我们可以在多大程度上依赖文件系统权限来确保安全？

Question

我的问题是关于文件系统权限（特别是 Unix 风格的权限）以及它们与安全性的关系。

假设我可以访问具有访客用户帐户和名为 Bob 的用户的计算机。我不知道 Bob 的密码，但我可以使用来宾帐户。来宾帐户对 Bob 的所有文件绝对没有读取权限，因此我以来宾身份登录时无法读取 Bob 的任何文件。

但是，从真正的“对手”的角度来看，我可以完全访问这个未加密的磁盘。我可以对其进行成像，保存以备后用，运行其他操作系统以简单地读取 Bob 的文件，同时忽略文件系统权限设置。

由此，我得到了一个问题：

1. 未加密磁盘上的文件系统权限设置只是一个标志，对吗？唯一阻止我读取我没有权限的文件的事实是操作系统会说“哦，你不能读取那个，你没有权限。” 该文件仍以原始形式保存在磁盘上，我可以通过忽略文件系统标志来读取它（例如，通过一些简单地忽略权限的可疑可启动操作系统）。这一切都正确吗？

现在说我没有直接访问磁盘的权限，我只是通过 ssh-ing 进入一台机器。我无权读取 Bob 的任何文件。我真的无能为力，对吗？

2. 鉴于我的权限有限，无论我多么努力，我都无法访问 Bob 的文件，不是吗？如果我使用一些漏洞来获得 root 访问权限怎么办？我现在可以绕过操作系统的权限标志吗？这是曾经发生过的事情吗？

Answer 1

简短的回答。

如果您可以物理访问计算机系统（PC 或数据存储系统），并且唯一的“保护”是文件权限，那么您将 100% 没有保护。

除了可以连接到系统驱动器以制作数据副本的另一台设备之外，几乎不需要任何工具即可轻松复制和克隆未加密的数据。

是的，潜在的物理渗透的一些证据方面可能需要被分解成在物理级别的访问; 比如确保没有留下指纹，任何“防篡改”印章都得到处理。但老实说，绝大多数系统都可以将其驱动器物理移除以获取数据的物理副本，而最终用户永远不会知道任何更好的情况。如果你有驱动器，你就有了驱动器，如果它是未加密的，那么你就有了数据。

这就是为什么现在每用户加密或全盘加密如此重要的原因；笔记本电脑 其他便携式计算设备如今在市场上占有如此重要的地位，设备被盗或随意借用 PC 造成数据丢失的风险比以往任何时候都高得多。

如果磁盘未加密，则磁盘上的数据是一本可以阅读的打开的书。这个概念不仅限于 Linux/Unix 机器，而是任何地方的任何操作系统；如果您可以物理访问未加密的系统，则您拥有该系统。

也就是说，文件权限是各种远程服务器的有用安全措施。

更长的答案。

我的问题是关于文件系统权限（特别是 Unix 风格的权限）以及它们与安全性的关系。

首先，请记住计算机上的安全性——以及一切——实际上只是一种减慢速度的威慑力量，并不一定提供绝对的安全性。

例如，任何实体建筑中最薄弱的安全措施是进入/退出时必须打开的门或必须打开以让空气进入的窗户。是的，您可以锁定门窗并设置警报，但如果有人真正想要获得某样东西——并且他们有时间、资源、财富和努力去追求它——他们会得到它。

假设我可以访问具有访客用户帐户和名为 Bob 的用户的计算机。我不知道 Bob 的密码，但我可以使用来宾帐户。来宾帐户对 Bob 的所有文件绝对没有读取权限，因此我以来宾身份登录时无法读取 Bob 的任何文件。

这里的问题是访问的上下文。如果您可以物理访问计算机，则几乎任何事情都是可能的。但是，如果您仅通过远程连接（通过某种网络）进行连接，那么文件系统所有权绝对是一种有效的安全方法。对于 Linux/Unix 服务器，权限和所有权是阻止远程入侵的有效安全形式。

这就是为什么在 Linux/Unix 世界中，获得root对远程系统的访问权限被认为是一项大奖。获得root远程系统，然后您就真正做了一些事情，使您无需走进数据中心并克隆驱动器即可获得更大的访问权限。

但是，从真正的“对手”的角度来看，我可以完全访问这个未加密的磁盘。我可以对其进行成像，保存以备后用，运行其他操作系统以简单地读取 Bob 的文件，同时忽略文件系统权限设置。

是的。确切地。如果您可以物理访问机器，那么 - 正如一开始所解释的那样 - 一切都结束了。您可以通过制作磁盘映像来访问其他人拥有的文件和目录——或者甚至只是追求驱动器本身的原始内容——几乎不需要深入的技术工作。

任何人——例如——借给你他们的个人电脑并专门为你设置一个新帐户而没有考虑这种情况的人基本上是在不知情的情况下泄露了他们机器上的任何个人数据。

有点切线，但我认为这就是为什么如此多的临时用户捐赠旧电脑而没有丝毫努力擦除驱动器上的数据的原因。他们设置了一个用户密码，并假设这样可以保证他们的数据安全，以至于他们可以将驱动器扔进垃圾桶，而不会三思而后行。当现实没有真正的加密或数据擦除时，任何被扔进垃圾桶或出售使用过的驱动器都可以被任何人在任何地方读取，而无需任何繁重的工作或深入的技术工作。

Answer 2

你的三点：

1. 如果您以普通用户身份使用 SSH 登录，则您无权访问原始磁盘设备。您通常需要root或获得访问原始和逻辑磁盘设备的权限。

2. 如果您通过漏洞获得root 权限，那么您就是系统上最强大的用户，可以访问包括设备在内的大部分内容。因为你是root，可以直接访问Bob的文件，所以不需要访问磁盘设备。

3. 物理访问节拍root。根是一个逻辑层。您可以通过对磁盘的物理访问来忽略它。这包括在您是 root 的单独操作系统中加载所述磁盘。

当然，系统应该针对root漏洞进行加固，但每天都会出现新的漏洞。没有系统是 100% 安全的，但您可以通过限制访问来使系统安全用于实际目的。

文件系统权限仅适用于受限用户访问的情况，在这种情况下，操作系统不会受到损害。这是一个“保持诚实（和典型）用户诚实”的系统，就像自行车锁一样。它的作用是防止“机会犯罪”，而不是故障安全的全面保护。