linux基础 文件安全与权限

  http://bbs.chinaunix.net/thread-438660-1-1.html

   一, 文件权限位    
      当创建一个文件的时候，系统保存了有关该文件的全部信息，包括：
　　" 文件的位置。
　　" 文件类型。
　　" 文件长度。
　　" 哪位用户拥有该文件，哪些用户可以访问该文件。
　　" i节点。
　　" 文件的修改时间。
　　" 文件的权限位。

      9个权限位。可以设定用户对文件的访问权限  前三位，文件属主、写中间三位,组用户  最后三位,其他用户

      r 读权限
      w 写/更改权限
      x 执行该脚本或程序的权限

      文件类型有七种

　　d 目录。
　　l 符号链接(指向另一个文件)。
　　s 套接字文件。
　　b 块设备文件。
　　c 字符设备文件。
　　p 命名管道文件。
　　- 普通文件，或者更准确地说，不属于以上几种类型的文件。

  二, chmod

       使用chmod来改变权限位
       chmod命令的一般格式为：
       chmod [who] operator [permission] filename

       chmod命令绝对模式的一般形式为：
       chmod [mode] file
       其中m o d e是一个八进制数。
       在绝对模式中，权限部分有着不同的含义。每一个权限位用一个八进制数来代表

       目录的权限位和文件有所不同。目录的读权限位意味着可以列出其中的内容。写权限位意味着可以在该目录中创建文件，如果不希望其他用户在你的目录中创建文件，可以取消相应的写权限位。执行权限位则意味着搜索和访问该目录.

   三, suid/guid

       suid意味着如果A用户对属于他自己的shell脚本文件设置了这种权限，那么其他用户在执行这个脚本的时候就拥有了A用户的权限。所以，如果 root用户对某一脚本设置了这一权限的话则其他用户执行该脚本的时候则拥有了root用户权限。同理，guid意味着执行相应脚本的用户则拥有了该文件所属用户组中用户的权限。
       为什么使用suid/guid？
        举个例子：要对数据库系统进行备份需要有系统管理权限，那么我可以写几个脚本，并设置了它们的guid，这样我指定的一些用户只要执行这些脚本就能够完成相应的工作，而无须以数据库管理员的身份登录，以免不小心破坏了数据库服务器。通过执行这些脚本，他们可以完成数据库备份及其他管理任务，但是在这些脚本运行结束之后，他们就又回复到他们作为普通用户的权限。
       有相当一些命令也设置了suid和guid。如果想找出这些命令，可以进入/bin或/sb in目录，执行下面的命令：
        $ ls -l | grep '^...s'
      上面的命令是用来查找suid文件的；
       $ ls -l | grep '^...s..s'
      上面的命令是用来查找suid和guid的。
      如何设置suid/guid？
       如果希望设置suid，那么就将相应的权限位之前的那一位设置为4；如果希望设置guid，那么就将相应的权限位之前的那一位设置为2；如果希望两者都置位，那么将相应的权限位之前的那一位设置为4+2。
      一旦设置了这一位，一个s将出现在x的位置上。记住：在设置suid或guid的同时，相应的执行权限位必须要被设置。例如，如果希望设置guid，那么必须要让该用户组具有执行权限。
       如果想要对文件login设置suid，它当前所具有的权限为rwx rw- r-- (741)，需要在使用chmod命令时在该权限数字的前面加上一个4，即chmod 4741，这将使该文件的权限变为rws rw- r--。
　　 $ chmod 4741 login
       还可以使用符号方式来设置suid/guid。如果某个文件具有这样的权限： rwx r-x r-x，那么可以这样设置其suid/guid：
       chmod u+s <filename>
       chmod u+g <filename>

   四, chown

      当你创建一个文件时，你就是该文件的属主。一旦你拥有某个文件，就可以改变它的所有权，把它的所有权交给另外一个/ e t c / p a s s w d文件中存在的合法用户。可以使用用户名或用户I D号来完成这一操作。
      在改变一个文件的所有权时，相应的s u i d也将被清除，这是出于安全性的考虑。只有文件的属主和系统管理员可以改变文件的所有权。一旦将文件的所有权交给另外一个用户，就无法再重新收回它的所有权

     chmod 命令 chmod -R -h owner file
      - R选项意味着对所有子目录下的文件也都进行同样的操作。
     - h选项意味着在改变符号链接文件的属主时不影响该链接所指向的目标文件。

   五, umask算法和用法
　　umask命令的一般格式：
　　umask [选项] [掩码]
　　该命令用来设置限制新文件权限的掩码。当新文件被创建时，其最初的权限由文件创建掩码决定。用户每次注册进入系统时，umask命令都被执行，并自动设置掩码改变默认值，新的权限将会把旧的覆盖。
　　选项及其含义如下。
　　-S:显示当前的掩码。
　　umask是从权限中“拿走”相应的位,且文件创建时不能赋予执行权限

　　A 什么是umask？
   　当我们登录系统之后创建一个文件总是有一个默认权限的，那么这个权限是怎么来的呢？这就是umask干的事情。umask设置了用户创建文件的默认 权限，它与chmod的效果刚好相反，umask设置的是权限“补码”，而chmod设置的是文件权限码。一般可在/etc/profile、/etc/bashrc、$ [HOME]/.bash_profile、$[HOME]/.profile或$[HOME]/.bashrc中设置umask值。

     系统管理员必须要为你设置一个合理的 umask值，以确保你创建的文件具有所希望的缺省权限，防止其他非同组用户对你的文件具有写权限。在已经登录之后，可以按照个人的偏好使用umask命 令来改变文件创建的缺省权限。相应的改变直到退出该shell或使用另外的umask命令之前一直有效。一般来说，umask命令是在/etc /profile文件中设置的，每个用户在登录时都会引用这个文件，所以如果希望改变所有用户的umask，可以在该文件中加入相应的条目。如果希望永久 性地设置自己的umask值，那么就把它放在自己$HOME目录下的.profile或.bash_profile或.bashrc文件中。

  六, 符号链接

       软链接和硬链接。修改其中一个，硬连接指向的是节点(inode),而软连接指向的是路径(path)

软链接文件
　　软链接又叫符号链接，这个文件包含了另一个文件的路径名。可以是任意文件或目录，可以链接不同文件系统的文件。和win下的快捷方式差不多。链接文件甚至可以链接不存在的文件，这就产生一般称之为"断链"的问题(或曰“现象"，链接文件甚至可以循环链接自己。类似于编程语言中的递归。
命令格式：
     ln [-s] source_path target_path

硬链接文件
　　info ln 命令告诉您，硬链接是已存在文件的另一个名字，硬连接的命令是
      ln -d existfile newfile
硬链接文件有两个限制
　　1、不允许给目录创建硬链接；
　　2、只有在同一文件系统中的文件之间才能创建链接。

　   对硬链接文件进行读写和删除操作时候，结果和软链接相同。但如果我们删除硬链接文件的源文件，硬链接文件仍然存在，而且保留了愿有的内容。这时，系统就“忘记”了它曾经是硬链接文件。而把他当成一个普通文件。修改其中一个，与其连接的文件同时被修改