ใน Unix นานมาแล้วฉันเรียนรู้เกี่ยวกับchmod: วิธีดั้งเดิมในการตั้งค่าการอนุญาตบน Unix (และเพื่อให้โปรแกรมได้รับสิทธิพิเศษโดยใช้ setuid, setgid)

ฉันเพิ่งค้นพบคำสั่งใหม่บางอย่างบน GNU / Linux:

• setfaclขยายแบบดั้งเดิมugo:rwxบิตและบิตของtchmod
• setcapช่วยให้การควบคุมครีบเมล็ดมากกว่าบิตug:schmod
• chattr อนุญาตให้ใช้การควบคุมอื่น ๆ (รวมกันเล็กน้อย) ของไฟล์

มีคนอื่นอีกไหม?

chmod: เปลี่ยนบิตโหมดไฟล์

การใช้งาน (โหมดฐานแปด):

    chmod <octal-mode> files...

การใช้งาน (โหมดสัญลักษณ์):

    chmod <references><operator><modes> files..

referencesเป็นการรวมกันของตัวอักษรugoaซึ่งระบุการเข้าถึงของผู้ใช้ที่filesจะแก้ไข:

• u ผู้ใช้ที่เป็นเจ้าของ
• gผู้ใช้รายอื่นในfileกลุ่ม
• o ผู้ใช้รายอื่นไม่อยู่ในกลุ่มไฟล์

• a ผู้ใช้ทั้งหมด

  หากไม่ได้ระบุไว้จะมีการกำหนดค่าเริ่มต้นให้กับผู้ใช้ทุกคน แต่จะอนุญาตเฉพาะการอนุญาตที่ได้รับการumaskแก้ไขเท่านั้น

  operatorเป็นหนึ่งในตัวละคร+-=:

  • + เพิ่มบิตโหมดไฟล์ที่ระบุให้กับบิตโหมดไฟล์ที่มีอยู่ของแต่ละบิต file
  • - ลบบิตโหมดไฟล์ที่ระบุไปยังบิตโหมดไฟล์ที่มีอยู่ของแต่ละบิต file
  • =เพิ่มบิตที่ระบุและลบบิตที่ไม่ระบุยกเว้นsetuidและsetgidบิตที่ตั้งค่าสำหรับไดเรกทอรียกเว้นที่ระบุไว้อย่างชัดเจน

  modeประกอบด้วยการรวมกันของตัวอักษรrwxXstซึ่งระบุบิตสิทธิ์ที่จะแก้ไข:

  • r อ่าน
  • w เขียน
  • x ดำเนินการ (หรือค้นหาไดเรกทอรี)
  • X ดำเนินการ / ค้นหาเฉพาะในกรณีที่ไฟล์เป็นไดเรกทอรีหรือมีชุดรันบิตสำหรับผู้ใช้บางส่วนแล้ว
  • ssetuid หรือ setgid (ขึ้นอยู่กับที่ระบุreferences)
  • t การตั้งค่าสถานะการลบที่ จำกัด หรือบิตเหนียว

  อีกวิธีหนึ่งmodeสามารถประกอบด้วยหนึ่งในตัวอักษรugoซึ่งในกรณีนี้โหมดจะสอดคล้องกับการอนุญาตที่ให้แก่เจ้าของ ( u), สมาชิกของfileกลุ่ม ( g) หรือการอนุญาตของผู้ใช้ในหมวดหมู่ก่อนหน้านี้ ( o)

บิตต่าง ๆ ของการchmodอธิบาย:

