类UNIX系统基础 文件安全与权限sde

类UNIX系统基础 文件安全与权限sde 当创建一个文件的时候，系统保存了有关该文件的全部信息，包括: " 文件的位置。 " 文件类型。 " 文件长度。 " 哪位用户拥有该文件，哪些用户可以访问该文件。 " i节点。 " 文件的修改时间。 " 文件的权限位。 让我们用touch命令创建一个文件: $ touch temp 创建了一个空文件，现在用ls -l命令查看该目录下文件的属性(我这里用中文版): 如下: [root@Linux_chenwy temp]# ls -l 总用量 36 -rw-r--r-- 1 root root 34890 10月 19 20:17 httpd.conf -rw-r--r-- 1 root root 0 10月 19 20:16 temp 总用量 36:是ls所列出的入口占用空间的字节数(以K为单位)，不是该目录中所有文件占用的空间。 1该文件硬链接的数目。 root:文件属主。 root:文件属组(一般是文件属主所在的缺省组。) 34890:字节来表示的文件长度，记住，不是K字节～ 10月 19 20:17:件的更新时间。 temp or httd.conf :件名。 BTW:要检查该目录所有文件占用的空间应该用这个命令:du。 譬如说前面说的36是如何计算出来: 首先我们要先了解你所用的文件系统的IO BLOCK(中文叫作簇)为多少，在你所使用的这个文件系统的IO BLOCK大小是4096 Bytes。 他意义是文件系统最小的读写及分配单位，每次读写操作你都不能小于这个尺寸。即使你的文件是只有一个字节。而且文件在硬盘上的存储也是以这个为单位，就是说如果文件尺寸小于这个值，那么它在磁盘上占用的空间就是4096字节。 占用空间的具体算法是:(进一(文件尺寸/4096))×4096。根据这个你就可以计算出你所列举的例子中的文件的空间使用状况:34890除以4096，大约等于8.5，进一法取得为9，就是说文件在磁盘上占用了9个BLOCk，每个BLOCK为4K，所以这两个文件占用的空间就是36K。 这个规则也适合于目录，不过不会出现为0的目录，即使是空目录。对于空目录及所有入口占用的空间小于一个block的目录来说，他的空间以一个block的大小来计算。 -rw-r--r-- :这是该文件的权限位。 第一个横杠:指定文件类型,表示该文件是一个普通文件。(所创建的文件绝大多数都是普通文件或符号链接文件)。 除去最前面的横杠，一共是9个字符，他们分别对应9个权限位。通过这些权限位，可以设定用户对文件的访问权限。对这两个文件的精确解释是: rw-:前三位，文件属主可读、写 r--:中间三位,组用户可读 r--:最后三位,其他用户只可读 在创建的时候并未给属主赋予执行权限，在用户创建文件时，系统不会自动地设置执行权限位。这是出于加强系统安全的考虑 BTW:文件的属主组并不一定就是所有者所在的缺省组，而可以是任何一个跟该文件所有者无关的用户组。为了方便，还是统称属主，属组和其它。 在-rwxrwxrwx中，红色的一组是指属于文件所有者组的用户对文件所拥有的权限，但是这个组并不必蓝色的权限中文件的所有者所在的组。它们可以是一个，也可以是不同的，甚至可以和这个文件的所有者没有任何的关系。譬如说你新建一个test组，而让root用户不属于test这个组的话，你照样可以用chown :test filename这个命令让该文件的所有者组为test组，一切的访问照样合用。 文件类型 前面提到的第一条横杠，表示该文件是普通文件型 文件类型有七种，它可以从ls -l命令所列出的结果的第一位看出. 七种类型: d 目录。 l 符号链接(指向另一个文件)。 s 套接字文件。 b 块设备文件。 c 字符设备文件。 p 命名管道文件。 - 普通文件，或者更准确地说，不属于以上几种类型的文件。 文件的权限位中中每一组字符中含有三个权限位: r 读权限 w 写/更改权限 x 执行该脚本或程序的权限 如: r-- --- --- 文件属主可读，但不能写或执行 r-- r-- --- 文件属主和属组用户(一般来说，是文件属主所在的缺省组)可读 r-- r-- r- - 任何用户都可读，但不能写或执行 rwx r-- r- - 文件属主可读、写、执行，属组用户和其他用户只可读 rwx r-x --- 文件属主可读、写、执行，属组用户可读、执 rwx r-x r- x 文件属主可读、写、执行，属组用户和其他用户可读、执行 rw- rw- --- 文件属主和属组用户可读、写 rw- rw- r-- 文件属主和属组用户可读、写，其他用户可读 rw- rw- rw- 文件属主和属组用户及其他用户读可以读、写，慎用这种权限 设置，因为任何用户都可以写入该文件 使用chmod来改变权限位 这一命令有符号模式和绝对模式。 