LINUX基础:文件安全与权限
当创建一个文件的时候,系统保存了有关该文件的全部信息,包括:
• 文件的位置。
• 文件类型。
• 文件长度。
• 哪位用户拥有该文件,哪些用户可以访问该文件。
• i节点。
• 文件的修改时间。
• 文件的权限位。
让我们用touch命令创建一个文件:
创建了一个空文件,现在用ls -l命令查看该目录下文件的属性(我这里用中文版):
如下:
-rw-r--r-- :这是该文件的权限位。
第一个横杠:指定文件类型,表示该文件是一个普通文件。(所创建的文件绝大多数都是普通文件或符号链接文件)。
除去最前面的横杠,一共是9个字符,他们分别对应9个权限位。通过这些权限位,可以设定用户对文件的访问权限。对这两个文件的精确解释是:
temp在创建的时候并未给属主赋予执行权限,在用户创建文件时,系统不会自动地设置执行权限位。这是出于加强系统安全的考虑
BTW:文件的属主组并非是文件所有者所在的缺省组,而可以是任何一个跟该文件所有者无关的用户组
文件类型
前面提到的第一条横杠,表示该文件是普通文件型
文件类型有七种,它可以从ls -l命令所列出的结果的第一位看出.
七种类型:
文件的权限位中中每一组字符中含有三个权限位:
如:
使用chmod来改变权限位
这一命令有符号模式和绝对模式。
符号模式
chmod命令的一般格式为:
chmod [who] operator [permission] filename
w h o的含义是:
o p e r a t o r的含义:
p e r m i s s i o n的含义:
对"t"还没弄清楚这是"sunsroad"的解释:
例如
举如
当创建temp文件时,它具有这样的权限:
如果要使属主和同组用户具有有执行权限,并取消其他用户(所有其他用户)的写权限,可以用:
这样,该文件的权限变为:
现在已经使文件属主对temp文件具有读、写执行的权限,同组用户真有读写权限,其它用户没有权限了。
绝对模式
chm d命令绝对模式的一般形式为:
chmod [mode] file
其中m o d e是一个八进制数。
在绝对模式中,权限部分有着不同的含义。每一个权限位用一个八进制数来代表,如
在设定权限的时候,只需按照上面查出与文件属主、同组用户和其他用户所具有的权限相对应的数字,并把它们加起来,就是相应的权限表示。
可以看出,文件属主、同组用户和其他用户分别所能够具有的最大权限值就是7。
再来看看前面举的例子:
相应的权限是:
有一个计算八进制权限表示的更好办法,如下:
这上面这相,更容易地计算出相应的权限值,只要分别针对文件属主、同组用户和其他用户把相应权限下面的数字加在一起就可以了。
temp文件具有这样的权限:
把相应权限位所对应的值加在一起,就是7 4 4。
如:
下面举一个例子,假定有一个名为temp的文件,具有如下权限:
现在希望对该文件可读、写和执行, root组用户对该文件只读,可以键入:
如果文件可读、写和执行,对其他所有用户只读,用:
如果希望一次设置目录下所有文件的权限,可以用:
这将使文件属主和同组用户都具有读和写的权限,其他用户只具有读权限。
还可以通过使用- R选项连同子目录下的文件一起设置:
这样就可以一次将/ temp目录下的所有文件连同各个子目录下的文件的权限全部设置为文件属主和同组用户可读和写,其他用户只读。使用- R选项一定要谨慎,只有在需要改变目录树下全部文件权限时才可以使用。
目录
目录的权限位和文件有所不同。目录的读权限位意味着可以列出其中的内容。写权限位意味着可以在该目录中创建文件,如果不希望其他用户在你的目录中创建文件,可以取消相应的写权限位。执行权限位则意味着搜索和访问该目录.