• การควบคุมการเข้าถึง (ดูเพิ่มเติมที่setfacl)
  • rwx - อ่าน (r) เขียน (w) และดำเนินการ / ข้าม (x) สิทธิ์
    • อ่าน (r) ส่งผลกระทบหากไฟล์สามารถอ่านได้หรือหากไดเร็กทอรีสามารถแสดงได้
    • เขียน (w) ส่งผลกระทบหากไฟล์สามารถเขียนหรือหากไดเรกทอรีสามารถแก้ไขได้ (เพิ่มไฟล์ลบเปลี่ยนชื่อ)
    • Execute (x) จะส่งผลกระทบหากไฟล์สามารถเรียกใช้ใช้สำหรับสคริปต์ (ดู#!) และไฟล์ปฏิบัติการอื่น ๆ
    • กากบาท (x) ส่งผลกระทบหากสามารถสำรวจไดเรกทอรีได้
  • sและt- บิตเหนียว (t) และ setgid (s) ในไดเรกทอรี
    • Sticky บิตมีผลกับไดเรกทอรีเท่านั้น จะป้องกันไม่ให้ใครยกเว้นเจ้าของไฟล์และรูทจากการลบไฟล์ในไดเรกทอรี
    • setgid บิตในไดเรกทอรีจะทำให้ไฟล์และไดเรกทอรีใหม่ให้กลุ่มตั้งกลุ่มเดียวกันและไดเรกทอรีใหม่ให้มี setgid bit set (ดูค่าเริ่มต้นใน setfacl ด้วย)
  • s - setuid, setgid, ไฟล์ปฏิบัติการ
    • สิ่งนี้อาจส่งผลต่อความปลอดภัยในทางที่ผิดถ้าคุณไม่รู้ว่าคุณกำลังทำอะไรอยู่
    • เมื่อเรียกใช้ไฟล์ปฏิบัติการหากมีการตั้งค่าบิตใดบิตหนึ่งจากนั้นผู้ใช้ / กลุ่มที่มีประสิทธิภาพของไฟล์ที่เรียกทำงานได้จะกลายเป็นไฟล์ดังกล่าว ดังนั้นโปรแกรมจะทำงานแบบผู้ใช้นั้น ดูsetcapวิธีการที่ทันสมัยกว่านี้

chown chgrp:

chattr: เปลี่ยนแอตทริบิวต์ของไฟล์

การใช้งาน:

    chattr <operator><attribute> files...

operatorเป็นหนึ่งในตัวละคร+-=: * +เพิ่มคุณลักษณะเลือกเพื่อให้สามารถที่มีอยู่attributesของfiles * -ลบที่เลือกattributes * เขียนทับชุดปัจจุบันของคุณลักษณะไฟล์ที่มีกับที่ระบุไว้=attributes

attributeเป็นการรวมกันของตัวอักษรacdeijstuADSTซึ่งสอดคล้องกับคุณลักษณะ:

• a ผนวกเท่านั้น
• c การบีบอัด
• d ไม่มีการถ่ายโอนข้อมูล
• e รูปแบบขอบเขต
• i ไม่เปลี่ยนรูป
• j การบันทึกข้อมูล
• s การลบที่ปลอดภัย
• t ไม่มีการรวมหาง
• u undeletable
• Aไม่มีatimeการอัพเดต
• D อัพเดตไดเร็กทอรีซิงโครนัส
• S การอัพเดตแบบซิงโครนัส
• T ลำดับชั้นของไดเรกทอรี

setfattr: เปลี่ยนแอตทริบิวต์ไฟล์เพิ่มเติม

การใช้งาน (set attribute):

    setfattr -n <name> -v <value> files...

การใช้งาน (ลบ):

    setfattr -x <name> files...

name เป็นชื่อของคุณสมบัติเพิ่มเติมที่จะตั้งค่าหรือลบ

value เป็นค่าใหม่ของแอตทริบิวต์ที่ขยาย

setfacl: เปลี่ยนรายการควบคุมการเข้าถึงไฟล์

การใช้งาน:

    setfacl <option> [default:][<target>:][<param>][:<perms>] files...

option ต้องมีหนึ่งในสิ่งต่อไปนี้:

• --set ตั้งค่า ACL ของไฟล์หรือไดเรกทอรีแทนที่ ACL ก่อนหน้า
• -m| --modifyแก้ไข ACL ของไฟล์หรือไดเรกทอรี

