-umask。

umask: 查看遮罩码 
umask #: 设定遮罩码
bash-4.1$ umask 
0022
bash-4.1$ touch abc.txt
bash-4.1$ touch 123.txt
bash-4.1$ ls -l          #新建的文件权限666-022=644,新建的目录权限777-022=755
总用量 20
-rw-r--r-- 1 mylinux mylinux    0 3月  17 09:37 123.txt
drwxr-xr-x 2 mylinux mylinux 4096 3月  17 09:36 abc123

4.3、权限管理命令 chown/chgrp/chmod

chown [option]... [OWNER][:[GROUP]] FILE... 改变文件属主或属组
  -R: 递归 --reference=要参照的文件 要修改权限的文件
chgrp [OPTION]... GROUP FILE... 改变文件属组
  -R: 递归 --reference=要参照的文件 要修改权限的文件
chmod [OPTION]... MODE[,MODE]... FILE... 改变文件所属权限
[root@mylinux tmp]# ls -l
总用量 20
-rw-r--r-- 1 mylinux mylinux    0 3月  17 09:37 123.txt
drwxr-xr-x 2 mylinux mylinux 4096 3月  17 09:36 abc123
-rw-r--r-- 1 root    root      36 3月   8 17:05 abc2.txt
-rw-r--r-- 1 root    root      33 3月   7 08:50 abc.txt
srwxrwxrwx 1 root    root       0 11月 15 16:47 agent_cmd.sock
-rw-r--r-- 1 root    root     477 3月   7 12:01 fstab
-rw-r--r-- 1 root    root    1486 3月   5 00:00 passwd.txt
[root@mylinux tmp]# chown root 123.txt   #更改文件属主
[root@mylinux tmp]# chgrp root 123.txt   #更改文件属组
[root@mylinux tmp]# chmod 444 fstab      #更改文件权限为444
[root@mylinux tmp]# ls -l
总用量 20
-rw-r--r-- 1 root    root       0 3月  17 09:37 123.txt
drwxr-xr-x 2 mylinux mylinux 4096 3月  17 09:36 abc123
-rw-r--r-- 1 root    root      36 3月   8 17:05 abc2.txt
-rw-r--r-- 1 root    root      33 3月   7 08:50 abc.txt
srwxrwxrwx 1 root    root       0 11月 15 16:47 agent_cmd.sock
-r--r--r-- 1 root    root     477 3月   7 12:01 fstab
-rw-r--r-- 1 root    root    1486 3月   5 00:00 passwd.txt

4.4、文件访问控制列表 FACL

  ACL(Access Control List)访问控制列表,主要的目的是在提供传统的owner,group,others 的 read,write,execute 权限之外的细部权限配置。ACL 可以针对单一用户,文件或目录来进行r,w,x 的权限规范,对于需要特殊权限的使用状况非常有帮助。

  使用者 (user):可以针对使用者来配置权限;

  群组 (group):针对群组为对象来配置其权限;

  默认属性(mask):还可以针对在该目录下在创建新文件/目录时,规范新数据的默认权限;

setfacl
  -m: 设定额外的访问控制权限 u:用户名:权限 文件 [g:组名:权限 文件]
  -x: 取消额外的访问控制权限 u:用户名 文件 [g:组名 文件]
getfacl: 获取某一文件或目录 ACL 规范
chacl: 改变某一文件或目录 ACL 规范
[root@mylinux tmp]# getfacl 123.txt   #获取123.txt文件的ACL规范
# file: 123.txt
# owner: root
# group: root
user::rw-
group::r--
other::r--
[root@mylinux tmp]# setfacl -m u:mylinux:rw 123.txt   #对用户mylinux赋予该文件rw权限
[root@mylinux tmp]# getfacl 123.txt 
# file: 123.txt
# owner: root
# group: root
user::rw-
user:mylinux:rw-                      #用户mylinux获取文件123.txt的读写权限
group::r--
mask::rw-
other::r--
[root@mylinux tmp]# setfacl -x u:mylinux 123.txt   #取消权限

4.5、文件的隐藏属性 chattr/lsattr

chattr :设置隐藏属性
  + : 增加某一个特殊参数, 其它原本存在参数则不动。
  - : 移除某一个特殊参数, 其它原本存在参数则不动。
  = : 设定一定, 且仅有后面接的参数
  a : 当设定 a 之后,这个文件将只能增加数据,而不能删除,只有root才能设定
  i : 让文件不能被删除、改名、设定连结也无法写入或新增数据
lsattr :查看隐藏属性
  -a : 将隐藏文件的属性也显示出来;
  -R : 连同子目录的数据也一并列出来
[root@mylinux tmp]# chattr +i 123.txt   #为文件增加隐藏权限
[root@mylinux tmp]# lsattr 123.txt      #隐藏权限查看
----i---------- 123.txt
bash-4.1$ lsattr 123.txt 
----i---------- 123.txt
bash-4.1$ echo 'hello' >> 123.txt       #拥有i权限时,无法写入内容
bash: 123.txt: 权限不够
bash-4.1$ lsattr 123.txt         
--------------- 123.txt
bash-4.1$ echo 'hello' >> 123.txt       #撤销i权限后,可以写入内容

