当前位置： >
闲话Linux系统安全(一)DD自主访问控制(DAC)
时间： 08:00 来源：我要学电脑 作者：永强 阅读：次
我们口中的操作，一般指的是：一个操作核心+各种扩展应用程序。但从专业的角度来讲，操作系统就是那个核心(通常称之为内核)，就是将底层硬件进行抽象和虚拟化，并向使用者提供各种功能接口的软件程序。这是一种非常特殊的软件程序，它的特殊之处就在于：操作系统是使用者运行其他应用程序的底层软件基础，也是硬件功能被集中管理和调用的统一接口。它向上层隐藏了硬件结构的丑陋和不易操作，使得使用者在使用计算机时变得更加简单;向下层屏蔽了底层硬件无法理解的使用者发出的复杂指令，将其翻译成二进制序列，使得硬件可以更加快捷的予以执行。内核，从它诞生的那天开始，变表现出极强的生命力，源自于UNIX的很多的哲学思想被沿用在中。一切皆文件!多么简单但却又复杂的一句话。说它简单，是因为对于用户来讲，每一个系统的资源，包括各种硬件(磁盘、内存、网络等)和软件都是以一种可甚至是可编辑可修改的文件的方式来展现，用户不必再去思考底层的技术了;说它复杂，是因为这种抽象和虚拟是在大量的驱动程序和数以百计的接口函数的支撑下得以完成的。在这样的一套系统中，使用者可以用自己掌握的自然语言向计算机发号施令，而计算机也会非常忠诚地予以执行，无论成功与否。这种简化给使用者带来了极大的便利，但也同时会给计算机带来很多的问题。比如说：谁能在什么时间对什么文件进行什么操作?结果如何，成功还是失败?如果成功会有怎样的影响?如果失败，是否会予以记录?&&等等。秘笈第一式&&(DAC)要知道，在操作系统出现之初，是没有用户的概念的，那个时候每个使用者都会在获得计算机使用权时，将自己所携带的键盘及显示器等设备连接到计算机所提供的某个接口上，这些设备被统一的称为&终端设备&。只要使用者将这些设备接入，即可使用计算机的各种资源。而且计算机的资源是公共的，不属于任何人的。一开始，资源充足，大家相安无事;但是随着使用者数量的增加，资源却没有本质的变化，从而必然会导致资源危机。这个时候，就会出现资源竞争的问题了。每个人都企图占用更多的CPU计算时间，占用更多的内存空间，设置后来磁盘存储介质发明之后，这样的外部存储空间也成为竞争极为激烈的一种资源。甚至到了后来，这种竞争变得极其的残酷。那么，会不会有某些使用者在不经其他使用者同意的情况下，将其他使用者的数据修改或删除，或者将其他使用者正在运行的程序强行终止呢?因为通过这种方式可以很直接的获取到很多的可用资源。而在整个过程中，操作者是这个操作的主体，即使其操作不当也不会有任何的惩罚，全靠其自身的道德规范来约束，但有时这种约束显得螳臂挡车，毫无力度可言。操作系统的开发和维护人员很显然想到了这个问题，所以，为了防止这样的恶性事件的发生，他们在操作系统中给每个用户定义了一个身份，只有使用以这个身份来接受系统的认证，已确定使用者的合法性。在文件系统出现之后，定义了使用者所对应的用户身份对于各种资源的访问权限，只有满足权限要求才能继续使用计算机的资源。于是这样一来，用户能否完成某个操作，不取决于使用者本身是怎么样的社会角色，而是使用者在计算机中的身份映射&&用户，能不能完成对资源的访问以及后续的如删除、修改等操作。后来我们把这种资源管理的机制称为访问(DAC，Discretionary Access Control)。那么，什么是DAC呢?DAC主要的内容包括以下几个概念：主体、客体、权限(rwx)、所有权(ugo)。在这个模型中，主体是用户的身份，客体是资源或者说是文件(切记：一切皆文件)。由客体的属主对自己的客体进行管理，由主体自己决定是否将自己的客体访问权限或部分访问权限授予其他主体，这种控制方式是自主的。也就是说，在自主访问控制下，用户可以按自己的意愿，有选择地与其他用户共享他的文件。DAC是一种相对比较宽松但是却很有效的保护资源不被非法访问和使用的手段。说它宽松，是因为他是自主控制的，在保护资源的时候是以个人意志为转移的;说它有效，是因为可以明确的显式的指出主体在访问或使用某个客体时究竟是以何种权限来实施的，任何超越规定权限的访问行为都会被访问控制列表判定后而被阻止。接下来我们来看看DAC到底是怎么工作的。但是，我们需要了解一个前提，我们需要知道这样的一个问题：在访问客体资源的时候，并不是使用者进入到计算机中，以主体的身份来完成这样的访问工作。