• -x| --remove ลบรายการ ACL ของไฟล์หรือไดเรกทอรี

  targetเป็นหนึ่งในตัวอักษรugmo(หรือแบบฟอร์มที่แสดงด้านล่าง):

• u, usersได้รับอนุญาตจากผู้ใช้ชื่อระบุparamค่าเริ่มต้นให้กับเจ้าของไฟล์uidหากละเว้น

• g, การgroupอนุญาตของกลุ่มที่มีชื่อซึ่งระบุโดยparamค่าเริ่มต้นให้เป็นเจ้าของกลุ่มuidหากไม่ระบุ
• m, maskสิทธิที่มีประสิทธิภาพหน้ากาก

• o, otherสิทธิ์ของผู้อื่น

  permsเป็นการรวมกันของตัวอักษรrwxXซึ่งสอดคล้องกับการอนุญาต:

• r อ่าน

• w เขียน
• x ปฏิบัติ

• X ดำเนินการเฉพาะในกรณีที่ไฟล์เป็นไดเรกทอรีหรือมีสิทธิ์ดำเนินการสำหรับผู้ใช้บางคนแล้ว

  หรือpermsอาจเป็นตัวเลขฐานแปด ( 0- 7) เพื่อระบุชุดการอนุญาต

setcap: เปลี่ยนความสามารถของไฟล์

การใช้งาน:

    setcap <capability-clause> file 

capability-clauseประกอบด้วยรายการคั่นด้วยเครื่องหมายจุลภาคของความสามารถในการชื่อตามด้วยรายการของคู่ประกอบการธง

ผู้ประกอบการที่มีอยู่=, และ+ -ธงที่มีอยู่e, iและpซึ่งสอดคล้องกับที่มีประสิทธิภาพ , ที่สืบทอดและได้รับอนุญาตชุดความสามารถ

=ผู้ประกอบการจะยกชุดความสามารถในการระบุและการตั้งค่าอื่น ๆ หากไม่มีการตั้งค่าสถานะร่วมกับ=ผู้ปฏิบัติงานชุดความสามารถทั้งหมดจะถูกรีเซ็ต +และ-ผู้ประกอบการจะเพิ่มหรือลดการอย่างใดอย่างหนึ่งหรือระบุเพิ่มเติมชุดความสามารถตามลำดับ

chcon: เปลี่ยนไฟล์บริบทความปลอดภัยของ SELinux

การใช้งาน:

    chcon [-u <user>] [-r <role>] [-t <type>] files...

ผู้ใช้นั้นใช้ SELinux เช่นuser_u, หรือsystem_uroot

roleคือบทบาท SELinux ( object_rสำหรับไฟล์เสมอ)

typeเป็นประเภทหัวเรื่องของ SELinux

chsmack: เปลี่ยนแอตทริบิวต์เพิ่มเติมของSMACK

การใช้งาน:

    chsmack -a <value> file

valueเป็นเลเบล SMACK ที่จะตั้งค่าสำหรับSMACK64แอ็ตทริบิวต์ไฟล์ส่วนขยาย

setrichacl : เปลี่ยนรายการควบคุมการเข้าถึงที่หลากหลาย

richacl s เป็นคุณสมบัติที่จะเพิ่ม ACL ขั้นสูงเพิ่มเติม

ขณะนี้อยู่ระหว่างดำเนินการดังนั้นฉันจึงไม่สามารถบอกคุณเกี่ยวกับพวกเขาได้มากนัก ฉันไม่ได้ใช้พวกเขา

ดูเพิ่มเติมที่คำถามนี้มี ACL ระบบไฟล์ขั้นสูงมากกว่า 'rwx' และ POSIX ACL ดั้งเดิมหรือไม่ และหน้าคน

จากระดับสูง:

