Categories
程式開發

java安全編碼指南之:文件和共享目錄的安全性


簡介

java程序是跨平台的,可以運行在windows也可以運行在linux。但是平台不同,平台中的文件權限也是不同的。 windows大家經常使用,並且是可視化的權限管理,這裡就不多講了。

本文主要講講linux下面的文件的權限和安全性問題,並且探討一下如何在java程序中考慮文件的安全性。

linux下的文件基本權限

chmod是linux下面的權限管理命令,我們可以通過chmod來對文件的權限進行修改。

普通文件的權限有三種,rwx分別是讀,寫和執行。再加上三個用戶分組:owner,group,other 我們可以很方便的使用三個0-7的數字來表示一個文件的權限。

舉個例子,我們創建一個文件:

touch test.log

看一下默認的文件權限:

ll test.log
-rw-r--r-- 1 flydean wheel 0B 8 16 10:36 test.log

默認的文件權限是644,也就是說owner權限是讀寫,group權限是讀,其他權限是讀。

我們可以使用chmod命令對其進行修改,比如:

chmod 777 test.log
ll test.log
-rwxrwxrwx 1 flydean wheel 0B 8 16 10:36 test.log

可以看出權限被修改成為777。

linux文件的特殊權限

講完普通權限,我們接下來講一下linux文件中的特殊權限。

Set UID 和Set GID

考慮一個常用的修改密碼的例子,修改密碼調用的是/usr/bin/passwd,看下這個文件的權限:

ll /usr/bin/passwd
-rwsr-xr-x. 1 root root 27832 Jun 10 2014 /usr/bin/passwd

可以看到有個很奇怪的s權限。這個s是什麼意思呢? s實際是x的變種,是一種特殊的可執行權限。

特殊在哪裡呢? passwd是修改用戶的密碼,密碼文件實際上是存放在/etc/shadow中的。

我們看下/etc/shadow的權限:

ll /etc/shadow
---------- 1 root root 707 Jan 2 2020 /etc/shadow

/etc/shadow的owner是root,只有root才權限強行寫入這個文件。

那麼問題來了,普通用戶調用passwd是怎麼修改的/etc/shadow呢?

這就是s的妙用,s表示Set UID,簡稱為SUID,這個UID表示User的ID,而User表示這個程序(/usr/bin/passwd)的擁有者(root),那麼我們在調用passwd的過程時候,就會暫時擁有passwd owner的權限,也就是root權限。

注意,SUID只能用在二進製文件中,它是對x權限的一個替換,並且SUID對目錄是無效的。

同樣的,我們也可以給group設置UID權限,也就是Set GID。

不同的是SGID可以使用在文件和目錄兩個地方。

用在文件中是和SUID一樣的,用在目錄中的意思是在該目錄中所建的文件或目錄的用戶組都和該目錄的用戶組是一樣的。

粘性位

Sticky Bit表示的是特殊的other權限,用t來表示。

/tmp目錄就是一個Sticky Bit的例子: drwxrwxrwt 。

SBit對目錄的作用是:“在具有SBit的目錄下,用戶若在該目錄下具有w及x權限,則當用戶在該目錄下建立文件或目錄時,只有文件擁有者與root才有權力刪除”

這個特性就是為了保護我們在共享目錄下的文件不被別人刪除。

SUID/SGID/SBIT權限設置

怎麼設置這些權限呢?

普通權限我們是用3個數字來表示的,我們可以在3個數字之前再加上一個數字表示SUID/SGID/SBIT權限。

和普通權限一樣,我們用4來表示SUID,2表示SGID,1表示SBIT。

舉個例子:

touch test
chmod 6755 test
ll test
-rwsr-sr-x 1 crawler crawler 0 Aug 16 11:43 test

注意,有時候我們會遇到大寫的S與T的情況,這種情況出現在user、group以及others都沒有x這個可執行的標誌,所以大寫的S和T表示為空。

文件隱藏屬性

有些linux系統提供了chattr命令來設置文件隱藏屬性。

我們看下chattr的使用:

Usage: chattr [-RVf] [-+=aAcCdDeijsStTu] [-v version] files...

