当前位置: > Linux安全 >

Linux:权限、用户、用户组、root、安全审核、安全配置备忘录

时间:2014-07-11 00:15来源:linux.it.net.cn 作者:IT网
文件(包括目录)权限:
      权限类型  
    x:1:执行 w:2:写 r:4:读
  目录 (访问目录)进入目录,流览其下的文件名称信息 创建文件、删除文件、修改文件、追加文件 浏览目录中文件的其他信息(文件名总会被获取)
文件类型 普通文件 执行文件 修改文件内容,包括追加内容 读取文件内容
  其他文件      
         
注释: 如果没有x权限 ls -l 目录是不允许的;但是ls -ld 是可以的,如果父目录没有禁止x权限。关键点就在于ls如何看待目录文件:是否当仅仅作为一个普通文件条目对待
  如果用户具有目录的w权限,就可以 强制 删除目录下的 任何文件,除非目录设置了粘滞位权限t。切记!!!!
  在权限的层级中:目录权限 优先级可能会大于 其下文件的权限!不同的应用程序通常有不同的行为方式:
Head、tail、cat、more、less等文件内容处理工具,仅仅受文件权限控制
vi等编辑工具,受目录的权限影响,如果文件的权限不足,可以强制使用目录的权限。且会改变文件的用户和组属主!
Rm mv等目录文件信息处理工具,首先考虑文件本身的权限,还要考虑目录的权限
s权限:
指的是 【可执行文件】在执行时,以文件属主 和 组属主的身份去执行。类似于mssqlserver2005中的存储过程的execute as dbo (self)。
该权限可以赋给文件和文件夹

S权限:提示文件的父目录文件已经具有了S权限!

t权限:
对于目录,禁止目录下的文件被非文件属主删除
对于文件,对现代linux已经没有多少意义了。指把【可执行文件】放在swap内存中执行

属主权限:
文件的属主拥有对文件的所有权限,可以进行文件权限设置工作,进而可以进行任何操作。
对于目录文件,属主可以操作其下的任何文件,而不管文件的权限是如何设置

T权限:提示文件的父目录已经具有了t权限!

一般文件权限的考虑顺序:文件本身的权限--------文件属主权限----------父文件目录权限-----------同组用户的权限

分段:属主权限、属主组权限、其他用户权限,特殊权限:[st]*(([wrx]){3}){3}
绝对模式、相对模式
普通权限:执行x1、写r2、读w4:对于文件
特殊权限:锁定l、超级权限s、粘滞权限t
chmod
chown
chgrp

ext文件系统高级特性:
a 写文件时:只能append模式打开,不能修改之前的内容,不能截断之前内容;不能删除。对于目录,不允许删除文件、不能重命名文件
A 不修改文件的访问时间信息
c 文件自动压缩存储,自动解压访问
d 如果一个文件设置了 ‘d’ 属性,dump(8)运行时,不会备份它(不dump该文件,译者注)
D 目录实时写入,这等价于mount命令中的dirsync选项:同步目录
e 扩展文件信息格式???????????
E(压缩出现错误) 标记压缩出现错误的文件
h(大文件) 超过2TB
i 文件设置了 ‘i" 属性,那么这个文件将不能被修改,不能被删除、重命名、链接该文件、写数据到文件。
对于目录,只允许修改文件,不允许创建、删除文件
I(索引化目录) 用在h树(htree)代码上,用来标记那些使用hash数隐藏索引的目录
j  如果一个文件设置了 ’j"属性,那么它所有的数据在写入文件本身之前,写入到ext3文件系统日志中,如果该文件系统挂载的时候使用了"data=ordered" 或"data=writeback"选项。
当文件系统采用"data=journal"选项挂载时,所有文件数据已经记录日志,因此这个属性不起作用。
仅仅超级用户或者拥有CAP_SYS_RESOURCE能力的进程可以设置和删除该属性。
s 安全删除文件内容,以0覆盖。和u相反!
S 文件内容实时写入,它等价于mount命令的‘sync‘选项
t 如果一个文件设置了 ‘t’ 属性,它和其他文件合并时,该文件的末尾不会有部分块碎片
(为支持尾部合并的文件系统使用)
T 如果一个目录设置了 ‘T’ 属性,它将被视为目录结构的顶极目录,这是为了Orlov块的分配
u 文件允许 反删除,和s相反!
X(抑制底层访问) 标记直接访问文件
Z(抑制脏文件) 标记脏文件
lsattr
chattr

用户:
useradd
usermod
usedel
passwd
adduser
deluser
pwck
pwconv
pwuncov
id
whoami
who am i
who
finger
chfn
chsh
/etc/passwd:该文件可以衍生出很多的使用方法。修改各部分,可以实现很多功能和用途。
/etc/shadow
/etc/logins.def
/etc/skel/*
/etc/default/*


用户组:
groupadd
groupdel
gpasswd
groupmod
grpck
grpconv
grpunconv
/etc/group
/etc/gshadow
/etc/logins.def
/etc/default/*


安全审核:其实每一个应用系统和应用程序都有自己的安全审核和安全管理机制!!注意深入研究
sshd
pam

安全linux系统
acl
... (责任编辑:IT)
------分隔线----------------------------
栏目列表
推荐内容