文章內(nèi)容

Linux 文件權(quán)限詳解

發(fā)布時間: 2012/8/2 18:17:03

　　當我們在目錄中使用 ll 或 ls -l 指令時第一列會顯示出目錄下文件的權(quán)限權(quán)限的格式是這個樣子的 -rwxrwxrwx
　　我們分開來解釋：
　　第一個 - 表示文件的類型：-普通文件 d目錄文件 l符號鏈接文件（軟連接文件） c符設(shè)備文件 b塊設(shè)備文件 p管道文件 s socket文件
　　rwx代表的意思分別是：read可讀 write可寫 executive可執(zhí)行；
　　把rwx用二進制來表示，有權(quán)限就用1表示，沒權(quán)限用0表示例如 rw- =110 r--=100 r-w =101 依次類推，之后再轉(zhuǎn)化為十進制：rw-=110=4+2+0=6 r-x=101=4+0+1=5 所以我們可以直接理解為r=4,w=2,x=1，用十進制便是文件權(quán)限：rwx=4+2+1=7 , r-x=4+1=5
　　舉些例子：
　　644 = rw-r--r-- 755=rwx-r-xr-x 631=rw--wx--x
　　從前往后三組rwx代表的意思：user屬主 group屬組 other其它
　　設(shè)置權(quán)限的方法：以文件 file 原權(quán)限為644（rw-r--r--）為例
　　chmod +x file    默認為添加屬主的執(zhí)行權(quán)限
　　chmod 755 file   rwxr-xr-x
　　chmod u+x file rwxr--r-- 數(shù)組添加執(zhí)行權(quán)限
　　chmod g=rwx file chmod g=674 file rw-rwxr-- 屬組改為rwx權(quán)限
　　chmod o-r file   rw-r----- 減去其它用戶的可讀權(quán)限
　　這樣子大家就明白了吧
　　我們創(chuàng)建的新文件權(quán)限為644 新目錄權(quán)限為755 這是為什么呢？
　　大家看一下各權(quán)限可做的事情就明白了：
　　files                                       directory
　　r:           cat，more，less                                  ls
　　w:                  vim                                         creat files
　　x：                script                                           cd
　　那我們又是怎么限定創(chuàng)建文件的權(quán)限的呢？
　　linux里面，用一種umask的掩碼似的東西限定新創(chuàng)建文件的權(quán)限，默認umask為0022（普通用戶的umask通常為0002）
　　例子：我們創(chuàng)建一個文件：它的權(quán)限就是666-022=644
　　我們創(chuàng)建一個目錄：它的權(quán)限就是777-022=755
　　暫時性更改umask：例子：umask=027
　　umask文件保存與/etc/bashrc中想要永久生效可以更改/etc/bashrc/umask文件
　　想要只對自己生效可以更改家目錄下的.bash文件添加一行umask=nnn即可
　　下面我們重點介紹的是文件的特殊屬性：
　　安全上下文：任何時刻用戶靠進程操作計算機，進程能否訪問一個文件取決于發(fā)起這個進程的用戶對該文件所擁有的權(quán)限：若發(fā)起進程的用戶與文件屬主匹配，以該用戶權(quán)限訪問；否則，若發(fā)起進程的組與該文件數(shù)組匹配，以該組的權(quán)限進行訪問；否則以發(fā)起者權(quán)限訪問。這就叫做安全上下文
　　開始介紹3個特殊權(quán)限：suid sgid sticky
　　suid:通常用于可執(zhí)行文件任何用戶操作此權(quán)限文件使用該文件屬主權(quán)限
　　sgid:通常用于目錄任何用戶操作此權(quán)限文件夾使用該文件夾屬組權(quán)限
　　sticky:通常用于公共類型的目錄對于此權(quán)限目錄，任何用戶可在里面創(chuàng)建文件，但是只允許更改或刪除屬于自己的文件
　　舉例說明下他們的作用
　　suid：/etc/passwd文件擁有suid權(quán)限。普通用戶更改密碼時，要運行passwd文件，passwd對/etc/shadow（存放密碼的文件）文件進行操作更改密碼。要知道普通用戶對shadow文件沒有任何權(quán)限，所以普通用戶執(zhí)行的passwd程序不能更改shadow。這時候就用到了suid權(quán)限，這個權(quán)限使用戶運行的passwd命令使用的是 passwd文件屬主root的權(quán)限，擁有root權(quán)限的passwd命令有權(quán)限更改/etc/shadow文件，于是普通用戶可以成功更改自己密碼。
　　sticky：/tmp /var/tmp 目錄對于任何人有任何權(quán)限，因為它是存放臨時文件的地方，這種公共目錄下，一個用戶文件有被其他用戶隨意破壞的危險，sticky權(quán)限正好避免了這一危險
　　更改特殊權(quán)限方法：
　　chmod u+s filename 屬主添加suid權(quán)限
　　chmod g+s filename 屬組添加sgid權(quán)限
　　chmod o+t filename 目錄添加scitky權(quán)限
　　suid sgid sticky 同樣可用 4 2 1 表示
　　例：chmod 4644 filename 表示 u+s
　　rwS 表示權(quán)限有r w s
　　rws 表示的權(quán)限為 r w x s
　　t權(quán)限同理
　　下面大家可以自己動手演示一下，我們最好用復雜一點的方法實現(xiàn)，練習一下權(quán)限操作。
　　提示：
　　mkdir -pv /test/share -p提示創(chuàng)建信心 -v遞歸創(chuàng)建
　　chmod o+rx /test
　　groupadd penguin 創(chuàng)建組penguin
　　chgrp penguin /test/share 更改/test/share屬組為penguin
　　chmod g=rwx /test/share
　　useradd -G penguin gentoo
　　useradd -G penguin ubuntu   創(chuàng)建用戶并添加到組penguin
　　chmod g+s /test/share
　　登陸兩個用戶分別在/test/share目錄中創(chuàng)建幾個文件看是否能給刪除
　　chmod o+t /test/share
　　再登陸兩個用戶分別在/test/share目錄中創(chuàng)建幾個文件看是否能給刪除
　　（如果以上操作不成功可能是selinux的作用，我們可以在前面執(zhí)行setenforce0命令暫時關(guān)閉selinux再執(zhí)行以下操作）