java安全编码指南之:文件和共享目录的安全性
文章目錄
- 簡(jiǎn)介
- linux下的文件基本權(quán)限
- linux文件的特殊權(quán)限
- Set UID 和 Set GID
- Sticky Bit
- SUID/SGID/SBIT權(quán)限設(shè)置
- 文件隱藏屬性
- 特殊文件
- java中在共享目錄中使用文件要注意的問題
- 安全目錄
簡(jiǎn)介
java程序是跨平臺(tái)的,可以運(yùn)行在windows也可以運(yùn)行在linux。但是平臺(tái)不同,平臺(tái)中的文件權(quán)限也是不同的。windows大家經(jīng)常使用,并且是可視化的權(quán)限管理,這里就不多講了。
本文主要講講linux下面的文件的權(quán)限和安全性問題,并且探討一下如何在java程序中考慮文件的安全性。
linux下的文件基本權(quán)限
chmod是linux下面的權(quán)限管理命令,我們可以通過chmod來對(duì)文件的權(quán)限進(jìn)行修改。
普通文件的權(quán)限有三種,rwx分別是讀,寫和執(zhí)行。再加上三個(gè)用戶分組:owner,group,other 我們可以很方便的使用三個(gè)0-7的數(shù)字來表示一個(gè)文件的權(quán)限。
舉個(gè)例子,我們創(chuàng)建一個(gè)文件:
touch test.log看一下默認(rèn)的文件權(quán)限:
ll test.log -rw-r--r-- 1 flydean wheel 0B 8 16 10:36 test.log默認(rèn)的文件權(quán)限是644,也就是說owner權(quán)限是讀寫,group權(quán)限是讀,其他權(quán)限是讀。
我們可以使用chmod命令對(duì)其進(jìn)行修改,比如:
chmod 777 test.log ll test.log -rwxrwxrwx 1 flydean wheel 0B 8 16 10:36 test.log可以看出權(quán)限被修改成為777。
linux文件的特殊權(quán)限
講完普通權(quán)限,我們接下來講一下linux文件中的特殊權(quán)限。
Set UID 和 Set GID
考慮一個(gè)常用的修改密碼的例子,修改密碼調(diào)用的是/usr/bin/passwd,看下這個(gè)文件的權(quán)限:
ll /usr/bin/passwd -rwsr-xr-x. 1 root root 27832 Jun 10 2014 /usr/bin/passwd可以看到有個(gè)很奇怪的s權(quán)限。這個(gè)s是什么意思呢?s實(shí)際是x的變種,是一種特殊的可執(zhí)行權(quán)限。
特殊在哪里呢?passwd是修改用戶的密碼,密碼文件實(shí)際上是存放在 /etc/shadow中的。
我們看下/etc/shadow的權(quán)限:
ll /etc/shadow ---------- 1 root root 707 Jan 2 2020 /etc/shadow/etc/shadow的owner是root,只有root才權(quán)限強(qiáng)行寫入這個(gè)文件。
那么問題來了,普通用戶調(diào)用passwd是怎么修改的/etc/shadow呢?
這就是s的妙用,s表示Set UID,簡(jiǎn)稱為SUID,這個(gè)UID表示User的ID,而User表示這個(gè)程序(/usr/bin/passwd)的擁有者(root),那么我們?cè)谡{(diào)用passwd的過程時(shí)候,就會(huì)暫時(shí)擁有passwd owner的權(quán)限,也就是root權(quán)限。
注意,SUID只能用在二進(jìn)制文件中,它是對(duì)x權(quán)限的一個(gè)替換,并且SUID對(duì)目錄是無效的。
同樣的,我們也可以給group設(shè)置UID權(quán)限,也就是Set GID。
不同的是SGID可以使用在文件和目錄兩個(gè)地方。
用在文件中是和SUID一樣的,用在目錄中的意思是在該目錄中所建的文件或目錄的用戶組都和該目錄的用戶組是一樣的。
Sticky Bit
Sticky Bit表示的是特殊的other權(quán)限,用t來表示。
/tmp目錄就是一個(gè)Sticky Bit的例子: drwxrwxrwt 。
SBit對(duì)目錄的作用是:“在具有SBit的目錄下,用戶若在該目錄下具有w及x權(quán)限,則當(dāng)用戶在該目錄下建立文件或目錄時(shí),只有文件擁有者與root才有權(quán)力刪除”
這個(gè)特性就是為了保護(hù)我們?cè)诠蚕砟夸浵碌奈募槐粍e人刪除。
SUID/SGID/SBIT權(quán)限設(shè)置
怎么設(shè)置這些權(quán)限呢?
