UNIX系統(tǒng)與邊在本系統(tǒng)上的各種設(shè)備之間的通訊,通過特別文件來實(shí)現(xiàn), 就程序而言,磁盤是文件,MODEM是文件,甚至內(nèi)存也是文件.所有連接到系統(tǒng)上的設(shè)備都在/dev目錄中有一個(gè)文件與其對應(yīng).當(dāng)在這些文件上執(zhí)行I/O操作時(shí),由UNIX系統(tǒng)將I/O操作轉(zhuǎn)換成實(shí)際設(shè)備的動作.例如,文件/dev/mem是系統(tǒng)的內(nèi)存,如果cat這個(gè)文件,實(shí)際上是在終端顯示系統(tǒng)的內(nèi)存.為了安全起見,這個(gè)文件對普通用戶是不可讀的.因?yàn)樵谌我唤o定時(shí)間,內(nèi)存區(qū)可能含有用戶登錄口令或運(yùn)行程序的口令,某部分文件的編輯緩沖區(qū),緩沖區(qū)可能含有用ed -x命令解密后的文本,以及用戶不愿讓其他人存取的種種信息. 在/dev中的文件通常稱為設(shè)備文件,用ls /dev命令可以看看系統(tǒng)中的一些設(shè)備:
acuo 呼叫自動撥號器
console 系統(tǒng)控制臺
dsknn 塊方式操作磁盤分區(qū)
kmem 核心內(nèi)存
mem 內(nèi)存
lp 打印機(jī)
mto 塊方式操作磁帶
rdsknn 流方式操作的磁盤分區(qū)
rmto 流方式操作的磁帶
swap 交換區(qū)
syscon 系統(tǒng)終端
ttynn 終端口
x25 網(wǎng)絡(luò)端口
等等(3)/etc/mknod命令
用于建立設(shè)備文件.只有root能使用這個(gè)命令建立設(shè)備文件.其參數(shù)是文件名,字母c或b分別代表字符特別文件或塊特別文件,主設(shè)備號,次設(shè)備號.塊特別文件是像磁帶,磁盤這樣一些以塊為單位存取數(shù)據(jù)的設(shè)備.字符特別文件是如像終端,打印機(jī),MODEM,或者其它任何與系統(tǒng)通訊時(shí),一次傳輸一個(gè)字符的設(shè)備,包括模仿對磁盤進(jìn)行字符方式存取的磁盤驅(qū)動器.主設(shè)備號指定了系統(tǒng)子程序(設(shè)備驅(qū)動程序),當(dāng)在設(shè)備上執(zhí)行I/O時(shí),系統(tǒng)將調(diào)用這個(gè)驅(qū)動程序.調(diào)用設(shè)備驅(qū)動程序時(shí),次設(shè)備號將傳遞給該驅(qū)動程序(次設(shè)備規(guī)定具體的磁盤驅(qū) 動器,帶驅(qū)動器,信號線編號,或磁盤分區(qū)).每種類型的設(shè)備一般都有自己的設(shè)備驅(qū)動程序.文件系統(tǒng)將主設(shè)備號和次設(shè)備號存放在i節(jié)點(diǎn)中的磁盤地址表內(nèi),所以沒有磁盤空間分配給設(shè)備文件(除i節(jié)點(diǎn)本身占用的磁盤區(qū)外).當(dāng)程序試圖在設(shè)備文件上執(zhí)行I/O操作時(shí),系統(tǒng)識別出該文件是一個(gè)特別文件,并調(diào)用由主設(shè)備號指定的設(shè)備驅(qū)動程序,次設(shè)備號作為調(diào)用設(shè)備驅(qū)動程序的參數(shù).(4)安全考慮
將設(shè)備處理成文件,使得UNIX程序獨(dú)立于設(shè)備,即程序不必一定要了解正使用的設(shè)備的任何特性,存取設(shè)備也不需要記錄長度,塊大小,傳輸速度,網(wǎng)絡(luò)協(xié)議等這樣一些信息,所有煩人的細(xì)節(jié)由設(shè)備驅(qū)動程序去關(guān)心考慮,要存取設(shè)備,程序只須打開設(shè)備文件,然后作為普通的UNIX文件來使用.從安全的觀點(diǎn)來看這樣處理很好,因?yàn)槿魏卧O(shè)備上進(jìn)行的I/O操作只經(jīng)過了少量的渠道(即設(shè)備文件).用戶不能直接地存取設(shè)備.所以如果正確地設(shè)置了磁盤分區(qū)的存取許可,用戶就只能通過UNIX文件系統(tǒng)存取磁盤.文件系統(tǒng)有內(nèi)部安全機(jī)制(文件許可).不幸的是,如果磁盤分區(qū)設(shè)備得不正確,任何用戶都能夠?qū)懸粋€(gè)程序讀磁盤分區(qū)中的每個(gè)文件,作法很簡單:讀一i節(jié)點(diǎn),然后以磁盤地址表中塊號出現(xiàn)的順序,依次讀這些塊號指出的存有文件內(nèi)容的塊.故除了root以外,決不要使盤分區(qū)對任何人可寫.因?yàn)樗姓?文件存取許可方式這樣一些信息存放于i節(jié)點(diǎn)中,任何人只要具有已安裝分區(qū)的寫許可,就能設(shè)置任何文件的SUID許可,而不管文件的所有者是誰,也不必用chmod()命令,還可避過系統(tǒng)建立的安全檢查.以上所述對內(nèi)存文件mem,kmem和對換文件swap也是一樣的.這些文件含有用戶信息,一個(gè)"耐心"的程序可以將用戶信息提取出來.要避免磁盤分區(qū)(以及其它設(shè)備)可讀可寫,應(yīng)當(dāng)在建立設(shè)備文件前先用umask命令設(shè)置文件建立屏蔽值.一般情況下,UNIX系統(tǒng)上的終端口對任何人都是可寫的,從而使用戶可以用write命令發(fā)送信息.雖然write命令易引起安全方面的問題,但大多數(shù)用戶覺得用write得到其他用戶的信息很方便,所以系統(tǒng)將終端設(shè)備的存取許可設(shè)置成對所有用戶可寫./dev目錄應(yīng)當(dāng)是755存取許可方式,且屬root所有.不允許除root外的任何用戶讀或?qū)懕P分區(qū)的原則有一例外,即一些程序(通常是數(shù)據(jù)庫系統(tǒng))要求對磁盤分區(qū)直接存取,解決這個(gè)問題的經(jīng)驗(yàn)的盤分區(qū)應(yīng)當(dāng)由這種程序?qū)S?不安裝文件系統(tǒng)),而且應(yīng)當(dāng)告知使用這種程序的用戶,文件安全保護(hù)將由程序自己而不是UNIX文件系統(tǒng)完成.(5)find命令
推薦閱讀
- win7系統(tǒng)中桌面圖標(biāo)不見了具體處理方法
- 在Unix系統(tǒng)中利用程序?qū)崿F(xiàn)Kill命令
- 飛利浦推出首個(gè)3G手機(jī)Nexperia蜂窩系統(tǒng)解決方案
- 首個(gè)基于飛利浦Nexperia蜂窩系統(tǒng)解決方案的GSM/GPRS/EDGE手機(jī)問世
- 提高unixware文件系統(tǒng)性能
- win10系統(tǒng)中禁用輸入法具體操作方法
- win7系統(tǒng)中出現(xiàn)開機(jī)失敗提示ntoskrnl.exe文件丟失具體處理步驟
- unix下的動態(tài)鏈接庫
- UNIX下發(fā)送屏幕信息
- UnixWare 7 與 OpenServer