符号模式 chmod命令的一般格式为: chmod [who] operator [permission] filename w h o的含义是: u 文件属主权限。 g 属组用户权限。 o 其他用户权限。 a 所有用户(文件属主、属组用户及其他用户)。 o p e r a t o r的含义: + 增加权限。 - 取消权限。 = 设定权限。 p e r m i s s i o n的含义: r 读权限。 w 写权限。 x 执行权限。 s 文件属主和组set-ID。 t 粘性位*。 l 给文件加锁，使其他用户无法访问。 u,g,o 针对文件属主、属组用户及其他用户的操作。 t:sticky bit，该位可以理解为防删除位. 一个文件是否可以被某用户删除, 主要取决于该文件所属的组是否对该用户的文件具有写权限. 如果没有写权限, 则这个目录下的所有文件都不能被删除, 同时也不能添加新的文件. 如果希望用户能够添加文件但同时不能删除文件, 则可以对文件使用sticky bit位. 设置该位后, 就算用户对目录具有写权限, 也不能删除该文件。它的主要作用就是共享文件，典型的如/tmp分区。 ########################### 以下是测试 以test1用户登陆: cd /tmp mkdir test1 ll drwxr-xr-x 2 test1 wheel - 512 Apr 20 15:35 test1/ cd test1 touch test1 touch test2 ll -rw-r--r-- 1 test1 wheel - 0 Apr 20 15:35 test1 -rw-r--r-- 1 test1 wheel - 0 Apr 20 15:35 test2 这个时候，test1目录的权限是755，因此文件属组没有写权限，因此只有test1用户才能在 test1目录下建文件，其它用户只能读、访问test1目录，无法建文件的，用test2用户测 试一下: touch temp1 touch: temp1: Permission denied 现在用test1用户给test1目录加权限: chmod g+w test1 ll drwxrwxr-x 2 test1 wheel - 512 Apr 20 15:35 test1/ 现在test1目录权限是775，文件属组有写权限，因此与test1用户同属于wheel组的test2 用户应该可以建文件了，测试一下: touch test3 ll -rw-r--r-- 1 test1 wheel - 0 Apr 20 15:35 test1 -rw-r--r-- 1 test1 wheel - 0 Apr 20 15:35 test2 -rw-r--r-- 1 test2 wheel - 0 Apr 20 15:39 test3 现在再把test1目录的权限改回755，用test1用户 cd /tmp chmod g-w test1 ll drwxr-xr-x 2 test1 wheel - 512 Apr 20 15:40 test1/ 现在试试删除文件，用test2用户删除test1用户的文件。 rm test1 override rw-r--r-- test1/wheel for test1? y rm: test1: Permission denied ll -rw-r--r-- 1 test1 wheel - 0 Apr 20 15:39 test1 因为test1的权限为644，所以与test1用户同组的test2用户对它没有写权限，所以无法删除。 现在用test1用户给test1文件增加权限: chmod g+w test1 ll drwxr-xr-x 2 test1 wheel - 512 Apr 20 15:40 ./ -rw-rw-r-- 1 test1 wheel - 0 Apr 20 15:39 test1 然后再次用test2用户删除: rm test1 rm: test1: Permission denied 因为删除文件本身就是在“写”目录，所以必须对目录有“写”权限。而此时test1目录的权限是755，用test1用户把它改成775以后，test2用户就能删除了。 