Linux文件的访问权限及其控制(转)

出自     http://blog.csdn.net/tigerjb/article/details/6012343

 

 

 

Linux文件的访问权限及其控制

前面我们曾经说过，文件系统要实现对文件的保护，那么它是如何实现的呢？

它 主要是通过对用户访问权限的控制。

现在我们再来看一下我们上次所说的通过shell命令" ls" 来查看文件的属性时所出现的一串字符代表什么意思 。

drwxr-xr-x      3            root         root          4096           2010-08-02 14:18   .

drwxr-xr-x      48          ryan        ryan         4096            2010-08-20 17:04   ..

drwxr-xr-x      2            root         root          4096            2010-08-19 21:05   tiger

[属性]        [ 文件数]    [ 拥有者 ] [ 用户组 ]  [ 文件大小 ] [ 修改日期 ]             [ 文件名 ]

1> 第一项文件属性总共由10位构成，第一位表示文件类型。剩下的九位都是表示文件的访问权限，可以按照每3个一组分为3组，从左到右，第一组表示文件所有者 对该文件的操作权限，第二组表示与文件所有者同组（group)的用户对该文件的操作权限，第三组表示其他用户对该文件的操作权限。每组只可能出现3种字 母。

2>第二项表示文件个数。对于文件，这一项的值是1；对于目录这一项的值就是该目录中的目录文件个数（如果是空目录则系统只有默认的两个目录项：.(当前母录）和 ..(当前目录的子目录）)

3>第三项表示该文件或目录的所有者

4>第四项表示文件所有者所属的组（group)

5>第五项表示文件的大小，默认为字节

6>第六项是最后一次的修改时间。以“月，日，时间“的格式表示。

7>最后一项表示文件名

--------------------------------------------

现在我们具体来说明第一项中的文件权限

一.文件权限

1. 先看一个实例         

d                         rwx                     r-x                  r-x       

[ 文件类型]    [owner权限]   [group权限]      [other权限]

1>第一个属性，文件类型 ：[d]表示目录            

                                                  [-]表示文件             

                                                  [l]表示链接文件             

                                                  [b]表示设备文件中可供存储的接口设备(块设备）             

                                                  [c]表示设备文件中的串行端口设备

2>接下来的属性中，3个为一组，且群为rwx三个参数的组 合：                 

[r]表示可读             

[w]表示可写             

[x]表示执行

3>可以用八进制数字表示每个属性，每个属性对应的数字是  

r对应 4，w 对应 2 ，x 对应 1

我们可以将同一组的三个属性进行累加,例如当属性为 [-rwxrwxrwx] 则为 777.

2.那么如何通过shell 命令来更改文件权限呢

1>  chgrp :改变文件所属用户组。

2>  chown :改变文件拥有者。

3>  chmod :改变文件的属性 , SUID 等属性。

a.chgrp  [-r]    groupname       dirname/filename

需要注意的是,你要改成的用户组的名称,必须在 /etc/group 里存在,否则就会显示错误。(-r表示递归执行）

函数的实例:

sudo chgrp root 1 

把1的用户组权限该成root

b.chown [-r]     groupname    dirname/filename

函数的实例 ：

sudo chown root 1 

把1的[owner权限]该为root

c.还有一种方法也可以修改文件权限    

                    u(用户）     + （加入）  r/w/x

  chmod      g（组）      -(除去）   w/r/x           +file/dir

                    o(other)    =(设置）   x/r/w
        
                   a(所用用户组） +        r/w/x      

我们一般比较常用chmod 来该文件的权限

 

现在我们来体验一下:

首先    ：touch  tiger(创建一个tiger文件) 

然后用：ls -l   tiger(查看一下它的属性)

具体实现:

think@ubuntu:~/test$ touch tiger

think@ubuntu:~/test$ ls -l tiger

运行结果:

-rw-r--r-- 1 think think 0 2010-11-16 14:39 tiger

可以看到文件的属性是:用户具有读和写的权限

那么我们让用户具有执行的权限可以通过命令: chmod u+x 文件名来实现

具体实现:

think@ubuntu:~/test$ sudo chmod u+x tiger

think@ubuntu:~/test$ ls -l tiger

运行结果:

-rwxr--r-- 1 think think 0 2010-11-16 14:39 tiger

从显示的结果可以看出现在的用户具有了rwx的权限.

Tiger-John说明:

我们也可以通过8进制数子来实现文件权限的修改 例如:我们输入命令: sudo chmod 777   tiger

执行完后所有的用户都具有了读写执行的权限 (其中 7=4+2+1,4表示r,2表示w,1表示x)所以就表示它即有读，写，执行的权限。

3.下面对setuid ,setgid,stickybit的三个权限进行说明 ：

1>一个文件都有一个所有者, 表示该文件是谁创建的。同时， 该文件还有一个组编号， 表示该文件所属的组， 一般为文件所有者所属的组。如果是一个可执行文件， 那么在执行时， 一般该文件只拥有调用该文件的用户具有的权限 。

而setuid, setgid 可以来改变这种设置.

2>setuid ,setgid,stickybit的用法

a.setuid: 设置使文件在执行阶段具有文件所有者的权限. 典型的文件是 /usr/bin/passwd. 如果一般用户执行该文件, 则在执行过程中, 该文件可以获得root权限, 从而可以更改用户的密码.

b.setgid: 该权限只对目录有效。目录被设置该位后，任何用户在此目录下创建的文件都具有和该目录所属的组相同的组。

c.sticky bit: 该位可以理解为防删除位. 一个文件是否可以被某用户删除, 主要取决于该文件所属的组是否对该用户具有写权限. 如果没有写权限, 则这个目录下的所有文件都不能被删除, 同时也不能添加新的文件. 如果希望用户能够添加文件但同时不能删除文件, 则可以对文件使用sticky bit位. 设置该位后, 就算用户对目录具有写权限, 也不能删除该文件.

3>那么如何操作这些标志 操作这些标志与操作文件权限的命令是一样的, 都是用 chmod命令。

有两种方法来操作

a.  

 chmod u+s  tiger       表示为tiger文件加上setuid标志. (setuid 只对文件有效)      

 chmod g+s  tigerdir   表示为tigerdir目录加上setgid标志 (setgid 只对目录有效)      

 chmod o+t   tiger        表示为tiger文件加上sticky标志 (sticky只对文件有效)

 

Tiger-John说明：

setuid 只对文件有效

setgid 只对目录有效

sticky只对文件有效

 

b.采用八进制方式。

对一般文件通过上面所说的方法用三组八进制数字来置标志, 如 666, 777, 644等. 如果设置这些特殊标志，则在这组数字之外外加一组八进制数字。如 4666, 2777等. 这一组八进制数字三位的意义如下   

abc   

a - setuid位, 如果该位为1, 则表示设置setuid   

b - setgid位, 如果该位为1, 则表示设置setgid   

c - sticky位,  如果该位为1, 则表示设置sticky

设置完这些标志后, 可以用 ls -l 来查看。如果有这些标志, 则会在原来的执行标志位置上显示。

如  rwsrw-r--    表示有setuid标志

      rwxrwsrw-  表示有setgid标志

      rwxrw-rwt   表示有sticky标志

Tiger-John说明：

那么 原来的执行标志x到哪里去了呢? 系统是这样规定的, 如果本来在该位上有x, 则这些特殊标志显示为小写字母 (s, s, t). 否则, 显示为大写字母 (S, S, T)