linux文件目录权限探究

本文探究linux中目录和文件设置不同权限位的作用

一、实验环境与前提
账号1:root
账号2:git(普通用户,非root组)
root账号可以无视文件目录权限,故此处只用于更改权限,git账号为普通账号,可以验证被root更改文件权限时的表现。文中所有创建的目录、文件均由root账号操作,故文件主为root、文件组为root。git账号属于其他用户,故只考虑权限位的后三位,文件主及其所属用户组的权限设为0,对其他用户的权限进行修改实验。

公共目录:/share,目录权限:drwxrwxrwx 2 root root
实验以/share目录为根目录,所有实验均在/share目录下进行,实验按顺序进行,每个实验是在上一个实验的基础上进行操作。

提示符$为普通用户(即git)、#为root账户,下面不再说明使用哪个账户进行操作,请根据提示符区分。

各操作使用的命令:
1.列目录(ll test, ll=ls -l –color=auto)
2.进目录(cd test)
3.删目录(rm -rf test)
4.创建文件(touch test/file)
5.删除文件(rm -rf test/006)
6.修改文件(echo test > test/006)
7.查看文件(cat test/006)
test目录下的文件及权限如下:

--------w- 1 root root 0 1月  1 00:00 002
-------r-- 1 root root 0 1月  1 00:00 004
-------rw- 1 root root 0 1月  1 00:00 006
drwxr-xr-x 2 root root 4096 1月  1 00:00 dir

二、实验一 目录的r权限(目录权限004)
1. 更改目录权限为r,并查看目录权限

/share# chmod 004 test && ll -d test
d------r-- 2 root root 4096 1月  1 00:00 test

2. 测试能否进入目录
/share$ cd test
结果无法进入,提示权限不足
3. 测试能否显示目录内容
/share$ ll test
结果如下:

ls: 无法访问test/002: 权限不够
ls: 无法访问test/004: 权限不够
ls: 无法访问test/006: 权限不够
ls: 无法访问test/dir: 权限不够
总用量 0
-????????? ? ? ? ?            ? 002
-????????? ? ? ? ?            ? 004
-????????? ? ? ? ?            ? 006
d????????? ? ? ? ?            ? dir

4. 测试普通用户是否能在test目录下创建文件
/share$ touch test/file
提示权限不足
5. 测试普通用户是否可以对目录下的文件内容进行操作
/share$ cat test/006
/share$ echo test > test/006
以上均无权限
6. 删除目录
/share$ rm -rf test
结果分两种情况:如果test目录是空的,可以删除,如果test目录不为空,不能删除。因为删除命令必须保证命令不为空,rm -rf会删除掉test目录下的文件,而test目录只有r权限,不能删除里面的文件,所以无法删除目录

结论:
目录的r权限表示用户可以读取目录的内容,但不能获取详细的信息,只能知道目录下有哪些文件,也不能进入目录,以及修改目录中的文件

三、实验二 目录的w权限(目录权限002)
1. 修改目录权限为002

/share# chmod 002 test && ll -d test
d-------w- 2 root root 4096 1月  00 00:00 test

2. 测试列目录权限
/share$ ll test
提示无权限
3. 测试进目录权限
/share$ cd test
提示无权限
4. 测试创建删除文件
/share$ touch test/file
提示无权限(删除test目录下的文件也无权限,命令略)
5. 删除目录
/share$ rm -rf test
同r权限结果
6. 查看文件
/share$ cat test/file
提示无权限

结论:
仅有w权限的目录无法进行任何操作,即使目录里面的文件为可读写也不能对该目录下的文件进行操作

四、实验三 目录的x权限(目录权限001)
1. 修改目录权限为001
2. 权限:
列目录:NO
进目录:YES
创建文件:NO
删除文件:NO
读写文件:依赖文件本身权限,文件有读权限即可
删除目录本身:同r和w权限

结论:
仅拥有目录x权限,只能进入目录,不能在目录中创建、删除文件,可以读取、修改其中的文件(取决于文件的权限)

五、目录权限及组合测试表

权限位\操作 列目录 进目录 删目录 创建文件 删除文件 修改文件 查看文件
N N 空可删 N N N N
r 无法显示详细信息 N 空可删 N N N N
w N N 空可删 N N N N
x N Y 空可删 N N Y Y
rw 无法显示详细信息 N 空可删 N N N N
rx Y Y 空可删 N N Y Y
wx N Y 空可删 Y Y Y Y
rwx Y Y Y Y Y Y Y