• สิทธิ์ระบบไฟล์พื้นฐานสนับสนุนโดยlinux ทั้งหมดและระบบไฟล์ทั้งหมดที่-rwxrwxrwxจัดการโดยchmodพร้อมกับตัวระบุเจ้าของและกลุ่มที่เชื่อมโยงกับทุกไฟล์หรือโฟลเดอร์บนระบบไฟล์ที่จัดการโดยchownและchgrp; โดยทั่วไปทุกคนรู้ชิ้นนี้
• แอตทริบิวต์แฟ้มขยายซึ่งเป็นตัวย่อหรือที่รู้จักกันโดยxattr เป็นคุณลักษณะของระบบไฟล์ที่ช่วยให้ผู้ใช้สามารถเชื่อมโยงไฟล์คอมพิวเตอร์กับเมตาดาต้าที่ไม่ได้ตีความโดยระบบไฟล์ในขณะที่คุณลักษณะปกติมีจุดประสงค์ที่ระบบไฟล์กำหนดอย่างเคร่งครัด แอ็ตทริบิวต์คือชื่อ: คู่ของค่าที่สัมพันธ์กับไฟล์และไดเรกทอรีอย่างถาวรคล้ายกับสตริงสภาพแวดล้อมที่เกี่ยวข้องกับกระบวนการ มีคำสั่ง linux เฉพาะที่เกี่ยวข้องกับการตั้งค่าข้อมูลเมตานี้เป็นไฟล์ / โฟลเดอร์ต่างๆ
• SELINUXที่รู้จักกันในลินุกซ์ที่เชื่อถือได้ คุณสามารถค้นหาประวัติทางเว็บได้ ยังรู้อีกว่ามีทางเลือกอื่นสำหรับ SELINUX เช่น AppArmor และอาจมีคนอื่น ๆ ณ จุดนี้สิ่งเหล่านี้เป็นโมดูลเคอร์เนลที่ให้การทำงานและกลไกสำหรับการทำ MAC (การควบคุมการเข้าถึงบังคับ) โดยใช้ xattr; selinux ป้ายความปลอดภัยร้านค้าแฟ้มใน xattrs และมีคำสั่งที่เกี่ยวข้องกับ selinux เฉพาะ

ประเด็นสำคัญอื่น ๆ :

