深入解析文件系统安全:权限、加密与数据保护
1. 粘性位(Sticky Bits)
在Linux和Unix系统中,粘性位在文件和目录上有着不同的表现。对于文件,较新的Unix版本不再支持粘性位,而Linux从一开始就未在文件上使用该标志。但在目录方面,粘性位的支持依然活跃。
当一个目录设置了粘性位后,用户只能重命名或删除该目录下自己拥有的文件(需其他目录权限允许)。这种机制常用于存储临时文件的全局可写目录,如/tmp和/var/spool/cups/tmp,可防止用户相互篡改文件。
- 查找设置了粘性位的文件或目录:
# find / \( -type f -o -type d \) -perm +o=t \ -exec ls -ld {} \; 2>/dev/null- 查找未设置粘性位的全局可写目录:
# find / -type d -perm -o+w -not -perm -a+t \ -exec ls -ld {} \; 2>/dev/null从安全角度看,所有全局可写目录都应设置粘性位。若未设置,需考虑是否真的需要全局可写,或使用组权限、访问控制列表(ACLs)是否更合适。