注:无法显示详细信息指,可以知道目录下有哪些文件,但不知道文件大小、权限、修改时间等信息

结论:
1. r权限用于查看目录下都有哪些文件和目录
2. x权限用于查看目录下各目录和文件的详情(权限码、修改时间等),且可以进入目录
3. 只要有x权限就可以进入目录,但查看目录下的详细信息,需要有r和x权限,可理解为:要想知道目录的详情,得先通过r权限知道目录下有哪些文件,之后才能用x权限查这些文件的信息
4. 有目录的x权限是对目录下的文件进行增删改查操作的必要条件,可理解为:如果连文件的最基本的信息都不知道,就没法判断是否可以对目录下的文件有读写权限,所以不能读写文件,而创建文件需要更改目录下文件详情的信息,没有目录x权限也不行,删除文件同样的道理,也需要修改目录下文件的详情。
5. 想要在目录中创建、删除文件,必须要有目录的wx权限,可理解为:创建、删除都需要改变目录索引中的文件详情信息,所以需要w和x权限。rwx三个权限中x为是否有能力接触目录索引中的详情,r和w表示对目录索引的详情有怎样的能力,rx可读,wx可写
6. 目录本身的删除权限,与目录的权限关系不大,主要看上级目录的权限。实验中对于非空目录,只有rwx权限可删,对于空目录,由于上级目录/share是777权限所以可以删。非空目录删除时需要递归删除目录下的文件,根据第5点结论只少要有wx权限,而删除目录下的所有文件,首先得知道都有哪些文件,这就需要r权限,所以rwx权限缺一不可。
实际上,本实验中,如果test目录有wx权限,是有办法不修改权限删除test目录,即先使用rm命令将test目录下的文件一一删除,然后再删test目录,这里我们知道test目录中都有哪些文件,所以可以这么操作,但一般情况下,如果没有r权限,无法得知目录下的文件情况。

六、不同权限的适用场景
r: 只需要看目录下有哪些内容
w: 无法使用
x: 做中间目录使用,有如下目录结构:/documents/<username>/file,documents权限为x,每个用户拥有一个以用户名命名的目录,下面存放各种私人文档,此时可以设置<username>目录为700,属主为用户名的账户,这样每个用户都可以cd到自己的用户名目录下进行各种操作,并且他们看不到documents下有哪些目录,即不知道服务器上为哪些账号开放了此服务(虽然这么做没有什么实质意义)。
rx: 最常用的权限组合,可以进目录看到里面的内容详情,但不能对里面的文件进行新增、删除操作,如/home目录,home目录结构跟上面例子中documents目录极为相似,区别就是我们可以在home目录中通过ls -l查看有哪些子目录,进而推断出服务器上有哪些账号(不考虑无home的用户以及设置非同名用户目录的情况)
wx: 很少用到,对于某些程序,只负责读写指定文件,文件路径已知。但由于w权限通常高于r权限(业务意义上,都可以增加文件,还不允许读取当前目录有哪些文件,这种场景很少),一般很少使用。
rwx: 对目录拥有绝对的权限,可以删除目录下任意文件(无论文件权限如何,即使没有读写文件的权限),一般只对属主的权限设置成rwx,这样比较安全,所以一般默认目录的权限为rwxr-xr-x,目录的属主完全控制,其他人不能删除、新增文件(至于修改文件操作属于文件本身的权限,不在目录权限里考虑)

利用树莓派解决长城宽带HTTP302劫持问题

背景描述

最近准备测试一下家里的宽带跟linode各个节点的访问速度,准备选一个速度比较好的节点购买,但结果测试后发现,所有节点的速度都是满速,经过抓包分析,发现是长城宽带的大缓存系统造成的,所有流量都被重定向的局域网内的缓存服务器上,所以下载速度异常的快。但这并不符合预期,我们需要测试真实的下载速度。因此,就有了本文探究如何绕过运营商的劫持测试真实速度的过程。

声明

本文所用的方法并不是一个通用的反劫持方法,但提供了一个可行的通用方案,且使用的方法比较繁琐,因为限于手中的设备,知道其原理后,读者可以自行发挥做出一个完整的解决方案。