每当我们需要使用计算机系统资源的时候，我们都需要去打开一个应用程序，在操作系统中，我们可以把这样的已经被启动并加载至内存中的应用程序称为进程。但是，不管是应用程序还是要访问的文件资源，都是存储在外部存储设备中的数据，想要定位和查找他们，就必须依靠文件系统才能实现。这个时候，文件系统所规定的权限就会生效了。因此，，我们所定义的DAC系统有两个至关重要的标准：1.文件的所有权：系统中的每个文件(一些特殊文件可能没有，如块设备文件等)都有所有者。在DAC系统中，文件的所有者是创建这个文件的计算机的使用者(或事件，或另一个文件)。那么此文件的自主访问控制权限由它的创建者来决定如何设置和分配;2.访问权限：文件的所有者拥有访问权限，并且可以将访问权限分配给自己及其他用户。上述两个标准说明：1.文件的所有权的优先级高于访问权限1)文件的所有者即便没有任何权限，也可以在为自己分配权限之后获得访问文件的能力。2)非文件的所有者即便已经获得了访问权限，也可能会被所有者随时收回，从而导致无权访问该文件。2.权限是文件访问的关键1)无论是不是文件的所有者，关系到使用者能否访问文件的最直接的因素是其所对应的用户是否获得了可访问该文件的权限2)使用者被分配的何种权限，就只能以该权限所规定的操作来访问文件，无法越权。那么所有权和权限是如何规定和标识的呢?在Linux所支持的默认的文件系统(早期的是ext系列，后来是xfs)中，所有权被分成三类，即：文件的拥有者，文件的所属组，其他人1.文件的拥有者：也称为属主，标记为u，默认情况下，创建文件的用户就是其属主;2.文件的所属组：也称为属组，标记为g，除了属主之外，还可以被哪些用户共同拥有。由于这样的用户可能不止一个，所以不方便用某个用户名来标识，因此以组的方式来标识。3.其他人：标记为o，除了文件的属主和属组之外的其他所有使用者的统称。在在Linux所支持的默认的文件系统(早期的是ext系列，后来是xfs)中，权限被分成三种，即：读权限，写权限，执行权限1.读权限：1)对于目录来说，拥有读权限的用户可以浏览该目录中的文件名;如果同时拥有执行权限，则该用户可以查看目录的元数据，目录中的文件名及这些文件的元数据信息。2)对于非目录文件来说，拥有读权限的用户在对存放该文件的目录有读权限和执行权限的前提下可以查看该文件的内容。2.写权限：1)对于目录来说，拥有写权限的用户必须要同时拥有执行权限，才可以在该目录中新建、修改和删除文件名2)对于非目录文件来说，拥有写权限的用户在对存放该文件的目录有读权限和执行权限的前提下可以在该文件的末尾追加内容;如果想要修改和删除该文件内容，必须同时拥有读权限3.执行权限：1)对于目录来说，执行权限是最最基本的权限了。拥有执行权限的用户可以在路径表示中引用此目录，并且如果该用户同时拥有读权限，便可以进入到此目录中，可以查看目录的元数据。2)对于非目录的文件来说，拥有执行权限的用户可以将此文件当作命令来执行，也就是说可以把这个文件直接载入内存，让其运行起来成为进程或者通过其他的解释工具将他里面保存的命令、语句解释出来并执行。在ext系列和xfs文件系统中，对于非目录文件的执行权限限制还是非常大的。除非用户明确为之分配，否则系统绝不会为这些非目录文件添加执行权限的。请看下面的例子：[root@localhost~]#mkdir/test[root@localhost~]#chmod744/test[root@localhost~]#echo&Iamroot&&/test/a.txt以root用户的身份在根目录下创建名为test的目录，将其权限设置为744，并在目录中创建名为a.txt的空文件，查看其权限如下：[root@localhost~]#ls-ld/testdrwxr--r--2rootroot18Jun1517:14/test[root@localhost~]#ls-l/testtotal0-rw-r--r--1rootroot0Jun1516:53a.txt下面换用一个非root组的普通用户zhao来进行测试(注意/test目录的其他人位置没有执行权限)：[zhao@localhost~]$ls/testls:cannotaccess/test/a.txt:Permissiondenieda.txt[zhao@localhost~]$stat/testFile:&/test&Size:18Blocks:0IOBlock:4096