• ยุคและรุ่นของgnu / linuxเกี่ยวข้องกับ xattr และ selinux สำหรับสิ่งที่มีให้และสิ่งที่ใช้งานได้
• มีรายงานว่าระบบไฟล์ทั้งหมดไม่สนับสนุน xattr ซ้ายสุดไปหางานวิจัยเดี่ยวโดยอิงจากการแจกจ่ายและเวอร์ชั่นของลินุกซ์ที่ใช้ (rhel / suse / debian, irix, solaris, aix, unix จากทศวรรษ 1960)
• เป็นเพียงสิทธิ์พื้นฐานของไฟล์ / โฟลเดอร์โดยธรรมชาติกับ uid's / gid's plus xattr's ที่ทำให้ทุกอย่างเป็นไปได้ SELinux ใช้ xattr ในการจัดเก็บป้ายความปลอดภัยของไฟล์ / โฟลเดอร์ ... ด้วย selinux ทั้งหมด legwork ระดับต่ำนั้นค่อนข้างจะทำ / กำหนดไว้ใน xattr เพื่อให้คุณสามารถใช้ประโยชน์ได้ ดังนั้นหากระบบไฟล์โบราณของคุณไม่รองรับ xattr คุณจะไม่ใช้ selinux
• คุณสามารถเปิดใช้งานหรือปิดการใช้งาน selinux (หรือ apparmor หรือโมดูลเคอร์เนลอื่น ๆ )
• ขึ้นอยู่กับรุ่นของ linux ที่คุณเปิดใช้งานหรือปิดการใช้งาน xattr สำหรับระบบไฟล์ที่กำหนด ฉันจำได้ใน SLES 11 ตัวเลือกการติดตั้ง fstab user_xattrและฉันสามารถเลือกที่จะไม่ให้ xattr พร้อมใช้งานในระบบไฟล์รูทในเวลาติดตั้ง ฉันคิดว่าตอนนี้กับ RHEL / CentOS 7 ที่ xattr อยู่ที่นั่นโดยค่าเริ่มต้นและคุณไม่สามารถมีได้
• เมื่อทำlsถ้าคุณเห็น-rwxrwxrwx+ว่า+บ่งชี้ว่ามีการขยายคุณลักษณะไฟล์ที่มีอยู่บนวัตถุนั้น
• Access Control List (ACL): เป็นรายการสิทธิ์ที่แนบมากับวัตถุ ACL ระบุว่าผู้ใช้หรือกระบวนการระบบใดที่ได้รับอนุญาตให้เข้าถึงออบเจ็กต์รวมถึงการดำเนินการที่อนุญาตให้ใช้กับออบเจ็กต์ที่กำหนด
• จาก centos wiki selinux: selinux เป็นกลไกความปลอดภัยของ MAC ที่ใช้ในเคอร์เนล ไม่มี SELinux ที่เปิดใช้งานเฉพาะเมธอด discretionary access control (DAC) แบบดั้งเดิมเช่นสิทธิ์การใช้ไฟล์หรือรายการควบคุมการเข้าถึง (ACLs) ใช้เพื่อควบคุมการเข้าถึงไฟล์ของผู้ใช้ ผู้ใช้และโปรแกรมได้รับอนุญาตให้อนุญาตไฟล์ที่ไม่ปลอดภัยแก่ผู้อื่นหรือในทางกลับกันเพื่อเข้าถึงส่วนต่าง ๆ ของระบบที่ไม่จำเป็นสำหรับการดำเนินการตามปกติ โดยพื้นฐานแล้วภายใต้โมเดล DAC แบบดั้งเดิมมีสองระดับสิทธิ์รูทและผู้ใช้และไม่มีวิธีที่ง่ายในการบังคับใช้โมเดลที่มีสิทธิ์น้อยที่สุด กระบวนการจำนวนมากที่เปิดตัวโดยรูทในภายหลังจะปล่อยสิทธิในการรันในฐานะผู้ใช้ที่ถูก จำกัด
• ควรค่าแก่การอ่านเพื่อใช้ xattr's และ ACLs ในมุมมองเพราะ linux [kernel] ปฏิบัติต่อทุกสิ่งในรูปแบบไฟล์ (อุปกรณ์บล็อกหรือพอร์ตเครือข่าย) คุณสามารถติดแท็กเกือบทุกอย่างด้วย xattr และบังคับใช้การควบคุมการเข้าถึงผ่าน selinux ไม่ใช่แค่ไฟล์ / โฟลเดอร์ https://wiki.centos.org/HowTos/SELinux
• xattr สามารถทำให้เกิดปัญหากับการย้ายข้อมูลระหว่างระบบและระบบไฟล์และ NFS ซึ่งเป็นระบบ [ใหม่กว่า] ที่มีการสนับสนุนอย่างเต็มรูปแบบของ xattr เมื่อเทียบกับระบบเก่าซึ่งอาจไม่รู้จักคุณลักษณะเพิ่มเติมเหล่านี้ทั้งหมด ระวังการใช้tarสิ่งที่มี xattr หากมันยังคงอยู่ในระบบนั้นไม่มีปัญหา แต่ถ้ามันไปที่อื่นอาจเป็นปัญหาได้หาก xattr นั้นมีความสำคัญ (เช่น samba และการคัดลอกระหว่าง win10 ntfs และ linux ext3 / 4, btrfs, xfs หรือย้อนกลับ ไปมาระหว่างอุปกรณ์เก็บข้อมูลเครือข่ายที่เชื่อมต่อ)
• หากไม่มี selinux หรือ mechanisam อื่นบังคับใช้ ACL ตามที่นิยามไว้ในxattrs ดังนั้นในxattrทางทฤษฎีแล้วไม่มีความหมายอะไรเลยและถูกทิ้งหรือถอดออกเพราะตอนนั้นมันเป็นเพียงสัมภาระเพิ่ม
• ระวังการปิดใช้งาน selinux ทันทีใน rhel / centos 7 เพราะหากระบบไฟล์วางผ่าน xattr จะหายไปมันจะทำให้เกิดปัญหาเมื่อเปลี่ยน selinux กลับไปบังคับหรืออนุญาต ; อีกครั้งมันขึ้นอยู่กับรุ่นของ linux ของคุณและวิธีการใช้ xattr ผ่าน selinux

