灵活运用Linux中的文件/目录访问控制机制(上)

日期: 2012-01-09 作者:羽扇纶巾 来源:TechTarget中国

文件/目录访问控制是Linux操作系统安全的重要组成部分。传统的Linux操作系统支持用户-用户组-其它用户的访问控制机制,来限定系统用户对文件/目录的访问权限,该机制已经广泛为用户所接受和应用。而在实际的使用过程中,用户意识到在很多应用场景该机制并不能灵活、高效地满足访问控制需求,因而自Linux内核2.6版本开始便支持更为灵活的ACL(访问控制列表)机制。本文将通过实例来详细介绍这两种机制的原理及使用。

  1、传统的用户-用户组-其他用户(UGO)访问控制机制   UGO(user,group,other)模式原理   Linux系统中的每个文件和目录都有访问许可权限,通过其确定谁可以通……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

文件/目录访问控制是Linux操作系统安全的重要组成部分。传统的Linux操作系统支持用户-用户组-其它用户的访问控制机制,来限定系统用户对文件/目录的访问权限,该机制已经广泛为用户所接受和应用。而在实际的使用过程中,用户意识到在很多应用场景该机制并不能灵活、高效地满足访问控制需求,因而自Linux内核2.6版本开始便支持更为灵活的ACL(访问控制列表)机制。本文将通过实例来详细介绍这两种机制的原理及使用。

  1、传统的用户-用户组-其他用户(UGO)访问控制机制

  UGO(user,group,other)模式原理

  Linux系统中的每个文件和目录都有访问许可权限,通过其确定谁可以通过何种方式对文件和目录进行访问和操作。文件或目录的访问权限分为只读,只写和可执行三种。以文件为例,只读权限表示只允许读其内容,而禁止对其做任何的更改操作;只写权限允许对文件进行任何的修改操作;可执行权限表示允许将该文件作为一个程序执行。文件被创建时,文件所有者自动拥有对该文件的读、写和可执行权限,以便于对文件的阅读和修改。用户也可根据需要把访问权限设置为需要的任何组合。

  有三种不同类型的用户可对文件或目录进行访问:文件所有者,同组用户、其他用户。所有者一般是文件的创建者。它可以允许同组用户有权访问文件,还可以将文件的访问权限赋予系统中的其他用户。在这种情况下,系统中的每一位用户都能访问该用户拥有的文件或目录。

  每一个文件或目录的访问权限都有三组,每组用三位表示,分别为文件属主的读、写和执行权限;与属主同组的用户的读、写和执行权限;系统中其他用户的读、写和执行权限。当用ls -l命令显示文件或目录的详细信息时,最左边的一列为文件的访问权限。例如:

  # ls -l
  总计 76
  -rw------- 1 root root   797 11-06 20:41 anaconda-ks.cfg
  drwxr-xr-x 2 root root  4096 11-06 13:50 Desktop
  -rw-r--r-- 1 root root 44843 11-06 20:40 install.log
  -rw-r--r-- 1 root root  7513 11-06 20:35 install.log.syslog

  横线代表空许可(即表示不具有该权限)。r代表只读,w代表写,x代表可执行。注意:这里共有10个位置。第1个字符指定了文件类型。在通常意义上,一个目录也是一个文件。如果第1个字符是横线,表示是一个非目录的文件。如果是d,表示是一个目录。后面的9个字符每三个构成一组,依次表示文件主、组用户、其他用户对该文件的访问权限。

  确定了一个文件的访问权限后,用户可以利用Linux系统提供的chmod命令来重新设定不同的访问权限。也可以利用chown命令来更改某个文件或目录的所有者。

  2、扩展的访问控制列表(ACL)方式

  为什么要采用ACL

  UGO访问控制机制在很多情况下难以满足实际文件/目录访问授权的需求,比如,要设定一个组中的部分用户对特定的文件/目录具有读取和访问权限(rw-),而另外一部分用户只能具备读权限(r--);这在传统的Linux访问控制中无法通过单纯地建立新的组和用户来实现。因此,为了解决这些问题,人们提出了一种新的访问控制方法,也就是访问控制列表(ACL,Access Control List)。


  ACL是一个POSIX(可移植操作系统接口,Portable Operating System Interface)标准。目前,支持ACL需要内核和文件系统的支持。现在2.6内核配合EXT2/EXT3, JFS, XFS, ReiserFS等文件系统都是可以支持ACL的。在目前主流的发行套件,如Red Hat Enterprise Linux (RHEL)5、RHEL 6、Fedora 16等等,都已经支持ACL。

  ACL的类型及权限位

  ACL 是由一系列的Access Entry所组成的。每一条Access Entry定义了特定的类别可以对文件拥有的操作权限。Access Entry主要包括6个,可分为两大类:一类包括owner、owning group和other,对应传统UGO机制中的user、group和other;一类则包括named user、named group和mask。这六类的主要说明如下:

  user:相当于Linux里文件所有者的permission
  named user:定义了额外的用户可以对此文件拥有的permission
  group:相当于Linux里group的permission
  named group:定义了额外的组可以对此文件拥有的permission
  mask:定义了named user, named group和group的最大权限
  other:相当于Linux里other的permission

  举个简单的例子,对于如下的ACL Entry的定义:

  # file: example.xml
  # owner: liyang
  # group: operation
  user::rwx
  user:shengping:rw-
  group::rw-
  group:dev:r-x
  mask::rwx
  other::r—

  其中,前面三个以#开头的定义了文件名、文件的所有者和所有者所在的组。后面紧跟着的六行则说明了如下的问题:

  user::rwx说明文件所有者拥有读写和执行权限
  user:shengping:rw-定义了用户shengping拥有对文件的读写权限
  group::rw-说明文件的group拥有读写权限
  group:dev:r-x 定义dev组拥有对文件的读和执行权限
  mask::rwx 定义了mask的权限为读
  other::r-- 定义了other用户的权限为读

  值得特别注意的是:mask的rwx权限定义,决定了user:shengping,group和group:dev对文件的最大权限分别是rw、rw和rx。这也是mask这个ACL Entry的用途所在,可以用它来批量控制权限。当然,在实际的使用过程中,并不需要用户对该Entry直接进行操作,而只需要使用相应的setfacl命令即可,系统将会根据该命令的执行来自动生成上述Entry项,这其中就包含了mask这个Entry项。

作者

羽扇纶巾
羽扇纶巾

自由撰稿人。

相关推荐