《Linux操作系统》课程教学课件（PPT讲稿）ch8 文件安全

无法显示该图片。X第8章文件安全FILESECURITY

第8章 文件安全 FILE SECURITY

本章内容描述Linux提供的三种保护和安全机制描述Linux文件用户的类型讨论针对Linux文件的基本操作解释Linux中关于文件访问权限/特权的概念讨论用户如何为文件确定访问特权描述用户如何设置、更改文件的权限1*!L奶介绍“?"”、"chmod”、"ls-}"、"ls-Id”、“umask”等命令和原语8.2

8.2 本章内容 描述Linux提供的三种保护和安全机制 描述Linux文件用户的类型 讨论针对Linux文件的基本操作 解释Linux中关于文件访问权限/特权的概念 讨论用户如何为文件确定访问特权 描述用户如何设置、更改文件的权限 介绍“?”、“~”、“*”、“chmod”、“ls –l”、“ls – ld”、“umask”等命令和原语

IntroductionAtimesharingsystemoffersgreatbenefitsHoweverprotecting the hardware and softwareresources is complicatedWe will focuson protectinguserfilesLinux提供的三种文件保护机制1.使用登录名（loginname）和登录密码（password）2.文件加密3.文件访问特权（Fileaccessprivileges）本章着重介绍第三种方法。8.3

8.3 Introduction A time sharing system offers great benefits However protecting the hardware and software resources is complicated We will focus on protecting user files Linux提供的三种文件保护机制: 1.使用 登录名（login name）和登录密码（password） 2.文件加密 3.文件访问特权（File access privileges） ◼ 本章着重介绍第三种方法

基于密码的保护每个Linux系统的用户需要有一个由系统管理员来分配和passwordusername得到用户密码的三种方法：（1）用户（密码的拥有者）告知其他用户自己的密码；（2）（破解者）猜测用户的密码；（3）用暴力破解的手段来侦测用户密码。8.4

8.4 基于密码的保护 每个Linux系统的用户需要有一个由系统管理员来分配 username 和password 得到用户密码的三种方法: （1）用户（密码的拥有者）告知其他用户自己的密码； （2）（破解者）猜测用户的密码； （3）用暴力破解的手段来侦测用户密码

基于密码的保护（cont)You should never let anyone else know yourpasswordYou should choose a good password:不易被其他人猜测出来的密码；由字母、数字和标点符号组成，难以被猜测并且容易记忆的密码；使用长密码。8.5

8.5 基于密码的保护(cont) You should never let anyone else know your password You should choose a good password: 不易被其他人猜测出来的密码； 由字母、数字和标点符号组成，难以被猜测并且容易 记忆的密码； 使用长密码

基于文件加密的保护用户使用工具软件将文件的原始内容转换为另一种完全不同的形式转换后的文件称为被加密文件，这个转换过程则称为文件加密使用同样的软件可以把被加密的文件转换为原始的文件，这个过程称为文件解密原始文件加密后文件原始文件加密/解密软件加密/解密软件图8.1文件加密和解密的过程8.6

8.6 基于文件加密的保护 用户使用工具软件将文件的原始内容转换为另一种完全 不同的形式 转换后的文件称为被加密文件，这个转换过程则称为文 件加密 使用同样的软件可以把被加密的文件转换为原始的文件 ，这个过程称为文件解密。 原始文件 加密/解密软件 加密后文件 加密/解密软件 原始文件 图8.1 文件加密和解密的过程

基于访问权限的文件保护建立防止未授权的用户访问其他用户的文件机制文件的所有者设置特定的访问权限来限制哪些用户可以对该文件进行何种操作策略:用户分类访问权限分类文件操作分类8.7

8.7 基于访问权限的文件保护 建立防止未授权的用户访问其他用户的文件机 制 文件的所有者设置特定的访问权限来限制哪些 用户可以对该文件进行何种操作 策略: 用户分类 访问权限分类 文件操作分类

用户分类每个用户属于某一个组（group）系统中的所有用户组的信息以及该组的用户都记录在letc/group文件中文件：所有者（ownerusers）、组（groupusers）、其他人（Otherusers）Linux有一个特殊用户，称为超级用户或根用户（Superuserorrootuser）可以访问所有文件。用户名：root用户ID：08.8

8.8 用户分类 每个用户属于某一个组（group） 系统中的所有用户组的信息以及该组的用户都记录在 /etc/group文件中。 文件：所有者（ owner users ）、组（ group users）、其他人（ Other users ） Linux有一个特殊用户，称为超级用户或根用户（ Superuser or root user）可以访问所有文件。 用户名：root 用户ID：0

基于文件操作/访问权限的分类Linux系统中，文件有三种访问权限：读read（r）：允许读某个文件写write(w）：允许写、修改和删除某个文件执行Execute（x）：允许执行（run）某个文件对于目录：Read（r）：允许用户列出目录的内容，即可以使用Is命令来列出这个目录下的所有内容Write（w）：允许用户在目录下建立新文件，删除子目录和文件Execute（x）：允许用户搜索这个目录，如果你没有对目录的执行特权，那么就不能使用Is-I命令来列出自录下的内容或者是使用cd命令来把该目录变成当前目录。8.9

8.9 基于文件操作/访问权限的分类 Linux系统中，文件有三种访问权限： 读read (r) :允许读某个文件 写write(w) :允许写、修改和删除某个文件 执行Execute (x) :允许执行(run)某个文件 对于目录： Read (r) :允许用户列出目录的内容，即可以使用ls命令来 列出这个目录下的所有内容 Write (w) ：允许用户在目录下建立新文件，删除子目录和 文件 Execute (x) :允许用户搜索这个目录，如果你没有对目录 的执行特权，那么就不能使用ls –l命令来列出目录下的内 容或者是使用cd命令来把该目录变成当前目录

基于文件操作/访问权限的分类（cont）3种用户和3种访问权限，有9种不同的访问权限组合：PermissionTypeUser TypeRead (r)Write (w)Execute (x)xXXUser (u)XxxGroup (g)xXXOthers (o)用1bit表示每一种权限，文件用户有8种可能的操作权限3bits表示某一用户的权限：3种用户，用9bits来表示表8.2访问特权值列表W含义十进制值Rx0000没有任何访问特权1只允许执行00只允许写2003允许写和执行04只允许读015允许读和执行6允许读、写07允许读、写和执行8.10

8.10 基于文件操作/访问权限的分类(cont) 3种用户和3种访问权限，有9种不同的访问权限组合： 用1 bit表示每一种权限，文件用户有8种可能的操作权限 3 bits表示某一用户的权限；3种用户，用9 bits来表示。 表8.2 访问特权值列表 R W x 十进制值 含义 0 0 0 0 没有任何访问特权 0 0 1 1 只允许执行 0 1 0 2 只允许写 0 1 1 3 允许写和执行 1 0 0 4 只允许读 1 0 1 5 允许读和执行 1 1 0 6 允许读、写 1 1 1 7 允许读、写和执行