Unix中利用粘着位防止文件被恶意删除

企业有时候出于项目的需要,会临时组成一个项目小组来完成某个特定的项目.此时项目小组要求各个项目小组成员多某个目录具有读写的权限,可以往这个目录中建立文件,可以阅读他人创建的文件.但是有一个限制,即不能够删除他人建立的文件.如下图所示,现在系统工程师为某个项目专门建立了一个item的目录.在这个目录下有两个文件,分别为urr001与tgt001,分别是用户SA01与用户SA02创建的.现在企业的要求是,无论是用户SA01还是用户SA02,都可以在这个目录中创建文件;SA01也可阅读文件tgt001(所有权是SA02)的文件;但是SA01不能够删除文件tgt001.

也许有系统工程师会对这个需求感到怀疑,这可以实现吗?答案是肯定的.通过Unix操作系统提供的粘着位功能,就可以轻松实现这个功能.

　　一、粘着位与文件的关系.

　　粘着位,又称保存文本位,其实就是一个权限控制属性.通常情况下,粘着位即可以用在普通文件上,也可以用在目录文件上.当用在普通文件上时,粘着位可以把某个程序文件的SUID置位.并且它的文本映像将永久保存在交换区里.如此的话,当程序获得了CPU使用权时,就可以快速的装载到内存中.故粘着位可以提高系统程序的运行效率.如有些版本的Unix系统,就把vi等常用的程序文件的粘着位设置为1,就明显提高了这些应用程序的运行效率.不过现在很少用到这个特性.现在磁盘读写速度已经达到极致;内存的价格也便宜.也就是说,现在磁盘速度与内存往往已经不是系统的瓶颈资源,故为普通文件设置粘着位已经没有特殊的必要了.为此笔者现在在系统设置中,基本上不会为普通文件设置粘着位.

　　那么粘着位不是无用武之地了吗?其实不然.虽然在普通文件上设置粘着位没有实际的应用价值,但是在目录文件上设置粘着位还是很有用的.如文章一开头笔者所阐述的内容,就需要通过粘着位来实现.简单的说,当粘着位与目录文件结合时,能够实现一些让人想都想不到的安全措施.

　　二、粘着位在/var/tmp目录中的应用.

　　当粘着位应用在目录文件上时,它便成为了一个有用的安全措施.其实在Unix系统中,就有一个很好的案例可以帮助我们来了解粘着位与目录文件结合的作用.如/var/tmp目录,只要用来存储用户或者应用程序的临时文件.通常情况下,这个目录允许所有的用户创建文件,但是任何用户不能够删除其他用户建立的文件.很多系统管理员刚接触Unix系统的时候,会对这个功能感到疑惑.笔者在对学员进行培训时,也往往把这个内容放在后面进行介绍,免得搞得学员头昏脑涨.其实这就是粘着位在起作用.为了说明白粘着位到底在其中扮演者什么角色,我们可以利用命令ls -ld /var/tmp/ 来看一下这个目录的权限信息.

　　drwxrwxrwt 3 root root 4096 Apr 3 13:39 /var/tmp/

　　看到这个结果,大家是否会感到奇怪.“drwxrwxrwt”这个表示某个目录文件的权限信息.其中第一个字符d表示这是一个目录文件,第二个到底四个字符rwx表示目录的所有者对这个目录具有读写执行的权限,即完全控制权限;第五个字符到第七个字符rwx表示组成员对这个目录具有读写执行的权限;第八个字符到第七个字符是用来表示其他用户对这个目录文件的权限,原来也应该是rwx或者rw-的.但是这里一个字符却变为了t.其实这个t就是粘着位.上面这个文件的权限信息,就是表示任何用户对这个目录都具有写入的权限(即可以创建文件).但是多了一个粘着位,则某个用户就不能够删除其他用户创建的文件(即用户只能够删除所有权为自己创建的文件).

可见利用粘着位能够防止其他用户对文件进行恶意删除.这个功能在实际工作中非常有用.如文章开头所阐述的,现在企业需要开发一个新项目而从各个部门抽调人员组成一个新的项目小组.现在企业希望各个项目小组成员都能够往一个为项目建立的文件夹中建立文件,但是不能够

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!