权限文件属主同组用户其他用户
如果把同组用户或其他用户针对某一目录的权限设置为- - x,那么他们将无法列出该目录中的文件。如果该目录中有一个执行位置位的脚本或程序,只要用户知道它的路径和文件名,仍然可以执行它。用户不能够进入该目录并不妨碍他的执行。
目录的权限将会覆盖该目录中文件的权限。例如,如果目录temp具有如下的权限:
而目录下的文件myfile的权限为:
那么admin组的用户将无法编辑该文件,因为它所属的目录不具有这样的权限。
该文件对任何用户都可读,但由于它所在的目录并未给admin组的用户赋予执行权限,所以该组的用户都将无法访问该目录,他们将会得到“访问受限”的错误消息。
• 文件的位置。
• 文件类型。
• 文件长度。
• 哪位用户拥有该文件,哪些用户可以访问该文件。
• i节点。
• 文件的修改时间。
• 文件的权限位。
让我们用touch命令创建一个文件:
| 代码: |
| $ touch temp |
创建了一个空文件,现在用ls -l命令查看该目录下文件的属性(我这里用中文版):
如下:
| 代码: |
| [root@Linux_chenwy temp]# ls -l 总用量 36 -rw-r--r-- 1 root root 34890 10月 19 20:17 httpd.conf -rw-r--r-- 1 root root 0 10月 19 20:16 temp |
| 代码: |
| 总用量 36:是ls所列出的入口占用空间的字节数(以K为单位)。 1该文件硬链接的数目。 root文件的属主。 root文件的属主r o o t所在的缺省组(也叫做r o o t )。 34890用字节来表示的文件长度,记住,不是K字节! 10月 19 20:17文件的更新时间。 temp or httd.conf 文件名。 |
| sunsroad 写到: |
BTW:要检查该目录所有文件占用的空间应该用这个命令:du。 譬如说前面说的36是如何计算出来: 首先我们要先了解你所用的文件系统的IO BLOCK(中文叫作簇)为多少,在你所使用的这个文件系统的IO BLOCK大小是4096 Bytes。 他意义是文件系统最小的读写及分配单位,每次读写操作你都不能小于这个尺寸。即使你的文件是只有一个字节。而且文件在硬盘上的存储也是以这个为单位,就是说如果文件尺寸小于这个值,那么它在磁盘上占用的空间就是4096字节。 占用空间的具体算法是:(进一(文件尺寸/4096))×4096。根据这个你就可以计算出你所列举的例子中的文件的空间使用状况:34890除以4096,大约等于8.5,进一法取得为9,就是说文件在磁盘上占用了9个BLOCk,每个BLOCK为4K,所以这两个文件占用的空间就是36K。 这个规则也适合于目录,不过不会出现为0的目录,即使是空目录 |
-rw-r--r-- :这是该文件的权限位。
第一个横杠:指定文件类型,表示该文件是一个普通文件。(所创建的文件绝大多数都是普通文件或符号链接文件)。
除去最前面的横杠,一共是9个字符,他们分别对应9个权限位。通过这些权限位,可以设定用户对文件的访问权限。对这两个文件的精确解释是:
| 代码: |
| rw-:前三位,文件属主可读、写 r--:中间三位,同组用户可读 r--:最后三位,其他用户只可读 |
temp在创建的时候并未给属主赋予执行权限,在用户创建文件时,系统不会自动地设置执行权限位。这是出于加强系统安全的考虑
BTW:文件的属主组并非是文件所有者所在的缺省组,而可以是任何一个跟该文件所有者无关的用户组
文件类型
前面提到的第一条横杠,表示该文件是普通文件型
文件类型有七种,它可以从ls -l命令所列出的结果的第一位看出.
