Linux 访问控制

资源与所有权

• Users：用户启动进程并拥有文件。
• Files：文件具有所有者，默认为创建该文件的用户，且可供进程使用。
• Processes：进程使用文件进行通信及持久化数据。

访问控制的类型

• Discretionary access control (DAC)：自主访问控制，基于用户的身份来限制访问资源。
• Mandatory access control (MAC)：强制访问控制，基于表示安全级别的层级模型来限制访问资源。用户被分配许可级别，而资源被分配安全标签。用户只能访问等于或低于许可级别的相应资源。管理员严格并单独控制访问及设置所有权限。例子： SELinux 、AppArmor。

类型

• 系统用户：程序使用这些用户来运行后台进程。
• 一般用户：正常的人类，与系统进行交互。

用户 ID (UID)

32 位数字值，Linux 通过 UID 标识用户，用户属于一个或多个组 (GID)。

• 0：
• 1~999：保留给系统使用
• 65534：nobody
• 1000~65533、65536~4294967294：一般用户

本机管理用户

使用简单的基于文件的接口。

• 用户数据库： /etc/passwd

• 组数据库： /etc/group
• 用户密码： /etc/shadow
• 组密码： /etc/gshadow

集中管理用户

• 基于目录： LDAP
• 通过网络：Kerberos
• 使用配置管理系统：Ansible、Chef、SaltStack

文件权限

Linux 访问资源的核心概念。

类型或权限范围

• 用户：文件的所有者。
• 组：有一个或多个成员。
• 其他人：别的人落到这个类别。

访问类型

• 读取 (r)：对于一般文件，允许用户查看文件的内容；对于目录，允许用户查看目录中的文件名称。
• 写入 (w)：对于一般文件，允许用户修改及删除文件；对于目录，允许用户在目录中创建、重命名、删除文件。
• 执行 (x)：对于一般文件，允许用户执行文件(若用户也有读取权限)；对于目录，允许用户访问目录中的文件信息，转到目录 ( cd ) 或列出内容 ( ls )。

进程权限

从进程的视角来看，相关的权限是什么。

• 真实 UID：用户启动进程的 UID，它表示进程的所有权。
• 生效 UID：当访问共享资源时，Linux 内核使用该 UID 来决定进程的权限。
• 保存的 set-user ID：用于 suid 场合，通过在真实 UID 和 set-user-ID 之间切换生效 UID 来获得权限。
• 文件系统 UID：一般而言，跟生效 UID 相同。

能力

• 与 root 关联的传统权限分解成可独立分配给每个线程的不同单元。

  CAP_NET_ADMIN ：允许各种网络相关操作。

  CAP_SYS_ADMIN ：允许系统管理操作。

  CAP_SYS_PTRACE ：允许使用 strace 来调试进程。

• 能力一般仅与系统级任务相关。

• 查看能力： capsh --print。

• 管理能力： getcap 、 setcap。

seccomp 预置

• Secure computing mode11 https://en.wikipedia.org/wiki/Seccomp：安全计算模式，其基本想法是使用专门的系统调用 seccomp 来限制进程可用的系统调用。为 Linux 内核提供沙箱能力。
• 容器场合：Docker、K8s 支持 seccomp。

访问控制列表

• Access control lists (ACL)22 https://en.wikipedia.org/wiki/Access_Control_List：解决传统权限的不足，允许对不在用户组列表的用户或组单独分配权限。