SECB010011Unix文件权限管理实验

1、Unix文件权限管理实验2010年4月SEC-B01-001.1Unix文件权限管理实验技术背景FreeBSD 是一个免费使用且带有完整源代码的基于 4.4BSD-Lite 的系统， 它广泛运行于 Intel i386、i486、Pentium、 Pentium Pro、 Celeron、 Pentium II、 Pentium III、 Pentium 4(或者兼容系统)、 Xeon、DEC Alpha 和 Sun UltraSPARC 的计算机系统上。 它主要以加州大学伯克利分校 的 CSRG 研究小组的软件为基础，并加入了 NetBSD、OpenBSD、386BSD 以及来自 自由软件基

2、金会 的一些东西。FreeBSD，是 BSD UNIX 的延续， 并基于几个关键的 UNIX 观念。 FreeBSD 是一个多用户的操作系统， 它能分别处理几个同时工作的用户所分配的毫无关联任务。并负责为每位用户的硬件设备、 外设、 内存和 CPU 处理时间作出合理安排。实验目的通过在FreeBSD操作系统上对文件的权限进行查看、修改等操作，进而了解基本的UNIX文件权限体系。实验平台客户机(客户端)：Windows XP/2003实验工具Putty实验要点熟悉了解文件权限的字符串表示及数字表示。实验拓扑实验流程实验步骤指导实验准备实验概要：文件权限有两种属性：I、文件（目录）所属关系，如下：

3、属主：即文件（目录）的所有者，标记位记为字母 u，即 user 之意组： 文件（目录）所属的组，标记位记为字母 g，即 group 之意其他：操作系统上的其他用户，标记位记为字母 o，即 other 之意II、文件（目录）的访问控制，如下：读标记位： 即文件（目录）可以被读取，记为 r写标记位： 即文件（目录）可以被写，记为 w执行标记位：即文件可以被执行或目录可以被访问，记为 x因为系统有能力支持多用户， 在每一方面系统都会做出谁能读、 写和执行的资源权力限制。这些权限以三个八位元的方式储存着， 一个是表示文件所属者， 一个是表示文件所属群组，一个是表示其他人。 这些数字以下列方式表示，文件

4、（目录）的每种所属关系均从下表中取一种以组合表示：数值权限标记位标示0不能读，不能写，不能执行-1不能读，不能写，可执行-x2不能读，可写，不能执行-w-3不能读，可写，可执行-wx4可读，不能写，不能执行r-5可读，不能写，可执行r-x6可读，可写，不能执行rw-7可读，可写，可执行rwx以普通帐户登录注：传统UNIX（如BSD Family）考虑到系统安全风险，默认禁止root帐户远程登录。1. 打开Putty，输入目标主机的IP地址，确定后可以看到登录界面，如图 1-1图 1-12. 点击上图中的打开（Open）以连接远程主机，第一次登录时会弹出主机身份识别密钥，点确定（yes）接受之。

5、如图 1-2图 1-23. 用帐户 test 密码 t3stBSd# 登录远程系统，如图 1-3图 1-34. 查看文件权限，如图 1-4图 1-45. 如上图,查看文件 /etc/passwd 及 /etc/master.passwd 的权限，命令如下：ls -al /etc/passwdls -al /etc/master.passwd6. 我们可以看到如下的权限标记(各从属关系的权限位之间的空格是为了便于介绍而添加的，实际样式见图 1-4：- rw- r- r- 1 root wheel 1409 Dec 4 15:37 /etc/passwd- rw- - - 1 root wheel

6、 1623 Dec 4 15:37 /etc/master.passwd以 - rw- r- r- 为例，第一部分为 -，第二部分为 rw-，第三部分为 r-，第四部分为 r-第一部分：用于区分文件、目录、设备、链接等 若列表后面的是文件，则此处为 符号 - 若列表后面的是目录，则此处为 字母 d若列表后面的是块设备，则此处为 字母 b若列表后面的是字符设备，则此处为 字母 c若列表后面的是软链接，则此处为 字母 l第二部分：属主权限 对于文件 /etc/passwd，该文件的属主（root）可读、可写，不可执行 对于文件 /etc/master.passwd，该文件的属主（root）可读、可

7、写，不可执行第三部分：属组权限 对于文件 /etc/passwd，该文件的属组（wheel）可读、不可写，不可执行 对于文件 /etc/master.passwd，该文件的属组（wheel）不可读、不可写，不可执行第四部分：其他人权限 对于文件 /etc/passwd，其他人可读、不可写，不可执行 对于文件 /etc/master.passwd，其他人不可读、不可写，不可执行7. 尝试向没有写权限的文件写入数据，如图 1-5命令如下：echo test /etc/passwd8. 得到的结果是：Permission denied，即权限不足。图 1-59. 尝试读取没有读权限的文件，如图 1-

8、6命令如下：cat /etc/master.passwd10. 得到的结果是：Permission denied，即权限不足。图 1-611. 创建文件并修改其权限，如图 1-7图 1-7命令如下：创建空文件 touch myfile查看文件权限 ls -al myfile 我们可以看到文件的权限为 -rw-r-r-,写为数字形式即为 0644，此时属主可读写， 属组及其他人只读为文件属组增加写权限 chmod g+w myfile查看文件权限 ls -al myfile 我们可以看到文件的权限为 -rw-rw-r-,写为数字形式即为 0664，此时属主及属组可 读写，其他人只读，此种情形下的