七种类型:
| 代码: |
| d 目录。 l 符号链接(指向另一个文件)。 s 套接字文件。 b 块设备文件。 c 字符设备文件。 p 命名管道文件。 - 普通文件,或者更准确地说,不属于以上几种类型的文件。 |
文件的权限位中中每一组字符中含有三个权限位:
| 代码: |
| r 读权限 w 写/更改权限 x 执行该脚本或程序的权限 |
如:
| 代码: |
| r-- --- --- 文文件属主可读,但不能写或执行 r-- r-- --- 文文件属主和同组用户(一般来说,是文件属主所在的缺省组)可读 r-- r-- r- - 文任何用户都可读,但不能写或执行 rwx r-- r- - 文文件属主可读、写、执行,同组用户和其他用户只可读 rwx r-x --- 文文件属主可读、写、执行,同组用户可读、执 rwx r-x r- x 文文件属主可读、写、执行,同组用户和其他用户可读、执行 rw- rw- --- 文文件属主和同组用户可读、写 rw- rw- r- - 文文件属主和同组用户可读、写,其他用户可读 rw- rw- --- 文文件属主和同组用户及其他用户读可以读、写,慎用这种权限 设置,因为任何用户都可以写入该文件 |
| sunsroad 写到: |
| 文件的所有者组并非是文件所有者所在的缺省组,而可以是任何一个跟该文件所有者无关的用户组。 |
使用chmod来改变权限位
这一命令有符号模式和绝对模式。
符号模式
chmod命令的一般格式为:
chmod [who] operator [permission] filename
w h o的含义是:
| 代码: |
| u 文件属主权限。 g 同组用户权限。 o 其他用户权限。 a 所有用户(文件属主、同组用户及其他用户)。 |
o p e r a t o r的含义:
| 代码: |
| + 增加权限。 - 取消权限。 = 设定权限。 |
p e r m i s s i o n的含义:
| 代码: |
| r 读权限。 w 写权限。 x 执行权限。 s 文件属主和组set-ID。 t 粘性位*。 l 给文件加锁,使其他用户无法访问。 u,g,o 针对文件属主、同组用户及其他用户的操作。 *在列文件或目录时,有时会遇到“ t”位。“t”代表了粘性位。如果在一个目录上出现“t”位,这就意味着该目录中的文件只有其属主才可以删除,即使某个同组用户具有和属主同等的权限。不过有的系统在这一规则上并不十分严格。 如果在文件列表时看到“ t”,那么这就意味着该脚本或程序在执行时会被放在交换区(虚存)。 |
对"t"还没弄清楚这是"sunsroad"的解释:
| sunsroad 写到: |
| "t"权限用在文件上面是没有意义的,不是什么在交换区的概念,它跟文件的执行没有关系,而主要是为了文件共享设置的。 |
例如
| 代码: |
| chmod a-x temp //rw- rw- rw- 收回所有用户的执行权限 chmod og-w temp //rw- r-- r- - 收回同组用户和其他用户的写权限 chmod g+w temp //rw- rw- r- - 赋予同组用户写权限 chmod u+x temp //rwx rw- r- - 赋予文件属主执行权限 chmod go+x temp //rwx rwx r- x 赋予同组用户和其他用户执行权限 |
举如
当创建temp文件时,它具有这样的权限:
| 代码: |
| -rw-r--r-- 1 root root 0 10月 19 20:16 temp |
如果要使属主和同组用户具有有执行权限,并取消其他用户(所有其他用户)的写权限,可以用:
| 代码: |
| $ chmod ug+x temp $ chmod o-w temp |
这样,该文件的权限变为:
| 代码: |
| -rwxr--r-- 1 root root 0 10月 19 20:16 temp |
现在已经使文件属主对temp文件具有读、写执行的权限,同组用户真有读写权限,其它用户没有权限了。
绝对模式
chm d命令绝对模式的一般形式为:
chmod [mode] file
其中m o d e是一个八进制数。
在绝对模式中,权限部分有着不同的含义。每一个权限位用一个八进制数来代表,如
| 代码: |
| 0 4 0 0 文件属主可读 0 2 0 0 文件属主可写 0 1 0 0 文件属主可执行 0 0 4 0 同组用户可读 0 0 2 0 同组用户可写 0 0 1 0 同组用户可执行 0 0 0 4 其他用户可读 0 0 0 2 其他用户可写 0 0 0 1 其他用户可执行 |
在设定权限的时候,只需按照上面查出与文件属主、同组用户和其他用户所具有的权限相对应的数字,并把它们加起来,就是相应的权限表示。