參數:

: 增加某個特殊參數,其他原本存在的參數不動。 : 刪除某個特殊參數,其他原本存在的參數不動。

= : 設置一定,且僅有後面接的參數

A : 當設置了A屬性時,這個文件(或目錄)的存取時間atime(access)將不可被修改,可避免例如手提電腦有磁盤I/O錯誤的情況發生。

S : 這個功能有點類似sync.就是將數據同步寫入磁盤中。可以有效地避免數據流失。

a : 設置a之後,這個文件將只能增加數據,而不能刪除,只有root才能設置這個屬性。

c : 這個屬性設置之後,將會自動將此文件“壓縮”,在讀取的時候將會自動解壓縮,但在存儲的時候,將會先進行壓縮後再存儲(對於大文件有用)。

d : 當執行dump(備份)程序的時候,設置d屬性將可使該文件(或目錄)具有轉儲功效。

i : i的作用很大。它可以讓一個文件“不能被刪除、改名、設置連接,也無法寫入或新增數據”。對於系統安全性有相當大的幫助。

j : 當使用ext3文件系統格式時,設置j屬性將會使文件在寫入時先記錄在journal中。但是,當文件系統設置參數為data=journalled時,由於已經設置日誌了,所以這個屬性無效。

s : 當文件設置了s參數時,它將會從這個硬盤空間完全刪除。

u : 與s相反,當使用u來設置文件時,則數據內容其實還存在磁盤中,可以用來還原刪除。

特殊文件

linux中還有一些特殊的文件,比如鍊接文件和設備文件。

在處理鏈接文件的時候,我們需要注意判斷鍊接文件的真實指向。

而設備文件我們需要注意不合理的授權訪問。

java中在共享目錄中使用文件要注意的問題

共享目錄中因為所有人都有操作文件的權限,所以,我們需要特別注意在java中共享目錄中文件的操作。

根據java的規範, java.nio.channels.FileLock可以用來表示文件的鎖定。

通常來講,鎖定有兩種,一種是排他鎖,一種是共享鎖。

共享鎖可防止其他同時運行的程序獲取重疊的排他鎖,但確實允許它們獲取重疊的共享鎖。排他鎖可防止其他程序獲取任一類型的重疊鎖。

共享鎖支持來自多個進程的並發讀取訪問;獨占鎖支持獨占寫訪問。

但是,加鎖是否真正的阻塞其他程序對該文件的訪問,實際是取決於操作系統。

在使用中,我們需要對用戶用戶傳入的文件進行一些必要的校驗,比如是否是常規文件:

String filename = /* Provided by user */;
Path path = new File(filename).toPath();
try {
BasicFileAttributes attr = Files.readAttributes(
path, BasicFileAttributes.class, LinkOption.NOFOLLOW_LINKS);

// Check
if (!attr.isRegularFile()) {
System.out.println("Not a regular file");
return;
}
// Other necessary checks

// Use
try (InputStream in = Files.newInputStream(path)) {
// Read file
};
} catch (IOException x) {
// Handle error
}

上面的例子中,我們通過獲取File的屬性,來判斷這個屬性是否regularFile,注意,我們在讀取文件屬性的時候,傳入了一個LinkOption.NOFOLLOW_LINKS,表示的是不要follow鏈接。

雖然我們首先判斷了file的權限,然後再對其進行操作,但是上面的例子還是會有問題的。因為存在時間差的問題,如果惡意用戶在判斷之後將文件替換成了惡意的鏈接文件,就會出現問題。

安全目錄

為了保證用戶的文件操作安全性,我們引入一個安全目錄的概念,所謂安全目錄就是目錄除了用戶本身和超級管理員之外,沒有其他用戶的寫訪問權限,並且給定文件的父目錄不會被除了系統管理員之外的其他任何用戶刪除或重命名。

在下方的源碼鏈接中,我提供了一個查看安全目錄的class,大家可以自行查看。

本文的代碼:

Learn-java-base-9-to-20 / tree / master / security

本文已收錄於 http://www.flydean.com/java-security-code-line-file-security/“最通俗的解讀,最深刻的干貨,最簡潔的教程,眾多你不知道的小技巧等你來發現!歡迎關注我的公眾號:「程序那些事」,懂技術,更懂你!