普通權(quán)限我們是用3個(gè)數(shù)字來表示的,我們可以在3個(gè)數(shù)字之前再加上一個(gè)數(shù)字表示SUID/SGID/SBIT權(quán)限。
和普通權(quán)限一樣,我們用4來表示SUID,2表示SGID,1表示SBIT。
舉個(gè)例子:
touch test chmod 6755 test ll test -rwsr-sr-x 1 crawler crawler 0 Aug 16 11:43 test注意,有時(shí)候我們會(huì)遇到大寫的S與T的情況,這種情況出現(xiàn)在user、group以及others都沒有x這個(gè)可執(zhí)行的標(biāo)志,所以大寫的S和T表示為空。
文件隱藏屬性
有些linux系統(tǒng)提供了chattr命令來設(shè)置文件隱藏屬性。
我們看下chattr的使用:
Usage: chattr [-RVf] [-+=aAcCdDeijsStTu] [-v version] files...參數(shù):
- : 增加某個(gè)特殊參數(shù),其他原本存在的參數(shù)不動(dòng)。
- : 刪除某個(gè)特殊參數(shù),其他原本存在的參數(shù)不動(dòng)。
= : 設(shè)置一定,且僅有后面接的參數(shù)
A : 當(dāng)設(shè)置了A屬性時(shí),這個(gè)文件(或目錄)的存取時(shí)間atime(access)將不可被修改,可避免例如手提電腦有磁盤I/O錯(cuò)誤的情況發(fā)生。
S : 這個(gè)功能有點(diǎn)類似sync.就是將數(shù)據(jù)同步寫入磁盤中。可以有效地避免數(shù)據(jù)流失。
a : 設(shè)置a之后,這個(gè)文件將只能增加數(shù)據(jù),而不能刪除,只有root才能設(shè)置這個(gè)屬性。
c : 這個(gè)屬性設(shè)置之后,將會(huì)自動(dòng)將此文件“壓縮”,在讀取的時(shí)候?qū)?huì)自動(dòng)解壓縮,但在存儲(chǔ)的時(shí)候,將會(huì)先進(jìn)行壓縮后再存儲(chǔ)(對(duì)于大文件有用)。
d : 當(dāng)執(zhí)行dump(備份)程序的時(shí)候,設(shè)置d屬性將可使該文件(或目錄)具有轉(zhuǎn)儲(chǔ)功效。
i : i的作用很大。它可以讓一個(gè)文件“不能被刪除、改名、設(shè)置連接,也無法寫入或新增數(shù)據(jù)”。對(duì)于系統(tǒng)安全性有相當(dāng)大的幫助。
j : 當(dāng)使用ext3文件系統(tǒng)格式時(shí),設(shè)置j屬性將會(huì)使文件在寫入時(shí)先記錄在journal中。但是,當(dāng)文件系統(tǒng)設(shè)置參數(shù)為data=journalled時(shí),由于已經(jīng)設(shè)置日志了,所以這個(gè)屬性無效。
s : 當(dāng)文件設(shè)置了s參數(shù)時(shí),它將會(huì)從這個(gè)硬盤空間完全刪除。
u : 與s相反,當(dāng)使用u來設(shè)置文件時(shí),則數(shù)據(jù)內(nèi)容其實(shí)還存在磁盤中,可以用來還原刪除。
特殊文件
linux中還有一些特殊的文件,比如鏈接文件和設(shè)備文件。
在處理鏈接文件的時(shí)候,我們需要注意判斷鏈接文件的真實(shí)指向。
而設(shè)備文件我們需要注意不合理的授權(quán)訪問。
java中在共享目錄中使用文件要注意的問題
共享目錄中因?yàn)樗腥硕加胁僮魑募臋?quán)限,所以,我們需要特別注意在java中共享目錄中文件的操作。
根據(jù)java的規(guī)范, java.nio.channels.FileLock可以用來表示文件的鎖定。
通常來講,鎖定有兩種,一種是排他鎖,一種是共享鎖。
共享鎖可防止其他同時(shí)運(yùn)行的程序獲取重疊的排他鎖,但確實(shí)允許它們獲取重疊的共享鎖。排他鎖可防止其他程序獲取任一類型的重疊鎖。
共享鎖支持來自多個(gè)進(jìn)程的并發(fā)讀取訪問;獨(dú)占鎖支持獨(dú)占寫訪問。
但是,加鎖是否真正的阻塞其他程序?qū)υ撐募脑L問,實(shí)際是取決于操作系統(tǒng)。
在使用中,我們需要對(duì)用戶用戶傳入的文件進(jìn)行一些必要的校驗(yàn),比如是否是常規(guī)文件:
String filename = /* Provided by user */; Path path = new File(filename).toPath(); try {BasicFileAttributes attr = Files.readAttributes(path, BasicFileAttributes.class, LinkOption.NOFOLLOW_LINKS);// Checkif (!attr.isRegularFile()) {System.out.println("Not a regular file");return;}// Other necessary checks// Usetry (InputStream in = Files.newInputStream(path)) {// Read file}; } catch (IOException x) {// Handle error }上面的例子中,我們通過獲取File的屬性,來判斷這個(gè)屬性是否regularFile,注意,我們?cè)谧x取文件屬性的時(shí)候,傳入了一個(gè)LinkOption.NOFOLLOW_LINKS,表示的是不要follow鏈接。
雖然我們首先判斷了file的權(quán)限,然后再對(duì)其進(jìn)行操作,但是上面的例子還是會(huì)有問題的。因?yàn)榇嬖跁r(shí)間差的問題,如果惡意用戶在判斷之后將文件替換成了惡意的鏈接文件,就會(huì)出現(xiàn)問題。
安全目錄
為了保證用戶的文件操作安全性,我們引入一個(gè)安全目錄的概念,所謂安全目錄就是目錄除了用戶本身和超級(jí)管理員之外,沒有其他用戶的寫訪問權(quán)限,并且給定文件的父目錄不會(huì)被除了系統(tǒng)管理員之外的其他任何用戶刪除或重命名。
在下方的源碼鏈接中,我提供了一個(gè)查看安全目錄的class,大家可以自行查看。
本文的代碼:
learn-java-base-9-to-20/tree/master/security
本文已收錄于 http://www.flydean.com/java-security-code-line-file-security/
最通俗的解讀,最深刻的干貨,最簡(jiǎn)潔的教程,眾多你不知道的小技巧等你來發(fā)現(xiàn)!
歡迎關(guān)注我的公眾號(hào):「程序那些事」,懂技術(shù),更懂你!
總結(jié)
以上是生活随笔為你收集整理的java安全编码指南之:文件和共享目录的安全性的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: java安全编码指南之:序列化Seria
- 下一篇: JDK8中的新时间API:Duratio