可以看出,文件属主、同组用户和其他用户分别所能够具有的最大权限值就是7。
再来看看前面举的例子:
| 代码: |
| -rwxr--r-- 1 root 0 10月 19 20:16 temp |
相应的权限是:
| 代码: |
| rwx-:0400 + 0200 +0100 (文件属主可读、写、执行) = 0 7 0 0 r--:0 0 4 0 (同组用户可读) = 0 0 4 0 r--:0 0 4 0 (同组用户可读) = 0 0 4 0 0 7 4 4 |
有一个计算八进制权限表示的更好办法,如下:
| 代码: |
| 文件属主:r w x:4 + 2 + 1 同组用户:r w x:4 + 2 + 1 其他用户:r w x:4 + 2 + 1 |
这上面这相,更容易地计算出相应的权限值,只要分别针对文件属主、同组用户和其他用户把相应权限下面的数字加在一起就可以了。
temp文件具有这样的权限:
| 代码: |
| r w x r - - r - - 4+2+1 4 4 |
把相应权限位所对应的值加在一起,就是7 4 4。
如:
| 代码: |
| chmod 666 rw- rw- rw- 赋予所有用户读和写的权限 chmod 644 rw- r-- r- - 赋予所有文件属主读和写的权限,所有其他用户读权限 chmod 744 rwx r-- r- - 赋予文件属主读、写和执行的权限,所有其他用户读的权限 chmod 664 rw- rw- r- - 赋予文件属主和同组用户读和写的权限,其他用户读权限 chmod 700 rwx --- --- 赋予文件属主读、写和执行的权限 chmod 444 r-- r-- r- - 赋予所有用户读权限 |
下面举一个例子,假定有一个名为temp的文件,具有如下权限:
| 代码: |
| -rw-rw-r-- 1 root 0 10月 19 20:16 test1 |
现在希望对该文件可读、写和执行, root组用户对该文件只读,可以键入:
| 代码: |
| $chmod 740 test1 $ls -l -rwxr----- 1 root 0 10月 19 20:16 test1 |
如果文件可读、写和执行,对其他所有用户只读,用:
| 代码: |
| $chmod 744 test1 $ls -l -rwxr--r-- 1 root 0 10月 19 20:16 test1 |
如果希望一次设置目录下所有文件的权限,可以用:
| 代码: |
| $chmod 664* $ls -l -rw-r--r-- 1 root 0 10月 19 20:16 test1 |
这将使文件属主和同组用户都具有读和写的权限,其他用户只具有读权限。
还可以通过使用- R选项连同子目录下的文件一起设置:
| 代码: |
| chmod -R 664 /temp/* |
这样就可以一次将/ temp目录下的所有文件连同各个子目录下的文件的权限全部设置为文件属主和同组用户可读和写,其他用户只读。使用- R选项一定要谨慎,只有在需要改变目录树下全部文件权限时才可以使用。
目录
目录的权限位和文件有所不同。目录的读权限位意味着可以列出其中的内容。写权限位意味着可以在该目录中创建文件,如果不希望其他用户在你的目录中创建文件,可以取消相应的写权限位。执行权限位则意味着搜索和访问该目录.
| 代码: |
| r :可以列出该目录中的文件 w:可以在该目录中创建或删除文件 x:可以搜索或进入该目录 |
权限文件属主同组用户其他用户
| 代码: |
| drwx rwx r- x ( 775 ) 属主读、写、执行,同组读、写、执行,其它组读、执行 drwx r-x r- - ( 754 ) 属主读、写、执行,同组读、执行,其它组读 drwx r-x r- x ( 755 ) 属主读、写、执行,同组读、执行,其它组读、执行 |
如果把同组用户或其他用户针对某一目录的权限设置为- - x,那么他们将无法列出该目录中的文件。如果该目录中有一个执行位置位的脚本或程序,只要用户知道它的路径和文件名,仍然可以执行它。用户不能够进入该目录并不妨碍他的执行。
目录的权限将会覆盖该目录中文件的权限。例如,如果目录temp具有如下的权限:
| 代码: |
| drwxr--r-- 1 admin 0 10月 19 20:16 temp |
而目录下的文件myfile的权限为:
| 代码: |
| -rwxrwxrwx 1 admin 0 10月 19 20:16 myfile |
那么admin组的用户将无法编辑该文件,因为它所属的目录不具有这样的权限。
该文件对任何用户都可读,但由于它所在的目录并未给admin组的用户赋予执行权限,所以该组的用户都将无法访问该目录,他们将会得到“访问受限”的错误消息。