4.6、 特殊权限位 SUID/SGID

  进程的安全上下文:

  前提:进程有属主和属组;文件有属主和属组;  

  (1) 任何一个可执行程序文件能不能启动为进程: 取决发起者对程序文件是否拥有执行权限;
  (2) 启动为进程之后, 其进程的属主为发起者; 进程的属组为发起者所属的组;
  (3) 进程访问文件时的权限, 取决于进程的发起者:
    (a) 进程的发起者, 同文件的属主: 则应用文件属主权限;
    (b) 进程的发起者, 属于文件的属组; 则应用文件属组权限;
    (c) 应用文件“ 其它” 权限;

  SUID: SUID 权限仅对二进制程序有效,执行者需要对该程序具有可执行权限,本权限仅有执行该程序的过程中有效,执行者将具有该程序所有者(owner)的权限。
  chmod u+s FILE chmod u-s FILE
[root@mylinux home]# ls -l /usr/bin/passwd 
-rwsr-xr-x 1 root root 30768 11月 24 2015 /usr/bin/passwd
[root@mylinux home]# ls -l /etc/shadow
---------- 1 root root 916 3月  17 09:33 /etc/shadow
#mylinux对于/usr/bin/passwd这个程序来说是具有 x 权限的,表示mylinux能运行passwd;
#passwd 的拥有者是root这个帐号;
#mylinux运行 passwd 的过程中,会『暂时』获得 root 的权限;
#/etc/shadow 就可以被mylinux所运行的 passwd 所修改。

  SGID 设置于文件:执行者对该程序来说,需要有可执行的权限,执行者执行的过程中将获得该程序用户组的支持。

chmod g+s FILE 

chmod g-s FILE

  SGID 设置于目录:用户对此目录有r与x的权限时,该用户能进入此目录,用户在此目录下的有效用户组将变成该目录的用户组;用户创建的新文件的用户组与此目录用户组相同。

chmod g+s dir 

chmod g-s dir

[root@mylinux tmp]# chgrp mylinux abc123     #对abc123目录赋予sgid权限
[root@mylinux tmp]# ls -ld abc123/        
drwxr-sr-x 2 root mylinux 4096 3月  17 09:36 abc123/
[root@mylinux tmp]# cd abc123/
[root@mylinux abc123]# touch 123             #通过root用户在此目录下创建文件
[root@mylinux abc123]# ls -l                 #生成的文件用户组为abc123目录的用户组
总用量 0
-rw-r--r-- 1 root mylinux 0 3月  20 19:11 123
  (Sticky)SBIT 只对目录有效:目录加上此权限时,用户在此目录中创建的文件或目录仅有自己
或 root 能删除。

chmod o+t DIR 

chmod o-t DIR

  s: 属主拥有 x 权限 

  S:属主没有 x 权限

  s: group 拥有 x 权限 

  S:group 没有 x 权限

  t: other 拥有 x 权限 

  T:other 没有 x 权限

[root@mylinux tmp]# chmod o+t abc123/                #对目录赋予SBIT权限
[root@mylinux tmp]# ls -ld abc123    
drwxr-srwt 2 root mylinux 4096 3月  20 19:11 abc123
bash-4.1$ whoami                     
mylinux
bash-4.1$ touch mylinux                    #使用mylinux用户在目录abc123下创建mylinux文件
bash-4.1$ ls
123  mylinux
bash-4.1$ ls -l
总用量 0
-rw-r--r-- 1 root    mylinux 0 3月  20 19:11 123
-rw-r--r-- 1 mylinux mylinux 0 3月  20 19:23 mylinux
bash-4.1$ whoami                          #使用mylinux1用户无法删除mylinux创建的文件
mylinux1
bash-4.1$ rm mylinux 
rm:是否删除有写保护的普通空文件 "mylinux"?y
rm: 无法删除"mylinux": 不允许的操作