directoryDevice:802h/2050dInode:550Links:2Access:(0744/drwxr--r--)Uid:(0/root)Gid:(0/root)Access:6:23:04.00Modify:6:23:17.00Change:6:23:17.00Birth:-[zhao@localhost~]$ls/test/a.txtls:cannotaccess/test/a.txt:Permissiondenied[zhao@localhost~]$stat/test/a.txtstat:cannotstat&/test/a.txt&:Permissiondenied[zhao@localhost~]$ls-l/testls:cannotaccess/test/a.txt:Permissiondeniedtotal0???????????????a.txt之所以会有这样的结果，完全和/test目录上对其他人没有执行权限有关。如果加上执行权限，其结果为：[root@localhost~]#chmod745/test[root@localhost~]#su-zhaoLastlogin:WedJunCST2016onpts/0[zhao@localhost~]$ls/testa.txt[zhao@localhost~]$ls-l/testtotal0-rw-r--r--1rootroot0Jun1516:53a.txt[zhao@localhost~]$stat/testFile:&/test&Size:18Blocks:0IOBlock:4096directoryDevice:802h/2050dInode:550Links:2Access:(0745/drwxr--r-x)Uid:(0/root)Gid:(0/root)Access:6:23:04.00Modify:6:23:17.00Change:6:24:16.00Birth:-[zhao@localhost~]$stat/test/a.txtFile:&/test/a.txt&Size:0Blocks:0IOBlock:4096regularemptyfileDevice:802h/2050dInode:34455Links:1Access:(0644/-rw-r--r--)Uid:(0/root)Gid:(0/root)Access:6:23:17.00Modify:6:23:17.00Change:6:23:17.00Birth:-这样设置以后，就不会再有错误报告了。同样的，我们再来一组实验：[root@localhost~]#chmod752/test[root@localhost~]#su-zhaoLastlogin:SatJul216:24:18CST2016onpts/0[zhao@localhost~]$&/test/zhao.txt-bash:/test/zhao.txt:Permissiondenied按照大家的理解，只有有写权限就能创建文件的，但是事实确是这样的。原因很简单，/test目录上对其他人没有执行权限，因此/test目录的文件名就不能被zhao用户在使用路径时引用。即使有写权限，又能怎样![root@localhost~]#chmod753/test[root@localhost~]#su-zhaoLastlogin:SatJul216:31:02CST2016onpts/0[zhao@localhost~]$&/test/zhao.txt在其他人的权限位上增加了执行权限之后，结果成功了，原因如上。我们继续实验：[zhao@localhost~]$ls/testls:cannotopendirectory/test:Permissiondenied[zhao@localhost~]$stat/testFile:&/test&Size:33Blocks:0IOBlock:4096directoryDevice:802h/2050dInode:550Links:2Access:(0753/drwxr-x-wx)Uid:(0/root)Gid:(0/root)Access:6:23:04.00Modify:6:32:24.00Change:6:32:24.00Birth:-有趣的事情来了，我们无法看到/test目录中的内容，但是却能看到它的元数据哦。