1、Unix文件權限管理實驗2010年4月SEC-B01-001.1Unix文件權限管理實驗技術背景FreeBSD 是一個免費使用且帶有完整源代碼的基于 4.4BSD-Lite 的系統， 它廣泛運行于 Intel i386、i486、Pentium、 Pentium Pro、 Celeron、 Pentium II、 Pentium III、 Pentium 4(或者兼容系統)、 Xeon、DEC Alpha 和 Sun UltraSPARC 的計算機系統上。 它主要以加州大學伯克利分校 的 CSRG 研究小組的軟件為基礎，并加入了 NetBSD、OpenBSD、386BSD 以及來自 自由軟件基

2、金會 的一些東西。FreeBSD，是 BSD UNIX 的延續， 并基于幾個關鍵的 UNIX 觀念。 FreeBSD 是一個多用戶的操作系統， 它能分別處理幾個同時工作的用戶所分配的毫無關聯任務。并負責為每位用戶的硬件設備、 外設、 內存和 CPU 處理時間作出合理安排。實驗目的通過在FreeBSD操作系統上對文件的權限進行查看、修改等操作，進而了解基本的UNIX文件權限體系。實驗平臺客戶機(客戶端)：Windows XP/2003實驗工具Putty實驗要點熟悉了解文件權限的字符串表示及數字表示。實驗拓撲實驗流程實驗步驟指導實驗準備實驗概要：文件權限有兩種屬性：I、文件（目錄）所屬關系，如下：

3、屬主：即文件（目錄）的所有者，標記位記為字母 u，即 user 之意組： 文件（目錄）所屬的組，標記位記為字母 g，即 group 之意其他：操作系統上的其他用戶，標記位記為字母 o，即 other 之意II、文件（目錄）的訪問控制，如下：讀標記位： 即文件（目錄）可以被讀取，記為 r寫標記位： 即文件（目錄）可以被寫，記為 w執行標記位：即文件可以被執行或目錄可以被訪問，記為 x因為系統有能力支持多用戶， 在每一方面系統都會做出誰能讀、 寫和執行的資源權力限制。這些權限以三個八位元的方式儲存著， 一個是表示文件所屬者， 一個是表示文件所屬群組，一個是表示其他人。 這些數字以下列方式表示，文件

4、（目錄）的每種所屬關系均從下表中取一種以組合表示：數值權限標記位標示0不能讀，不能寫，不能執行-1不能讀，不能寫，可執行-x2不能讀，可寫，不能執行-w-3不能讀，可寫，可執行-wx4可讀，不能寫，不能執行r-5可讀，不能寫，可執行r-x6可讀，可寫，不能執行rw-7可讀，可寫，可執行rwx以普通帳戶登錄注：傳統UNIX（如BSD Family）考慮到系統安全風險，默認禁止root帳戶遠程登錄。1. 打開Putty，輸入目標主機的IP地址，確定后可以看到登錄界面，如圖 1-1圖 1-12. 點擊上圖中的打開（Open）以連接遠程主機，第一次登錄時會彈出主機身份識別密鑰，點確定（yes）接受之。

5、如圖 1-2圖 1-23. 用帳戶 test 密碼 t3stBSd# 登錄遠程系統，如圖 1-3圖 1-34. 查看文件權限，如圖 1-4圖 1-45. 如上圖,查看文件 /etc/passwd 及 /etc/master.passwd 的權限，命令如下：ls -al /etc/passwdls -al /etc/master.passwd6. 我們可以看到如下的權限標記(各從屬關系的權限位之間的空格是為了便于介紹而添加的，實際樣式見圖 1-4：- rw- r- r- 1 root wheel 1409 Dec 4 15:37 /etc/passwd- rw- - - 1 root wheel

