Linux文件的访问权限及其控制(转)

Linux文件的访问权限及其控制

前面我们曾经说过，文件系统要实现对文件的保护，那么它是如何实现的呢？

它主要是通过对用户访问权限的控制。

现在我们再来看一下我们上次所说的通过shell命令" ls" 来查看文件的属性时所出现的一串字符代表什么意思。

drwxr-xr-x      3            root         root          4096           2010-08-02 14:18   .

drwxr-xr-x      48          ryan        ryan         4096            2010-08-20 17:04   ..

drwxr-xr-x      2            root         root          4096            2010-08-19 21:05   tiger

[属性]        [ 文件数]    [ 拥有者 ] [ 用户组 ]  [ 文件大小 ] [ 修改日期 ]             [ 文件名 ]

1>第一项文件属性总共由10位构成，第一位表示文件类型。剩下的九位都是表示文件的访问权限，可以按照每3个一组分为3组，从左到右，第一组表示文件所有者对该文件的操作权限，第二组表示与文件所有者同组（group)的用户对该文件的操作权限，第三组表示其他用户对该文件的操作权限。每组只可能出现3种字母。

2>第二项表示文件个数。对于文件，这一项的值是1；对于目录这一项的值就是该目录中的目录文件个数（如果是空目录则系统只有默认的两个目录项：.(当前母录）和 ..(当前目录的子目录）)

3>第三项表示该文件或目录的所有者

4>第四项表示文件所有者所属的组（group)

5>第五项表示文件的大小，默认为字节

6>第六项是最后一次的修改时间。以“月，日，时间“的格式表示。

7>最后一项表示文件名

--------------------------------------------

现在我们具体来说明第一项中的文件权限

一.文件权限

1. 先看一个实例       

d                         rwx                     r-x                  r-x       

[ 文件类型]    [owner权限]   [group权限]      [other权限]

1>第一个属性，文件类型 ：[d]表示目录           

                                                  [-]表示文件            

                                                  [l]表示链接文件            

                                                  [b]表示设备文件中可供存储的接口设备(块设备）            

                                                  [c]表示设备文件中的串行端口设备

2>接下来的属性中，3个为一组，且群为rwx三个参数的组合：                

[r]表示可读            

[w]表示可写            

[x]表示执行

3>可以用八进制数字表示每个属性，每个属性对应的数字是 

r对应 4，w 对应 2 ，x 对应 1

我们可以将同一组的三个属性进行累加,例如当属性为 [-rwxrwxrwx] 则为 777.

2.那么如何通过shell 命令来更改文件权限呢

1>  chgrp :改变文件所属用户组。

2>  chown :改变文件拥有者。

3>  chmod :改变文件的属性 , SUID 等属性。

a.chgrp  [-r]    groupname       dirname/filename

需要注意的是,你要改成的用户组的名称,必须在 /etc/group 里存在,否则就会显示错误。(-r表示递归执行）

函数的实例:

sudo chgrp root 1 

把1的用户组权限该成root

b.chown [-r]     groupname    dirname/filename

函数的实例：

sudo chown root 1 

把1的[owner权限]该为root

c.还有一种方法也可以修改文件权限   

                    u(用户）     + （加入）  r/w/x

chmodg（组）-(除去）w/r/x+file/dir

o(other)=(设置）x/r/w

我们一般比较常用chmod 来该文件的权限

现在我们来体验一下:

首先    ：touch  tiger(创建一个tiger文件) 

然后用：ls -l   tiger(查看一下它的属性)

具体实现:

think@ubuntu:~/test$ touch tiger

think@ubuntu:~/test$ ls -l tiger

运行结果:

-rw-r--r-- 1 think think 0 2010-11-16 14:39 tiger

可以看到文件的属性是:用户具有读和写的权限

那么我们让用户具有执行的权限可以通过命令:chmod u+x 文件名来实现

具体实现:

think@ubuntu:~/test$ sudo chmod u+x tiger

think@ubuntu:~/test$ ls -l tiger

运行结果:

-rwxr--r-- 1 think think 0 2010-11-16 14:39 tiger

从显示的结果可以看出现在的用户具有了rwx的权限.

Tiger-John说明:

我们也可以通过8进制数子来实现文件权限的修改例如:我们输入命令: sudo chmod 777   tiger

执行完后所有的用户都具有了读写执行的权限(其中 7=4+2+1,4表示r,2表示w,1表示x)所以就表示它即有读，写，执行的权限。

3.下面对setuid ,setgid,stickybit的三个权限进行说明：

1>一个文件都有一个所有者, 表示该文件是谁创建的。同时， 该文件还有一个组编号， 表示该文件所属的组， 一般为文件所有者所属的组。如果是一个可执行文件， 那么在执行时， 一般该文件只拥有调用该文件的用户具有的权限。

而setuid, setgid 可以来改变这种设置.

2>setuid ,setgid,stickybit的用法

a.setuid: 设置使文件在执行阶段具有文件所有者的权限. 典型的文件是 /usr/bin/passwd. 如果一般用户执行该文件, 则在执行过程中, 该文件可以获得root权限, 从而可以更改用户的密码.

b.setgid: 该权限只对目录有效。目录被设置该位后，任何用户在此目录下创建的文件都具有和该目录所属的组相同的组。

c.sticky bit: 该位可以理解为防删除位. 一个文件是否可以被某用户删除, 主要取决于该文件所属的组是否对该用户具有写权限. 如果没有写权限, 则这个目录下的所有文件都不能被删除, 同时也不能添加新的文件. 如果希望用户能够添加文件但同时不能删除文件, 则可以对文件使用sticky bit位. 设置该位后, 就算用户对目录具有写权限, 也不能删除该文件.

3>那么如何操作这些标志操作这些标志与操作文件权限的命令是一样的, 都是用 chmod命令。

有两种方法来操作

a.  

 chmod u+s  tiger       表示为tiger文件加上setuid标志. (setuid 只对文件有效)     

 chmod g+s  tigerdir   表示为tigerdir目录加上setgid标志 (setgid 只对目录有效)     

 chmod o+t   tiger        表示为tiger文件加上sticky标志 (sticky只对文件有效)

Tiger-John说明：

setuid 只对文件有效

setgid 只对目录有效

sticky只对文件有效

b.采用八进制方式。

对一般文件通过上面所说的方法用三组八进制数字来置标志, 如 666, 777, 644等. 如果设置这些特殊标志，则在这组数字之外外加一组八进制数字。如 4666, 2777等. 这一组八进制数字三位的意义如下  

abc  

a - setuid位, 如果该位为1, 则表示设置setuid  

b - setgid位, 如果该位为1, 则表示设置setgid  

c - sticky位,  如果该位为1, 则表示设置sticky

设置完这些标志后, 可以用 ls -l 来查看。如果有这些标志, 则会在原来的执行标志位置上显示。

如  rwsrw-r--    表示有setuid标志

      rwxrwsrw-  表示有setgid标志

      rwxrw-rwt   表示有sticky标志

Tiger-John说明：

那么原来的执行标志x到哪里去了呢? 系统是这样规定的, 如果本来在该位上有x, 则这些特殊标志显示为小写字母 (s, s, t). 否则, 显示为大写字母 (S, S, T)