9、等价命令为：chmod 0664 myfile为文件属主增加可执行权限 chmod u+x myfile查看文件权限 ls -al myfile我们可以看到文件的权限为 -rwxrw-r-,写为数字形式即为 0764，此时属主可读写执行，属组可读写，其他人只读，此种情形下的等价命令为：chmod 0764 myfile删除文件 rm -f myfile特殊权限用 su 命令将当前用户切换到root，密码为 4dmIN.BSD!，如图 1-8注：FreeBSD 考虑到系统安全风险，禁止非同一组的帐户互相切换，因此用户帐户要想切换 为 root，则该帐户必须属于 root 帐户的主要组，即 whe

10、el 组。命令如下：su -图 1-8粘滞位 (sticky)1. 我们查看系统 /tmp 目录的权限，如图 1-9命令如下：ls -al / | grep tmp图 1-92. 我们可以看到，权限位表示为 drwxrwxrwt，即这是一个目录（第一位为字母d），属主可读可写可执行，属组可读可写可执行，其他人可读可写可执行，最后那个小写字母t，表示这个目录具有粘滞位，所谓粘滞位，意思为：普通用户在此目录中创建的文件，读写受其权限位的限制，但是删除却只能由文件所有者或root删除，其他用户即使拥有写权限，也不能删除之。注：若该目录对其他用户是不可访问的，即目录原权限位为 drwxrwxr- (0

11、776)，在添加粘滞位后，最后一位将变为大写字母T，即成为 drwxrwxr-T (1776)。3. 下面我们举例简单说明粘滞位的基本用途。创建普通目录 sample，并设置其权限位为 drwxrwx(0770)，即属主和属组可读可写可访问，其他人不可读不可写不可访问，如图 1-10图 1-10命令如下：创建目录mkdir /sample更改权限chmod 0770 /sample在该例中，上面这条命令的效果相当于 chmod g+w /sample 及 chmod o-rx /sample 两条命令的效果。查看文件权限ls -al / | grep sample我们可以看到新的权限位为 dr

12、wxrwx-，即 07704. 切换到普通帐户 sample， 在 /sample 目录中创建一个空文件，设置其权限位为 0660，即属主及属组可读可写不可执行，其他人不可读不可写不可执行，如图 1-11图 1-11命令如下：切换帐户su - sample创建文件touch /sample/abcd更改权限chmod 0660 /sample/abcd查看权限ls -al /sample/abcd5. 我们可以看到新的权限位为 -rw-rw-，即 0660输入 exit 退出到 root环境，切换到普通帐户 test， 尝试删除文件 /sample/abcd，发现文件被成功删除了，最后输入ex

13、it退出到root环境，如图 1-12图 1-12命令如下：退出当前会话exit切换帐户su - test删除文件rm -f /sample/abcd查看文件ls -al /sample/abcd此时报找不到文件错误。退出当前会话exit6. 为目录 /sample增加粘滞位，如图 1-13图 1-13命令如下：增加粘滞位chmod u+t /sample查看目录权限ls -al / | grep sample此时我们可以看到，/sample 目录的权限位为 drwxrwxT (1770)，即属主及属组可读可写可访问，其他人不可读不可写不可访问，且目录具有粘滞位。7. 重复上面的第4步，以普通

14、帐号 sample 创建文件 abcd；重复上面的第5步，以普通帐号 test 尝试删除 /sample/abcd，发现这次删除不了了，如图 1-14图 1-14S位 (suid / sgid)S位分为SUID和SGID，分别作用于属主和属组的权限位。uid 和euid真实用户 ID (uid) 是拥有或启动进程的用户 UID。 生效 UID (euid) 是进程以其身份运行的用户 ID。 举例来说， passwd 工具通常是以发起修改密码的用户身份启动， 也就是说其进程的真实用户 ID 是那个用户的 ID；但是， 由于需要修改密码数据库， 它会以 root 用户作为生效用户 ID 的身份运行

15、。 这样， 普通的非特权用户就可以修改口令， 而不是看到 “Permission Denied” 错误了。SUIDsetuid 权限可以通过在普通权限前面加上一个数字四 (4) 来设置，如图 1-15图 1-15命令如下:创建新文件 touch /tmp/abcd.sh为属主增加执行权限 chmod u+x /tmp/abcd.sh查看文件权限 ls -al /tmp/abcd.sh为文件设置 setuid 权限 chmod 4744 /tmp/abcd.sh查看文件权限 ls -al /tmp/abcd.sh我们可以看到，在原先的属主执行权限的位置变成了 s。 这样，需要提升特权的可执行文件

16、， 例如 passwd 就可以正常运行了。SGIDsetgid 权限的作用与setuid 权限类似，只是当应用程序配合这一设定运行时，它会被授予文件属组的权限。setgid 权限可以通过在普通权限前面加上一个数字二 (2) 来设置，如图 1-16图 1-16命令如下:为属组增加执行权限 chmod g+x /tmp/abcd.sh查看文件权限 ls -al /tmp/abcd.sh为文件设置 setgid 权限 chmod 2754 /tmp/abcd.sh查看文件权限 ls -al /tmp/abcd.sh我们可以看到，在原先的属组执行权限的位置变成了 s。注: 在上面的例子中，尽管 she

17、ll 脚本也属于可执行文件的一种，但它们可能不会以配置的 euid 或生效用户 ID 的身份运行。 这是因为 shell 脚本出于安全考虑可能无法直接调用 setuid 函数。修改文件标志除了上面说到的权限之外,FreeBSD还有另外一套用于文件及目录的标志,用以进一步在多用户环境下更好地设置文件及目录的访问控制，这些标志的设置需要用到 chflags 命令，下面简单演示几个常用的标志，如图 1-17图 1-17以普通帐户 test 登录系统，做以下操作创建新文件touch fileflags为文件添加不可删除标志（uunlink）chflags uunlink fileflags添加了此标志后，我们尝试删除文件，发现删除失败。为文件添加仅可以追加方式修改标志（uappend）chf