Linux权限划分的原则

这篇具有很好参考价值的文章主要介绍了Linux权限划分的原则。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

考察的不仅是一个具体的指令,还考察对技术层面的认知。
如果对 Linux 权限有较深的认知和理解,那么完全可以通过查资料去完成具体指令的执行。更重要的是,认知清晰的程序员可以把 Linux 权限管理的知识迁移到其他的系统设计中。

权限抽象

一个完整的权限管理体系,要有合理的抽象。这里就包括对用户、进程、文件、内存、系统调用等抽象。
首先,我们先来说说用户和组。Linux 是一个多用户平台,允许多个用户同时登录系统工作。Linux 将用户抽象成了账户,账户可以登录系统,比如通过输入登录名 + 密码的方式登录;也可以通过证书的方式登录。但为了方便分配每个用户的权限,Linux 还支持组 (Group)账户。组账户是多个账户的集合,组可以为成员们分配某一类权限。每个用户可以在多个组,这样就可以利用组给用户快速分配权限。组的概念有点像微信群。一个用户可以在多个群中。比如某个组中分配了 10 个目录的权限,那么新建用户的时候可以将这个用户增加到这个组中,这样新增的用户就不必再去一个个目录分配权限。而每一个微信群都有一个群主,Root 账户也叫作超级管理员,就相当于微信群主,它对系统有着完全的掌控。一个超级管理员可以使用系统提供的全部能力。此外,Linux 还对文件进行了权限抽象(注意目录也是一种文件)。Linux 中一个文件可以设置下面 3 种权限:

  • 读权限(r):控制读取文件。

  • 写权限(w):控制写入文件。

  • 执行权限(x):控制将文件执行,比如脚本、应用程序等

  • Linux权限划分的原则
    然后每个文件又可以从 3 个维度去配置上述的 3 种权限:

  1. 用户维度。每个文件可以所属 1 个用户,用户维度配置的 rwx 在用户维度生效;
  2. 组维度。每个文件可以所属 1 个分组,组维度配置的 rwx 在组维度生效;
  3. 全部用户维度。设置对所有用户的权限。
  4. Linux权限划分的原则
    因此 Linux 中文件的权限可以用 9 个字符,3 组rwx描述:第一组是用户权限,第二组是组权限,第三组是所有用户的权限。然后用-代表没有权限。比如rwxrwxrwx代表所有维度可以读写执行。rw–wxr-x代表用户维度不可以执行,组维度不可以读取,所有用户维度不可以写入。rw-rw-r–通常情况下,如果用ls -l查看一个文件的权限,会有 10 个字符,这是因为第一个字符代表的是文件类型。我们在 06 课时讲解“几种常见的文件类型”时提到过,有管道文件、目录文件、链接文件等等。-代表普通文件、d代表目录、p代表管道。
    思考以下 4 个问题。
  5. 文件被创建后,初始的权限如何设置?
  6. 需要全部用户都可以执行的指令,比如ls,它们的权限如何分配?
  7. 给一个文本文件分配了可执行权限会怎么样?
  8. 可不可以多个用户都登录root,然后只用root账户?
问题一:初始权限问题

一个文件创建后,文件的所属用户会被设置成创建文件的用户。谁创建谁拥有,这个逻辑很顺理成章。但是文件的组又是如何分配的呢?这里 Linux 想到了一个很好的办法,就是为每个用户创建一个同名分组。比如说zhang这个账户创建时,会创建一个叫作zhang的分组。zhang登录之后,工作分组就会默认使用它的同名分组zhang。如果zhang想要切换工作分组,可以使用newgrp指令切换到另一个工作分组。因此,被创建文件所属的分组是当时用户所在的工作分组,如果没有特别设置,那么就属于用户所在的同名分组。再说下文件的权限如何?文件被创建后的权限通常是:也就是用户、组维度不可以执行,所有用户可读。

问题二:公共执行文件的权限

前面提到过可以用which指令查看ls指令所在的目录,我们发现在/usr/bin中。然后用ls -
l查看ls的权限,可以看到下图所示:
Linux权限划分的原则
第一个-代表这是一个普通文件,后面的 rwx 代表用户维度可读写和执行;
第二个r-x代表组维度不可读写;
第三个r-x代表所有用户可以读和执行;
后两个root,第一个代表所属用户,第二个代表所属分组