下面还有其他有趣的事情：[zhao@localhost~]$ls/testls:cannotopendirectory/test:Permissiondenied[zhao@localhost~]$ls-l/testls:cannotopendirectory/test:Permissiondenied[zhao@localhost~]$echozhao&/test/zhao.txt[zhao@localhost~]$cat/test/zhao.txtzhao[zhao@localhost~]$ls-l/test/zhao.txt-rw-r--r--1zhaozhao5Jul216:34/test/zhao.txt[zhao@localhost~]$stat/test/zhao.txtFile:&/test/zhao.txt&Size:5Blocks:8IOBlock:4096regularfileDevice:802h/2050dInode:11282Links:1Access:(0644/-rw-r--r--)Uid:(1000/zhao)Gid:(1000/zhao)Access:6:32:24.00Modify:6:34:42.00Change:6:34:42.00Birth:-对目录没有读权限，所以无法看到其中的文件名;但是可以看到其中zhao用户自己创建的文件的中写入数据，并且能够查看其内容及元数据。相信看了这些例子以后，大家应该可以明白一点这些权限的在文件系统中的作用了。那我们接下来继续。[root@localhost~]#chmod756/test[root@localhost~]#ls-ld/testdrwxr-xrw-2rootroot33Jul216:32/test[root@localhost~]#su-zhaoLastlogin:SatJul216:32:22CST2016onpts/0[zhao@localhost~]$cd/test-bash:cd:/test:Permissiondenied[zhao@localhost~]$ls-l/testls:cannotaccess/test/a.txt:Permissiondeniedls:cannotaccess/test/zhao.txt:Permissiondeniedtotal0???????????????a.txt???????????????zhao.txt[zhao@localhost~]$rm-f/test/zhao.txtrm:cannotremove&/test/zhao.txt&:Permissiondenied[zhao@localhost~]$&/test/zhao2.txt-bash:/test/zhao2.txt:Permissiondenied
(责任编辑：admin)向日葵远程控制，我远程控制我家电脑时，提示我无权使用鼠标权限，请问这是怎么回事，需要怎么做？怎么样_百度知道系统提示无权安装软件怎么办？_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
系统提示无权安装软件怎么办？
上传于||暂无简介
阅读已结束，如果下载本文需要使用1下载券
想免费下载本文？
定制HR最喜欢的简历
你可能喜欢支付宝页面提示：抱歉，您无权使用该功能，怎么办？ - 工具软件教程
& 正文『 更新时间: 16:28:09 』
支付宝页面提示：抱歉，您无权使用该功能，怎么办？
支付宝页面提示：抱歉，您无权使用该功能，怎么办？
&　　解决方案：
　　数字证书用户，请确认操作电脑已安装数字证书：点此进入查看，若页面显示红色小字“本机正在使用中”，请刷新页面，返回重新操作;
若提示“您是数字证书用户，但本机尚未安装证书”，请点击【安装数字证书】后重新操作; 若原证书已过期，点击【更新证书】，成功之后重新操作
IE浏览器，请删除临时文件：打开IE浏览器，点击【工具】―【Internet选项】，在临时文件栏中点击【删除cookies-删除文件】―【确认】
　　3) 支付盾或工商银行U盾用户，请确认操作电脑已插上并检测可正常使用情况下，再进行操作
　　4) 关闭浏览器，重新操作;或更换浏览器
上一篇：下一篇：
支付宝页面提示：抱歉，您无权使用该功能，怎么办？ 相关内容:
查看更多>>
工具软件教程姐妹分类
工具软件教程热门排行