Linux用户与最小权限原则解析
<p>Linux的用户在登录(login)之后,就带有一个用户身份(user ID,<span> UID</span>)和一个组身份(group ID, <span>GID</span>)。在Linux文件管理背景知识中,我们又看到,每个文件又有九位的权限说明,用来指明该文件允许哪些用户执行哪些操作(读、写或者执行)。</p>
<p>
(参考Linux文件管理背景知识)</p>
<p>
一般来说,Linux的用户信息保存在<span>/etc/passwd</span>中,组信息保存在<span>/etc/group</span>中,文件的每一行代表一个用户/组。早期的Linux将密码以名码的形式保存在/etc/passwd中,而现在则多以暗码(也就是加密之后的形式)的形式保存在<span>/etc/shadow</span>中。将密码存储在/etc/shadow中提高了密码的安全性,因为/etc/passwd允许所有人查看,而/etc/shadow只允许root用户查看。 </p>
<p>
<strong>进程权限</strong></p>
<p>
但是,在Linux中,用户的指令是在进程的范围内进行的。当我们向对某个文件进行操作的时候,我们需要在进程中运行一个程序,在进程中对文件打开,并进行读、写或者执行的操作。因此,我们需要将用户的权限传递给进程,以便进程真正去执行操作。例如我们有一个文件a.txt, 文件中为一个字符串:</p>
<p>
<span>Hello world!</span></p>
<p>
我以用户Vamei的身份登录,并在shell中运行如下命令:</p>
<p>
<span>$cat a.txt</span></p>
<p>
整个运行过程以及文件读取如下:</p>
<p>
<img title="Linux用户与最小权限原则解析" alt="Linux用户与最小权限原则解析" src="https://zhuji.jb51.net/uploads/img/202305/fd961a1229860e9b21ab957e2999a17f.jpg"></p>
<p>
我们可以看到,整个过程中我们会有两个进程,一个是shell本身(2256),一个是shell复制自身,再运行/bin/cat (9913)。图中的fork, exec, PID可参看Linux进程基础。第二个进程总共对文件系统进行了两次操作,一次是执行(x)文件/bin/cat,另外一次是读取(r)文件a.txt。使用$ls -l 查看这两个文件的权限:</p>
<div class="jb51code">
<div>
<div class="syntaxhighlighterbash" id="highlighter_180563">
<div class="toolbar">
<span>?</span>
</div>
<table border="0" cellpadding="0" cellspacing="0"><tbody><tr>
<td class="gutter">
<div class="line number1 index0 alt2">
1</div>
<div class="line number2 index1 alt1">
2</div>
<div class="line number3 index2 alt2">
3</div>
<div class="line number4 index3 alt1">
4</div>
<div class="line number5 index4 alt2">
5</div>
<div class="line number6 index5 alt1">
6</div>
</td>
<td class="code">
<div class="container">
<div class="line number1 index0 alt2">
<code class="bash plain">$</code><code class="bash functions">ls</code> <code class="bash plain">-l </code><code class="bash plain">/bin/cat</code>
</div>
<div class="line number2 index1 alt1">
<code class="bash plain">-rwxr-xr-x 1 root root 46764 Apr 1 2012 </code><code class="bash plain">/bin/cat</code>
</div>
<div class="line number3 index2 alt2">
</div>
<div class="line number4 index3 alt1">
</div>
<div class="line number5 index4 alt2">
<code class="bash plain">$</code><code class="bash functions">ls</code> <code class="bash plain">-l a.txt</code>
</div>
<div class="line number6 index5 alt1">
<code class="bash plain">-rw-rw-r-- 1 Vamei Vamei 14 Oct 7 09:14 a.txt</code>
</div>
</div>
</td>
</tr></tbody></table>
</div>
</div>
<div class="codetool" id="codetool">
<div class="code_n">
<textarea></textarea>
</div>
</div>
</div>
<p>
从上面可以看到(参考Linux文件管理背景知识),/bin/cat让所有用户都享有执行的权利,而Vamei作为a.txt的拥有者,对a.txt享有读取的权利。</p>
<p>
让我们进入更多的细节 (The devil is in the details)。在进行这两次操作的时候,尽管用户Vamei拥有相应的权限,但我们发现,真正做工作的是进程9913。我们要让这个进程得到相应的权限。实际上,每个进程会维护有如下6个ID:</p>
<p>
<strong>真实身份:</strong>real UID, real GID</p>
<p>
<strong>有效身份: </strong>effective UID, effective GID</p>
<p>
<strong>存储身份:</strong>saved UID, saved GID</p>
<p>