rm test1 override rw-r--r-- test1/wheel for test1? y 结论是:文件名是保存在目录中的，因此创建、重命名和删除文件都只需要对目录有写权限，文件权限对这些操作没有影响。或许正如雨丝风片说的那样:“人在屋檐下，怎能不低头”,hehe 现在该试sticky bit了，换到test1用户下 ll drwxr-xr-x 2 test1 wheel - 512 Apr 20 16:01 test1/ chmod g+t test1 ll drwxr-xr-t 2 test1 wheel - 512 Apr 20 16:01 test1/ cd test1 touch test1 touch test2 ll -rw-r--r-- 1 test1 wheel - 0 Apr 20 16:06 test1 -rw-r--r-- 1 test1 wheel - 0 Apr 20 16:06 test2 这个时候再把test1目录给属组写权限，按照上面的实验test2用户应该可以删除test1、 test2文件的，我们来试试: chmod g+w test1 ll drwxrwxr-t 2 test1 wheel - 512 Apr 20 16:06 test1/ 现在让test2用户删除一下test1文件: rm test1 override rw-r--r-- test1/wheel for test1? y rm: test1: Operation not permitted 现在让test2用户建个文件: touch test3 ll -rw-r--r-- 1 test1 wheel - 0 Apr 20 16:06 test1 -rw-r--r-- 1 test1 wheel - 0 Apr 20 16:06 test2 -rw-r--r-- 1 test2 wheel - 0 Apr 20 16:09 test3 看test1用户是否可以删除: rm test3 override rw-r--r-- test2/wheel for test3? y 为什么哪:因为test1目录是test1用户建立的，因此test1目录内的文件任由test1用户处理，正如那句广告词“我的地盘我做主”，呵呵。这个也正是sticky bit的作用所在: test1建立的目录，设置了sticky bit之后，只有test1用户可以任意处置test1目录下的文件，而其他用户只能处置自己建的文件，当然前提是test1用户给他赋予了w权限。 这个时候换另外一个用户test3，它来删除test3 rm test3 override rw-r--r-- test2/wheel for test3? y rm: test3: Operation not permitted 它也不行，除非是test1目录的创建者，否则其他用户只能管理自己的文件，当然root除外。 ########################### chmod a-x temp //rw- rw- rw- 收回所有用户的执行权限 chmod og-w temp //rw- r-- r- - 收回属组用户和其他用户的写权限 chmod g+w temp //rw- rw- r- - 赋予属组用户写权限 chmod u+x temp //rwx rw- r- - 赋予文件属主执行权限 chmod go+x temp //rwx rwx r- x 赋予属组用户和其他用户执行权限 举如 当创建temp文件时，它具有这样的权限: -rw-r--r-- 1 root root 0 10月 19 20:16 temp 如果要使属主和属组用户具有有执行权限，并取消其他用户(所有其他用户)的写权限，可以用: $ chmod ug+x temp $ chmod o-w temp 这样，该文件的权限变为: -rwxr--r-- 1 root root 0 10月 19 20:16 temp 现在已经使文件属主对temp文件具有读、写执行的权限,属组用户真有读写权限，其它用户没有权限了。 绝对模式 chmod命令绝对模式的一般形式为: chmod [mode] file 其中m o d e是一个八进制数。 在绝对模式中，权限部分有着不同的含义。每一个权限位用一个八进制数来代表，如 0 4 0 0 文件属主可读 0 2 0 0 文件属主可写 0 1 0 0 文件属主可执行 0 0 4 0 属组用户可读 0 0 2 0 属组用户可写 0 0 1 0 属组用户可执行 0 0 0 4 其他用户可读 0 0 0 2 其他用户可写 0 0 0 1 其他用户可执行 在设定权限的时候，只需按照上面查出与文件属主、属组用户和其他用户所具有的权限相对应的数字，并把它们加起来，就是相应的权限表示。 