6、 1623 Dec 4 15:37 /etc/master.passwd以 - rw- r- r- 為例，第一部分為 -，第二部分為 rw-，第三部分為 r-，第四部分為 r-第一部分：用于區分文件、目錄、設備、鏈接等 若列表后面的是文件，則此處為 符號 - 若列表后面的是目錄，則此處為 字母 d若列表后面的是塊設備，則此處為 字母 b若列表后面的是字符設備，則此處為 字母 c若列表后面的是軟鏈接，則此處為 字母 l第二部分：屬主權限 對于文件 /etc/passwd，該文件的屬主（root）可讀、可寫，不可執行 對于文件 /etc/master.passwd，該文件的屬主（root）可讀、可

7、寫，不可執行第三部分：屬組權限 對于文件 /etc/passwd，該文件的屬組（wheel）可讀、不可寫，不可執行 對于文件 /etc/master.passwd，該文件的屬組（wheel）不可讀、不可寫，不可執行第四部分：其他人權限 對于文件 /etc/passwd，其他人可讀、不可寫，不可執行 對于文件 /etc/master.passwd，其他人不可讀、不可寫，不可執行7. 嘗試向沒有寫權限的文件寫入數據，如圖 1-5命令如下：echo test /etc/passwd8. 得到的結果是：Permission denied，即權限不足。圖 1-59. 嘗試讀取沒有讀權限的文件，如圖 1-

8、6命令如下：cat /etc/master.passwd10. 得到的結果是：Permission denied，即權限不足。圖 1-611. 創建文件并修改其權限，如圖 1-7圖 1-7命令如下：創建空文件 touch myfile查看文件權限 ls -al myfile 我們可以看到文件的權限為 -rw-r-r-,寫為數字形式即為 0644，此時屬主可讀寫， 屬組及其他人只讀為文件屬組增加寫權限 chmod g+w myfile查看文件權限 ls -al myfile 我們可以看到文件的權限為 -rw-rw-r-,寫為數字形式即為 0664，此時屬主及屬組可 讀寫，其他人只讀，此種情形下的

9、等價命令為：chmod 0664 myfile為文件屬主增加可執行權限 chmod u+x myfile查看文件權限 ls -al myfile我們可以看到文件的權限為 -rwxrw-r-,寫為數字形式即為 0764，此時屬主可讀寫執行，屬組可讀寫，其他人只讀，此種情形下的等價命令為：chmod 0764 myfile刪除文件 rm -f myfile特殊權限用 su 命令將當前用戶切換到root，密碼為 4dmIN.BSD!，如圖 1-8注：FreeBSD 考慮到系統安全風險，禁止非同一組的帳戶互相切換，因此用戶帳戶要想切換 為 root，則該帳戶必須屬于 root 帳戶的主要組，即 whe

10、el 組。命令如下：su -圖 1-8粘滯位 (sticky)1. 我們查看系統 /tmp 目錄的權限，如圖 1-9命令如下：ls -al / | grep tmp圖 1-92. 我們可以看到，權限位表示為 drwxrwxrwt，即這是一個目錄（第一位為字母d），屬主可讀可寫可執行，屬組可讀可寫可執行，其他人可讀可寫可執行，最后那個小寫字母t，表示這個目錄具有粘滯位，所謂粘滯位，意思為：普通用戶在此目錄中創建的文件，讀寫受其權限位的限制，但是刪除卻只能由文件所有者或root刪除，其他用戶即使擁有寫權限，也不能刪除之。注：若該目錄對其他用戶是不可訪問的，即目錄原權限位為 drwxrwxr- (0

11、776)，在添加粘滯位后，最后一位將變為大寫字母T，即成為 drwxrwxr-T (1776)。3. 下面我們舉例簡單說明粘滯位的基本用途。創建普通目錄 sample，并設置其權限位為 drwxrwx(0770)，即屬主和屬組可讀可寫可訪問，其他人不可讀不可寫不可訪問，如圖 1-10圖 1-10命令如下：創建目錄mkdir /sample更改權限chmod 0770 /sample在該例中，上面這條命令的效果相當于 chmod g+w /sample 及 chmod o-rx /sample 兩條命令的效果。查看文件權限ls -al / | grep sample我們可以看到新的權限位為 dr