` 如果一个文件设置为不可读,但是可以执行,那么结果会怎样?答案当然是不可以执行,无法读取文件内容自然不可以执行。

问题三:执行文件`

在 Linux 中,如果一个文件可以被执行,则可以直接通过输入文件路径(相对路径或绝对路径)的方式执行。如果想执行一个不可以执行的文件,Linux 则会报错。当用户输入一个文件名,如果没有指定完整路径,Linux 就会在一部分目录中查找这个文件。你可以通过echo $PATH看到 Linux 会在哪些目录中查找可执行文件,PATH是 Linux 的环境
变量,和Windows中的环境变量类似。
Linux权限划分的原则

问题四:可不可以都 root

最后一个问题是,可不可以都root?答案当然是不行!
内核提供操作硬件、磁盘、内存分页、进程等最核心的能力,并拥有直接操作全部内存的权限,因此内核不能把自己的全部能力都提供给用户,而且也不能允许用户通过shell指令进行系统调用。Linux 下内核把部分进程需要的系统调用以 C 语言 API 的形式提供出来。部分系统调用会有权限检查,比如说设置系统时间的系统调用。

权限架构思想

优秀的权限架构主要目标是让系统安全、稳定且用户、程序之间相互制约、相互隔离。这要求权限系统中的权限划分足够清晰,分配权限的成本足够低。因此,优秀的架构,应该遵循最小权限原则(Least Privilege)。权限设计需要保证系统的安全和稳定。比如:每一个成员拥有的权限应该足够的小,每一段特权程序执行的过程应该足够的短。对于安全级别较高的时候,还需要成员权限互相牵制。比如金融领域通常登录线上数据库需要两次登录,也就是需要两个密码,分别掌握在两个角色手中。这样即便一个成员出了问题,也可以保证整个系统安全。同样的,每个程序也应该减少权限,比如说只拥有少量的目录读写权限,只可以进行少量的系统调用。

权限划分

权限架构思想还应遵循一个原则,权限划分边界应该足够清晰,尽量做到相互隔离。Linux 提供了用户和分组。当然 Linux 没有强迫你如何划分权限,这是为了应对更多的场景。通常我们服务器上重要的应用,会由不同的账户执行。比如说 Nginx、Web 服务器、数据库不会执行在一个账户下。现在随着容器化技术的发展,我们甚至希望每个应用独享一个虚拟的空间,就好像运行在一个单独的操作系统中一样,让它们互相不用干扰。

为什么不用 root 账户执行程序?

说说 root 的危害。举个例子,你有一个 MySQL 进程执行在 root(最大权限)账户上,如果有黑客攻破了你的
MySQL 服务,获得了在 MySQL 上执行 SQL 的权限,那么,你的整个系统就都暴露在黑客眼前了。这会导致非常严重的后果。
黑客可以利用 MySQL 的 Copy From Prgram 指令为所欲为,比如先备份你的关键文件,然后再删除他们,并要挟你通过指定账户打款。如果执行最小权限原则,那么黑客即便攻破我们的 MySQL 服务,他也只能获得最小的权限。当然,黑客拿到 MySQL 权限也是非常可怕的,但是相比拿到所有权限,这个损失就小多了。

分级保护

因为内核可以直接操作内存和 CPU,因此非常危险。驱动程序可以直接控制摄像头、显示屏等核心设备,也需要采取安全措施,比如防止恶意应用开启摄像头盗用隐私。通常操作系统都采取一种环状的保护模式。
Linux权限划分的原则
如上图所示,内核在最里面,也就是 Ring 0。 应用在最外面也就是 Ring 3。驱动在中间,也就是 Ring 1 和 Ring 2。对于相邻的两个 Ring,内层 Ring 会拥有较高的权限,可以改变外层的 Ring;而外层的 Ring 想要使用内层 Ring 的资源时,会有专门的程序(或者硬件)进行保护。比如说一个 Ring3 的应用需要使用内核,就需要发送一个系统调用给内核。这个系统调用会由内核进行验证,比如验证用户有没有足够的权限,以及这个行为是否安全等等。

权限包围(Privilege Bracking)

当 MySQL 跑在 root 权限时,如果 MySQLl 被攻破,整个机器就被攻破了。因此我们所有应用都不要跑在 root 上。如果所有应用都跑在普通账户下,那么就会有临时提升权限的场景。比如说安装程序可能需要临时拥有管理员权限,将应用装到/usr/bin目录下。Linux 提供了权限包围的能力。比如一个应用,临时需要高级权限,可以利用交互界面(比如让用户输入 root 账户密码)验证身份,然后执行需要高级权限的操作,然后马上恢复到普通权限工作。这样做可以减少应用在高级权限的时间,并做到专权专用,防止被恶意程序利用。文章来源地址https://www.toymoban.com/news/detail-442009.html