劫持原理

在访问链路上,运营商劫持http请求(linode的节点测速地址只支持http协议,如果支持了https则运营商就不敢轻易劫持了)分析请求的地址,并进行缓存匹配(据推测,只是根据url部分进行匹配,通过增加随机url参数都无法绕过缓存),如果匹配到则立即返回一个302和缓存地址给客户端,并且关闭连接(发送FIN关闭TCP),但并不与服务器关闭连接。
此时,在客户端抓包可见,服务器(运营商伪造的包)发送了一个302状态码的http响应,并且响应头包含Connection:Close,TCP的flag中包含FIN。过了一段时间,可以收到真正服务器发来的响应,但由于之前客户端已经关闭了TCP,此时真服务器发来的TCP数据将被客户端RESET掉。
由于ISP劫持没有给服务器发送FIN或RST,所以服务器仍不知道链接已经断开,这就给了我们反劫持的机会。
上图为典型的http302会话劫持图,序号5即是关键劫持包,它是运营商伪造服务器返回的,具体是如何判断的呢?
首先,查看前面几个服务器发回来的IP数据帧的TTL值,再对比第5个数据帧发现,TTL值相差很大(图中未截出,可点击下载原始数据),正常情况下一次会话两个端点之间的路由基本差不了太多,所以TTL值基本相同或相近,如果TTL差了10个以上,一定是有问题。其次,查看302跳转的Location,发现IP地址归属于ISP,故这个一定不是服务器返回的。
第9帧开始是服务器发来的正确的响应,但由于TCP链接已经关闭,所以对每个数据帧都返回了一个RST响应。

反劫持思路

既然知道了ISP会返回302,可以直接通过暴力屏蔽302的数据帧,下面的方法过于暴力,因为我们的目标只是跟真实服务器取得联系,并没有其他上网需求,所以302响应数据一律禁掉。

我们手头的工具/设备有:
1. Mac本,没有网线接口
2.Windows本,有网线接口
3. 除正常上网使用的无线路由器(下称路由器2)之外,多余的一个可以充当无线AP的设备(下称路由器1)
4. 树莓派
5. 网线一根

由于Mac系统配置防火墙规则不能使用iptables,其他方法没有具体尝试,有一定的学习成本,故没有直接配在Mac上
Windows的防火墙有点渣,没有深入研究过,尝试过在Windows上装个虚拟机跑linux,发现虚拟机的网卡有点问题,只能使用hostonly模式,linux配上防火墙试了下,好像没有起作用,貌似是因为宿主机收到FIN数据帧之后直接就把后面的数据RESET掉了,估计用nat模式可以,宿主机只做转发并不会处理数据,由于虚拟机的虚拟网卡有点问题,就没再尝试。
下面说说路由器1的作用,其实可以直接用网线连树莓派的,不过Mac没有网口,我也没有转换头,而且测速脚本我是用shell写的,所以Windows上跑还得搞虚拟机,正好有多余的无线路由器,WAN口接到树莓派上刚刚好。

最后,网络的拓扑结构基本就是:
Mac(192.168.10.137)->(wifi:192.168.10.1)路由器1(wan口:169.254.159.199)->(eth0:169.254.159.198)树莓派(wlan0:192.168.1.253)->(192.168.1.1)路由器2(公网IP)

关键的一步,在树莓派上设置防火墙规则,拦截所有302请求(下面命令需要sudo):
1. 开启转发功能:
vi /etc/sysctl.conf
增加net.ipv4.ip_forward=1并保存
执行sysctl -p /etc/sysctl.conf
2. 增加iptables
iptables -A FORWARD -p tcp -m string --string "302 Found" --algo bm --from 45 --to 80 -j DROP

这个iptables写的有点暴力,将所有TCP数据帧的第45到第80个字节处找到302 Found字符串的数据帧丢弃,这样所有连接路由器1的设备,如果有http协议(https加密了就无法匹配到)返回302状态码的数据帧就会收不到,这样后面真实的http响应数据就会被客户端接收。

总结

本文提供的方法只是针对了特定的需求,对运营商的劫持进行绕过,具体问题可以具体分析,如果运营商劫持的时候,向服务器发送了FIN帧,则此种方法就会无效,或者运营商没有使用302劫持,而是直接返回了结果,并与服务器端断开了链接,那么就只能通过架设一层代理来绕过劫持了,但这并不是我们希望的,我们要测端到端的速度,而不是客户端到代理服务器再到服务器的速度。

长城宽带的本意是建立局域网缓存,减少出口流量,提高网络速度,这样你办个100M的宽带,它们出口不需要多大就能满足,毕竟很多大的数据都在内网缓存着呢(如部分视频网站的视频也会被劫持到缓存服务器上),但这个缓存有时候比较坑,例如源站内容更新,但文件名没有改,这个缓存服务器就一直返回陈旧的内容,会忽略缓存头、链接变化等(根据网友反馈,这种事情经常发生)

所以,建议能开https的尽量都开https吧,但有好处也有坏处,好处是防篡改、更安全,坏处是,没有运营商做的缓存,网站维护者可能会支付更多的流量费用,对于一些不会变的大文件,如视频,可以用http,其他的还是用https比较合适。apk、exe这些容易被篡改成推广的APP、恶意广告程序,视频一般篡改没什么意义,所以有财力的网站全站https;大文件类型的小站(如下载站、视频站),为了节省流量钱可以考虑一些不重要的大文件优先走http并提供md5,同时支持https。