Chinaunix首页 | 论坛 | 博客
  • 博客访问: 435042
  • 博文数量: 122
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 688
  • 用 户 组: 普通用户
  • 注册时间: 2013-09-04 12:30
文章分类

全部博文(122)

文章存档

2017年(5)

2016年(4)

2015年(56)

2014年(41)

2013年(16)

我的朋友

分类: LINUX

2015-02-02 19:08:13

Linux扩展属性可以保护文件免于意外或恶意修改,并且只需要几句简单命令就可以加强服务器安全。
在Unix的初期,可以分配三种权限,包括用户(user)、组(group)和其他(other)。随着Linux逐渐取代和数据安全性得到越来越高重视,Linux扩展属性因此而诞生。
权限与属性最重要的不同在于属性并不依赖于某个用户帐号。因此,可以将文件授权给所有用户,甚至是root。你也可以使用属性来保护文件免于被意外删除或修改。

在ext3和ext4文件系统上,下列内容是Linux安全最常用的属性:

  • 只许增加(a): 允许为某个文件增加内容,但不允许移除现有的任何内容或删除该文件。
  • 不可变更(i):不允许进行删除或任何修改。
  • 安全删除(s):确保文件内容再删除后无法再被恢复。
  • 无法删除(u): 当无法删除该文件时,确保文件的内容可以修改。
    参考链接:

扩展属性(xattrs)提供了一个机制用来将《键/值》对永久地关联到文件,让现有的文件系统得以支持在原始设计中未提供的功能。扩展属性是文件系统不可知论者,应用程序可以通过一个标准的接口来操纵他们,此接口不因文件系统而异。每个扩展属性可以通过唯一的键来区分,键的内容必须是有效的UTF-8,格式为namespace.attribute,每个键采用完全限定的形式。


  需要注意的是这里的值可以是任意字节的数组,未必是字符串,而且最后可能不是null,这样在访问的时候必须知道值的大小。在设置的时候当然也就需要设置值大小。

  一个扩展属性的用处:GUI的文件管理程序的行为根据文件类型而异。要判断文件的格式,Winodws之类的操作系统仅需要查看文件的扩展名就可以了,而Unix系统往往需要查看文件的内容来判断类型。有些文件管理程序会直接产生此信息,有些则会将产生的信息缓存起来以备下次使用。一个更好的做法就是将此类元数据存入扩展属性。
Linux下定义的4种扩展属性命名空间:

  1. system:用于实现利用扩展属性的内核功能,例如访问控制表。eg:system.posix_acl_access便是位于此用户空间的扩展属性,用户是否可以读取或写入这些属性取决于所使用的安全模块。
  2. security:用于实现安全模块。
  3. trusted:把受限制的信息存入用户空间。
  4. user:一般进程所使用的标准命名空间,经过一般文件权限位来控制此命名空间的访问。


下面是一个使用扩展属性的例子:

创建磁盘
# dd if=/dev/zero of=/opt/testptn count=512
# mke2fs xattr_disk

挂载磁盘
# mount -o loop,user_xattr xattr_disk mnt

扩展特性的操作
# touch test.txt
设置扩展特性
# setfattr -n user.abc -v 123 test.txt
显示扩展特性
# getfattr -n user.abc test.txt
# file: test.txt
user.abc="123

注意,在列举出的属性中,没有显示默认的命名空间,所以你必须知道该属性命名空间,参加下面的方法获取全名属性。
列举所有EA属性
getfattr -d -m ".*" test-file


阅读(1860) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~