二、Unix 安全概览

1 用户和用户组

• 用户

• root：超极用户（UID = 0）
• daemon：处理网络。
• nobody：不拥有文件，用作非特权操作的默认用户。

• Web 浏览器可在这个模式下工作。

• 用户需要使用密码登录。加密的密码储存在/etc/shadow。
• 用户信息储存在/etc/passwd，之前（不再）用于储存密码的地方。下面是这个文件的一个条目的示例：

john:x:30000:40000:John Doe:/home/john:/usr/local/bin/tcsh

• 用户组

• 有时候，如果我们把权限授予一组用户，会更加方便，例如，我们打算基于用户组来授予权限。
• 用户拥有基本组（在/etc/passwd中列出），并且它和用户创建的文件相关。
• 任何用户都可以是多个组的成员。
• 组信息储存在/etc/group中。

%  groups uid (display the groups that uid belongs to)

• 对于使用 NIS（网络信息服务，最开始叫做黄页（YP））的系统，我们可以使用命令ypcat来获取组信息：

% ypcat group (can display all the groups and their members)

2 文件权限

• 文件权限

• Unix 中权限位的含义

• 所有者（u）、用户组（g）和其它（o）
• 可读（r）、可写（w）、可执行（x）
• 示例：-rwxrwxrwx（777）

• 目录上的权限

• r：可以列出目录
• w：可以在目录中创建或删除文件或目录
• x：可以进入目录

• 修改权限：chmod
• 完全访问控制列表：getfacl和setfacl。
• 默认文件权限

• 授予新创建的文件的默认文件权限是什么？
• 默认权限储存在umask环境变量中
• umask：你不想要的权限
• 一些系统中的默认值：022

• 它会将新文件的权限设为rw-r--r--.

• 最安全的值：077

• 将新文件的权限设为rw-------。

• 通过执行这个命令检查你自己的设置：

% umask

• 修改umask值。你可以执行下列命令，或者将其放入你的.profile文件中。

% umask 077

3 安全相关的命令

• 切换用户

• 将你的用户 ID 切换为xyz，su意思是“替代用户”。

% /bin/su xyz

• 切换为root。这是获得超级用户访问权的常见方式。一旦你进入了超级用户账户，提示符就会变成静好（#）。

% /bin/su -

• 使用超级用户权限来执行命令。有时，我们只想要使用超级用户权限执行命令。我们不执行su来切换root，而是执行命令，我们可以使用sudo命令。

(view the shadow file as a superuser) 
% sudo more /etc/shadow

• 为了能够只用sudo作为超级用户执行命令，（root）需要向用户授予权限。这通过/etc/sudoers文件完成。

• 变更文件所有者

• chown命令

% chown wedu file

• Q：我能允许用户将文件所有者变更为另一个用户吗？

• 不能，实际上，只有root才可以使用chown，为什么呢？
• 我们会在学习Set-UID之后了解原因。

• 变更文件组

• chgrp命令

% chgrp seed /home/seed/785

• Q：我可以允许用户将文件组变更为另一个组吗？

• 可以/不行。如果你想要变更为组xyz，你必须是xyz组的成员。
• 原因类似于chown命令，（Set-GID）。

• 杂项

% whoami (to print out your current user name) 
% /usr/bin/id (display both uid and gid) 
% man chmod (find the manual for the chmod command)