到了这里,关于Linux权限划分的原则的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 掌握Linux指令和权限:一个入门教程

    语法格式 :ls [选项][目录或者文件] 功能 :对于目录,该命令列出该目录下的所有子目录与文件。对于文件,将列出文件名以及其他信息。 a 列出目录下的所有文件,包括以 . 开头的隐含文件。 -d 将目录象文件一样显示,而不是显示其下的文件。 如:ls –d 指定目录 -i 输出文

    2023年04月23日
    浏览(41)
  • k8s 用户角色 权限的划分

    在Kubernetes中,角色(Role)和角色绑定(RoleBinding)用于划分用户的权限。 Kubernetes中的角色定义了一组特定操作的权限,例如 创建、删除或修改特定资源 。而 角色绑定则将角色与用户、组或服务账号进行关联,从而赋予其相应的权 限。 常见的Kubernetes用户角色和权限的划分

    2024年02月12日
    浏览(39)
  • Linux对一个目录及其子目录所有文件添加权限

    chmod是一个改变用户拥有指定文件的权限的命令.r:只读,w:写,x执行.也可以用数字 -rw------- (600) -- 只有属主有读写权限。   -rw-r--r-- (644) -- 只有属主有读写权限;而属组用户和其他用户只有读权限。   -rwx------ (700) -- 只有属主有读、写、执行权限。   -rwxr-xr-x (755) -- 

    2024年02月02日
    浏览(90)
  • Android跳转具体应用权限管理,三种方式

    背景: Android越来越安全合规,在应用里,需要给用户所有可选择和取消的明确方式。 比如:设置了权限,也要给用户关闭权限的入口。被要求在应用的设置里,提供权限管理入口。 解决方式有三: 方式一:给每个手机厂商跳转做定制适配 有点费力,但是精准,如下:  

    2024年02月16日
    浏览(71)
  • 066:cesium flyto一个具体的点位置

    第066个 点击查看专栏目录 本示例的目的是介绍如何在vue+cesium中设置飞行定位功能,如果你知道位置的经纬度和高度,你可以使用相机的 flyTo 函数直接飞到 CesiumJS 中的那个位置。 直接复制下面的 vue+cesium源代码,操作2分钟即可运行实现效果. 示例效果

    2024年02月08日
    浏览(36)
  • 如何测试一个网站的吞吐量?具体步骤是怎样的?

    要测试一个网站的吞吐量,可以按照以下步骤:     确定测试工具:选择一个合适的测试工具来模拟用户访问网站。常见的测试工具包括 Apache JMeter、LoadRunner、Gatling 等。     确定测试场景:根据网站的特点,设计不同的测试场景,模拟用户访问网站的不同行为,例如访问主

    2024年02月16日
    浏览(48)
  • 托福口语考察内容和形式

    首先我们来简单介绍一下托福口语考试的构成和task1的任务形式。 TOEFL Speaking Test Format Independent Task 1 Task 1 Test Format Task 1 Testing Interface(考试界面)​ Task 1 Question Type 1.  Choice Question 2. Agree/Disagree Integrated Task Task 2 Testing Interface(考试界面)​ Task 3/4 学术场景 ​ Task

    2024年02月04日
    浏览(52)
  • Linux的软链接具体如何使用?具体步骤是怎样的?

    使用Linux的软链接非常简单,以下是具体步骤: 打开终端或命令行界面。 导航到你希望创建软链接的目录。你可以使用 cd 命令来切换目录。 运行以下命令创建软链接: 将 目标文件或目录 替换为你想要链接到的文件或目录的路径,将 链接文件名 替换为你希望创建的软链接

    2024年02月15日
    浏览(48)
  • Linux具体命令(三)

    命令 ip a a 10.0.0.1/24 dev eth1 是在 Linux 系统中使用 ip 命令来配置一个静态 IP 地址到一个特定的网络接口。这个命令的各个部分解释如下: ip :这是用于管理 IPv4 和 IPv6 网络配置的命令行工具。 a :这是 address 的简写,表示添加(address)操作。 a :这是 add 的简写,表示添加(

    2024年01月24日
    浏览(38)
  • Linux中磁盘分区的具体步骤

    磁盘分区是在Linux操作系统中重要的任务之一,通过分区可以让我们更好地管理磁盘空间,并更好地使用磁盘来存储数据和程序。在这篇博客里,我将向大家介绍如何在Linux中进行磁盘分区的实战步骤。 步骤一:打开终端 首先,我们需要打开终端,在终端中输入命令可以让我

    2024年02月16日
    浏览(35)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包