12、wxrwx-，即 07704. 切換到普通帳戶 sample， 在 /sample 目錄中創建一個空文件，設置其權限位為 0660，即屬主及屬組可讀可寫不可執行，其他人不可讀不可寫不可執行，如圖 1-11圖 1-11命令如下：切換帳戶su - sample創建文件touch /sample/abcd更改權限chmod 0660 /sample/abcd查看權限ls -al /sample/abcd5. 我們可以看到新的權限位為 -rw-rw-，即 0660輸入 exit 退出到 root環境，切換到普通帳戶 test， 嘗試刪除文件 /sample/abcd，發現文件被成功刪除了，最后輸入ex

13、it退出到root環境，如圖 1-12圖 1-12命令如下：退出當前會話exit切換帳戶su - test刪除文件rm -f /sample/abcd查看文件ls -al /sample/abcd此時報找不到文件錯誤。退出當前會話exit6. 為目錄 /sample增加粘滯位，如圖 1-13圖 1-13命令如下：增加粘滯位chmod u+t /sample查看目錄權限ls -al / | grep sample此時我們可以看到，/sample 目錄的權限位為 drwxrwxT (1770)，即屬主及屬組可讀可寫可訪問，其他人不可讀不可寫不可訪問，且目錄具有粘滯位。7. 重復上面的第4步，以普通

14、帳號 sample 創建文件 abcd；重復上面的第5步，以普通帳號 test 嘗試刪除 /sample/abcd，發現這次刪除不了了，如圖 1-14圖 1-14S位 (suid / sgid)S位分為SUID和SGID，分別作用于屬主和屬組的權限位。uid 和euid真實用戶 ID (uid) 是擁有或啟動進程的用戶 UID。 生效 UID (euid) 是進程以其身份運行的用戶 ID。 舉例來說， passwd 工具通常是以發起修改密碼的用戶身份啟動， 也就是說其進程的真實用戶 ID 是那個用戶的 ID；但是， 由于需要修改密碼數據庫， 它會以 root 用戶作為生效用戶 ID 的身份運行

15、。 這樣， 普通的非特權用戶就可以修改口令， 而不是看到 “Permission Denied” 錯誤了。SUIDsetuid 權限可以通過在普通權限前面加上一個數字四 (4) 來設置，如圖 1-15圖 1-15命令如下:創建新文件 touch /tmp/abcd.sh為屬主增加執行權限 chmod u+x /tmp/abcd.sh查看文件權限 ls -al /tmp/abcd.sh為文件設置 setuid 權限 chmod 4744 /tmp/abcd.sh查看文件權限 ls -al /tmp/abcd.sh我們可以看到，在原先的屬主執行權限的位置變成了 s。 這樣，需要提升特權的可執行文件

16、， 例如 passwd 就可以正常運行了。SGIDsetgid 權限的作用與setuid 權限類似，只是當應用程序配合這一設定運行時，它會被授予文件屬組的權限。setgid 權限可以通過在普通權限前面加上一個數字二 (2) 來設置，如圖 1-16圖 1-16命令如下:為屬組增加執行權限 chmod g+x /tmp/abcd.sh查看文件權限 ls -al /tmp/abcd.sh為文件設置 setgid 權限 chmod 2754 /tmp/abcd.sh查看文件權限 ls -al /tmp/abcd.sh我們可以看到，在原先的屬組執行權限的位置變成了 s。注: 在上面的例子中，盡管 she

17、ll 腳本也屬于可執行文件的一種，但它們可能不會以配置的 euid 或生效用戶 ID 的身份運行。 這是因為 shell 腳本出于安全考慮可能無法直接調用 setuid 函數。修改文件標志除了上面說到的權限之外,FreeBSD還有另外一套用于文件及目錄的標志,用以進一步在多用戶環境下更好地設置文件及目錄的訪問控制，這些標志的設置需要用到 chflags 命令，下面簡單演示幾個常用的標志，如圖 1-17圖 1-17以普通帳戶 test 登錄系統，做以下操作創建新文件touch fileflags為文件添加不可刪除標志（uunlink）chflags uunlink fileflags添加了此標志后，我們嘗試刪除文件，發現刪除失敗。為文件添加僅可以追加方式修改標志（uappend）chf