4.7、 sudo 命令的使用
作用:
  1、 限制指定用户在指定主机主机上运行指定的管理命令;
  2、 详细记录用户基于 sudo 执行的命令的相关日志信息;
  3、 “ 检票系统” :用户第一次执行 sudo 会要求输入密码,用户会获得一个有固定存活时的“ 入场券”;默认为 5 分钟;
使用 sudo 的过程:
  1、 定义 sudo 授权, /etc/sudoers(配置文件/etc/sudoers)
    配置文件专用编辑命令: visudo
      语法格式: WHO HOST=(WHOM) COMMAND
                 %WHO HOST=(WHOM) COMMAND(组授权)
      别名格式: 别名本身必须使得全大写字母
              User_Alias NAME = User_List
              Runas_Alias NAME = Runas_List
              Host_Alias NAME = Host_List
              Cmnd_Alias NAME = Cmnd_List
      授权示例: gentoo ALL=(ALL) /usr/sbin/useradd, /usr/sbin/userdel
  2、 sudo 命令的使用
    -l: 查看当前用户可执行的 sudo 命令
    -u 用户名 命令:以指定用户的身份运行后面的“ 命令” ;
    -k: 清除“ 入场券” ;
    -b 命令: 在后台运行指定的命令
    -e 文件路径: 不是执行命令, 而修改指定的文件;
    -p 提示语: 可以更改询问密码的提示语
       %u 变量来替换为用户名,%h 替换为主机名;

4.8、pam认证模块

     在过去,我们想要对一个使用者进行认证 (authentication),得要要求用户输入账号口令, 然后透过自行撰写的程序来判断该账号口令是否正确。也因为如此,我们常常得使用不同的机制来判断账号口令, 所以一台主机上面拥有多个各别的认证系统,也造成账号口令可能不同步的验证问题!为了解决这个问题因此有了 PAM (Pluggable Authentication Modules, 嵌入式模块) 的机制!

 /lib/security/*: PAM 模块文件的实际放置目录;

  /etc/security/*: 其他 PAM 环境的配置文件;

  /usr/share/doc/pam-*/: 详细的 PAM 说明文件;

  /etc/pam.d/*: 每个程序个别的 PAM 配置文件;

配置文件语法格式:
  type control module-path module-arguments
  type
: 检查功能类别
    auth: 账号的认证和授权
    account: 与账号管理相关的非认证功能
    password: 用户修改密码时密码检查规则
    session: 用户获取到服务之前或使用服务完成之后要进行的一些附加性操作
    control: 用于控制认证成功或失败时要要采取的行为
简单机制:
  required: 此关不过, 仍需检测同一个栈中的其它模块, 最后返回 failure
   认证失败, 拥有参考其它模块意见基础之上的一票否决权;
  requisite: 一票否决, 此关不过, 立即返回 failure
  sufficient: 一票通过, 此关一过, 立即返回 OK
  optional: 可选模块
  include: 包含进来指定的其它配置文件中同名栈中的规则, 并进行检测;
复杂机制: 
[status1=action1,status2=action2,....]
  status
: 返回状态,
  action: ok, done, die, ignore, bad, reset
module-path: 
模块路径
  /lib64/security: 此目录下的模块引用时可使用相对路径;
module-arguments: 模块参数

wKioL1jNKwfSX020AADNXLdtW6M768.png-wh_50

常见的模块:
  pam_unix.so,     pam_shells.so,   pam_deny.so,     pam_permit.so, 

  pam_securetty.so,pam_listfile.so, pam_cracklib.so, pam_limits.so




本文转自 梦想成大牛 51CTO博客,原文链接:http://blog.51cto.com/yinsuifeng/1908527,如需转载请自行联系原作者

相关文章
|
2月前
|
安全 数据安全/隐私保护
什么是权限管理
什么是权限管理
82 0
什么是权限管理
|
2月前
|
安全 Java 应用服务中间件
实现权限管理的技术
实现权限管理的技术
53 0
|
6月前
|
Kubernetes 安全 数据安全/隐私保护
k8s-权限管理
k8s-权限管理
62 1
|
8月前
|
数据安全/隐私保护
权限管理
权限管理
40 1
|
数据安全/隐私保护
权限管理详解
权限管理详解
127 1
|
SQL 安全 关系型数据库
第03章 用户与权限管理
第03章 用户与权限管理
115 0
|
存储 安全 Java
权限管理介绍|学习笔记
快速学习权限管理介绍
权限管理介绍|学习笔记
|
Linux Shell Go
权限管理 | 学习笔记
快速学习权限管理。
 权限管理 | 学习笔记
|
SQL Java 数据库
权限管理系统(四)
前面我们做的小项目都是一个表的,业务代码也相对简单。现在我们来做一个权限管理系统,体验一下多表的业务逻辑,顺便巩固一下过滤器的知识。!
519 2
权限管理系统(四)
|
关系型数据库 MySQL 数据安全/隐私保护
开发指南—权限管理—角色权限管理
本文介绍角色权限管理相关语法级示例。 PolarDB-X兼容原生MySQL 8.0基于橘色的权限控制,请参见基于角色的权限控制。
142 0