可以看出，文件属主、属组用户和其他用户分别所能够具有的最大权限值就是7。 再来看看前面举的例子: -rwxr--r-- 1 root 0 10月 19 20:16 temp 相应的权限是: rwx-:0400 + 0200 +0100 (文件属主可读、写、执行) = 0 7 0 0 r--:0 0 4 0 (属组用户可读) = 0 0 4 0 r--:0 0 4 0 (属组用户可读) = 0 0 4 0 0 7 4 4 有一个计算八进制权限表示的更好 办法 鲁班奖评选办法下载鲁班奖评选办法下载鲁班奖评选办法下载企业年金办法下载企业年金办法下载 ，如下: 文件属主:r w x:4 + 2 + 1 属组用户:r w x:4 + 2 + 1 其他用户:r w x:4 + 2 + 1 这上面这相，更容易地计算出相应的权限值，只要分别针对文件属主、属组用户和其他用户把相应权限下面的数字加在一起就可以了。 temp文件具有这样的权限: r w x r - - r - - 4+2+1 4 4 把相应权限位所对应的值加在一起，就是7 4 4。 如: chmod 666 rw- rw- rw- 赋予所有用户读和写的权限 chmod 644 rw- r-- r- - 赋予所有文件属主读和写的权限，所有其他用户读权限 chmod 744 rwx r-- r- - 赋予文件属主读、写和执行的权限，所有其他用户读的权限 chmod 664 rw- rw- r- - 赋予文件属主和属组用户读和写的权限，其他用户读权限 chmod 700 rwx --- --- 赋予文件属主读、写和执行的权限 chmod 444 r-- r-- r- - 赋予所有用户读权限 下面举一个例子，假定有一个名为temp的文件，具有如下权限: -rw-rw-r-- 1 root 0 10月 19 20:16 test1 现在希望对该文件可读、写和执行， root组用户对该文件只读，可以键入: $chmod 740 test1 $ls -l -rwxr----- 1 root 0 10月 19 20:16 test1 如果文件可读、写和执行，对其他所有用户只读，用: $chmod 744 test1 $ls -l -rwxr--r-- 1 root 0 10月 19 20:16 test1 如果希望一次设置目录下所有文件的权限，可以用: $chmod 664 * $ls -l -rw-r--r-- 1 root 0 10月 19 20:16 test1 这将使文件属主和属组用户都具有读和写的权限，其他用户只具有读权限。 还可以通过使用- R选项连同子目录下的文件一起设置: chmod -R 664 /temp/* 这样就可以一次将/ temp目录下的所有文件连同各个子目录下的文件的权限全部设置为文件属主和属组用户可读和写，其他用户只读。使用- R选项一定要谨慎，只有在需要改变目录树下全部文件权限时才可以使用。 目录 目录的权限位和文件有所不同。目录的读权限位意味着可以列出其中的内容。写权限位意味着可以在该目录中创建文件，如果不希望其他用户在你的目录中创建文件，可以取消相应的写权限位。执行权限位则意味着搜索和访问该目录. r :可以列出该目录中的文件 w:可以在该目录中创建或删除文件 x:可以搜索或进入该目录 权限文件属主属组用户其他用户 drwx rwx r- x ( 775 ) 属主读、写、执行，属组读、写、执行，其它组读、执行 drwx r-x r- - ( 754 ) 属主读、写、执行，属组读、执行，其它组读 drwx r-x r- x ( 755 ) 属主读、写、执行，属组读、执行，其它组读、执行 如果把属组用户或其他用户针对某一目录的权限设置为- - x，那么他们将无法列出该目录中的文件。如果该目录中有一个执行位置位的脚本或程序，只要用户知道它的路径和文件名，仍然可以执行它。用户不能够进入该目录并不妨碍他的执行。 目录的权限将会覆盖该目录中文件的权限。例如，如果目录temp具有如下的权限: drwxr--r-- 1 admin 0 10月 19 20:16 temp 而目录下的文件myfile的权限为: -rwxrwxrwx 1 admin 0 10月 19 20:16 myfile 那么admin组的用户将无法编辑该文件，因为它所属的目录不具有这样的权限。 该文件对任何用户都可读，但由于它所在的目录并未给admin组的用户赋予执行权限，所以该组的用户都将无法访问该目录，他们将会得到“访问受限”的错误消息。