其中,真实身份是我们登录使用的身份,有效身份是当该进程真正去操作文件时所检查的身份,存储身份较为特殊,我们等一下再深入。当进程fork的时候,真实身份和有效身份都会复制给子进程。大部分情况下,真实身份和有效身份都相同。当Linux完成开机启动之后,init进程会执行一个login的子进程。我们将用户名和密码传递给login子进程。login在查询了/etc/passwd和/etc/shadow,并确定了其合法性之后,运行(利用exec)一个shell进程,shell进程真实身份被设置成为该用户的身份。由于此后fork此shell进程的子进程都会继承真实身份,所以该真实身份会持续下去,直到我们登出并以其他身份再次登录(当我们使用su成为root的时候,实际上就是以root身份再次登录,此后真实身份成为root)。</p>
<p>
<strong>最小权限原则</strong></p>
<p>
每个进程为什么不简单地只维护真实身份,却选择费尽麻烦地去维护有效身份和存储身份呢?这牵涉到Linux的<span>“最小特权”(</span><span>least priviledge</span>)的原则。Linux通常希望进程只拥有足够完成其工作的特权,而不希望赋予更多的特权给它。从设计上来说,最简单的是赋予每个进程以super user的特权,这样进程就可以想做什么做什么。然而,这对于系统来说是一个巨大的安全漏洞,特别是在多用户环境下,如果每个用户都享有无限制的特权,就很容易破坏其他用户的文件或者系统本身。“最小特权”就是<span>收缩进程所享有的特权,以防进程滥用特权</span>。</p>
<p>
然而,进程的不同阶段可能需要不同的特权。比如一个进程最开始的有效身份是真实身份,但运行到中间的时候,需要以其他的用户身份读入某些配置文件,然后再进行其他的操作。为了防止其他的用户身份被滥用,我们需要在操作之前,让进程的有效身份变更回来成为真实身份。这样,<span>进程需要在两个身份之间变化</span>。</p>
<p>
<span><strong>存储身份</strong></span>就是真实身份之外的另一个身份。当我们将一个程序文件执行成为进程的时候,该程序文件的拥有者(owner)和拥有组(owner group)可以被,存储成为进程的存储身份。在随后进程的运行过程中,进程就将可以<span>选择将真实身份或者存储身份复制到有效身份</span>,以拥有真实身份或者存储身份的权限。<span>并不是所有的程序文件在执行的过程都设置存储身份的</span>。需要这么做的程序文件会在其<span>九位(bit)权限</span>的<span>执行位的x改为s</span>。这时,这一位(bit)叫做set UID bit或者set GID bit。</p>
<div class="jb51code">
<div>
<div class="syntaxhighlighterbash" id="highlighter_395298">
<div class="toolbar">
<span>?</span>
</div>
<table border="0" cellpadding="0" cellspacing="0"><tbody><tr>
<td class="gutter">
<div class="line number1 index0 alt2">
1</div>
<div class="line number2 index1 alt1">
2</div>
</td>
<td class="code">
<div class="container">
<div class="line number1 index0 alt2">
<code class="bash plain">$</code><code class="bash functions">ls</code> <code class="bash plain">-l </code><code class="bash plain">/usr/bin/uuidd</code>
</div>
<div class="line number2 index1 alt1">
<code class="bash plain">-rwsr-sr-x 1 libuuid libuuid 17976 Mar 30 2012 </code><code class="bash plain">/usr/sbin/uuidd</code>
</div>
</div>
</td>
</tr></tbody></table>
</div>
</div>
<div class="codetool" id="codetool">
<div class="code_n">
<textarea></textarea>
</div>
</div>
</div>
<p>
当我以root(UID), root(GID)的真实身份运行这个程序的时候,由于拥有者(owner)有s位的设定,所以saved UID被设置成为libuuid,saved GID被设置成为libuuid。这样,uuidd的进程就可以在两个身份之间切换。 </p>
<p>
我们通常使用chmod来修改set-UID bit和set-GID bit:</p>
<p>
<span>$chmod 4700 file</span></p>
<p>
我们看到,这里的chmod后面不再只是三位的数字。最前面一位用于处理set-UID bit/set-GID bit,它可以被设置成为4/2/1以及或者上面数字的和。4表示为set UID bit, 2表示为set GID bit,1表示为sticky bit (暂时不介绍)。必须要先有x位的基础上,才能设置s位。 </p>
<p>
作为一个Linux用户来说,我们并不需要特别关心上面的机制。但是,<strong><span>当我们去编写一个Linux应用程序的时候,就要注意在程序中实现以上切换(有必要的前提下),以便让我们的程序符合"最小权限"的原则,不给系统留下可能的安全隐患。</span></strong>给你的程序过度的权限的话,就像是吃下去下面的汉堡:</p>
<p>
<img title="Linux用户与最小权限原则解析" alt="Linux用户与最小权限原则解析" src="https://zhuji.jb51.net/uploads/img/202305/00aa988c35c55456c8e1944274e755d3.jpg"></p>
<p>
容易让人吃伤的汉堡: 过度的“权限” </p>
<p>
<strong>总结</strong></p>
<p>
real/effective/saved UID/GID</p>
<p>
saved UID/GID bit</p>
<p>
“最小权限”原则</p>
<p>
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持。</p>
<p>
原文链接:http://www.cnblogs.com/vamei/archive/2012/10/07/2713593.html</p>
頁:
[1]