แซมบ้าพื้นฐานแบ่งปันไม่ทำงานใน RHEL / CentOS 7 ... เนื่องจาก selinux โดยค่าเริ่มต้นถูกตั้งค่าให้บังคับใช้ selinux ปฏิเสธทุกอย่างจนกว่าคุณจะอนุญาตดังนั้นจึงปิดใช้งาน selinux (ไม่ดี) หรือตั้งค่าให้อนุญาต หากคุณปล่อยให้ selinux บังคับใช้คุณต้องติดป้ายกำกับโฟลเดอร์ที่คุณต้องการแบ่งปัน samba ด้วยแอตทริบิวต์เพิ่มเติมดังนั้น selinux จะรับรู้และอนุญาตการแบ่งปัน ดังนั้นหากคุณปล่อยให้ selinux บังคับใช้ด้วยคำสั่ง selinux ทั้งหมด (ซึ่งจะตั้งค่าxattrs จำเป็น):

# from centos 7.6 /etc/samba/smb.conf.example

# Turn the samba_domain_controller Boolean on to allow a Samba PDC to use the useradd and groupadd family of binaries.
# Run the following command as the root user to turn this Boolean on:

# this is an selinux command, not 
setsebool -P samba_domain_controller on

# If you create a new directory, such as a new top-level directory, label it with      samba_share_t
# so that SELinux allows Samba to read and write to it.
# Do not label system directories, such as /etc/ and /home/ with samba_share_t, as such directories should already have an SELinux label.


# the xattr having the name "samba_share_t" is labelled onto "/mydatashare"
# this xattr of syntax "samba_share_t" is recognized by an existing rule in selinux
# if the folder does not have the xattr "samba_share_t" then the  rule in selinux (when enforced) will prevent access via samba to the folder.

chcon -t samba_share_t /mydatashare

คุณยังใช้ selinux บนระบบ linux ด้วยแซมบ้าแชร์นี้เพื่อบังคับใช้ข้อ จำกัด เกี่ยวกับไฟล์ / โฟลเดอร์ภายใต้แชร์แซมบ้านี้ (โดยใช้แอตทริบิวต์เพิ่มเติมใด ๆ ) เนื่องจากไฟล์ / โฟลเดอร์เหล่านี้ถูกแบ่งปันออกไปผู้ใช้จึงคัดลอกไฟล์ไปยัง win10 pc ของพวกเขาจากนั้นคัดลอกกลับทำให้สูญเสียคุณสมบัติเพิ่มเติม ตอนนี้หลังจากนั้นการคัดลอกไปมาบนระบบ linux นั้น selinux จะ จำกัด การเข้าถึงไฟล์ดังกล่าวเนื่องจาก xattr ที่จำเป็นไม่มีอยู่อีกต่อไปและผู้ใช้ / ผู้ดูแลระบบบางคนก็สงสัยว่าทำไมสิ่งต่าง ๆ ที่ใช้งานได้ในตอนนี้ ... เพื่ออนุญาตและรับรู้ปัญหาของการสูญหายxattrที่ปรากฏขึ้นในบันทึกการตรวจสอบ แต่จะไม่ระบุโดยตรงว่าเป็นผลมาจากการคัดลอกไปมาที่สูญเสีย xattr พิจารณาการสำรองข้อมูลและการคืนค่าและงานที่จำเป็นต้องจำxattrนอกเหนือจาก uid / gid หากคุณต้องการบังคับใช้การรักษาความปลอดภัยตามxattrs ที่ถูกต้อง