[学习笔记]Unix Shell编程之文件安全与权限

-rw-r--r--   1 root    kangym          0 Dec 16 08:56 myfile

-	rw-r--r--	1	root	kangym	0	Dec 16 08:56	myfile
文件类型 d 目录 l 符号文件 s 套接字文件 b 块设备文件 c 字符设备文件 p 命名管道文件 - 普通文件	权限 文件属主的权限+文件属主缺省组权限+系统中其他用户权限 r 读权限(4) w 写权限(2) x 执行权限(1)	文件硬链接数目	文件属主	文件属主所在缺省组	文件大小(不是K字节)	文件更新时间	文件名

 

改变文件权限

suid/guid

chown/chgrp

umask

符号链接

改变文件权限

/*--------------------------------------            改变文件权限命令          --------------------------------------*/

符

号模式

chmod [who] operator [permission] filename

<!--EndFragment-->

operator [+ 增加权限][- 取消权限][= 设定权限]

permission [r 读权限][w 写权限][x 执行权限][s 文件属主和组Set-ID][t 粘贴位*][l 给文件加锁，其他用户无法访问]

在列文件或目录时，有时会遇到“t”位。“t”代表了粘贴位。如果在一个目录上出现“t”位，这就意味着该目录中的文件只有其属主才可以删除，即使某个同组用户有和属主同等权限。不过有的系统在这一规则上并不十分严格。

下边是使用chmod的例子，我们假定myfile文件最初具有这样的权限rwxrwxrwx

chmod a-x myfile  —> rw-rw-rw- 收回所有用户的执行权限

chmod og-w myfile —> rw-r--r-- 收回同组用户和其他用户的权限

chmod g+w myfile —> rw-rw-r-- 赋予同组用户写权限

chmod u+x myfile —> rwxrw-r-- 赋予文件属主执行权限

 

绝

对模式

chmod [mode] file

其中mode是一个八进制数。

0400 文件属主可读 0200 文件属主可写 0100 文件属主可执行

0040 同组用户可读 0020同组用户可写 0010同组用户可执行

0004 其他用户可读 0002 其他用户可写 0001 其他用户可执行

目录的读权限意味着可以列出其中的内容，写权限意味着可以在该目录下创建文件，执行权限意味着可以搜索和访问该目录。

如果把同组用户或其他用户针对某一目录的权限设置为--x，那么它将无法列出该目录中的文件。如果该目录中有一个可执行的脚本程序，只要用户知道它的路径和文件名，仍然可以执行它。用户不能够进入该目录并不妨碍它的执行。

目录的权限将会覆盖此目录下文件的权限。

/*--------------------------------------            改变文件权限命令          --------------------------------------*/

 

suid/guid

/*--------------------------------------                suid/guid              --------------------------------------*/

suid意味着如果某个用户对属于自己的shell脚本设置了这种权限，那么其他用户在执行这一脚本的时也会具有其属主的相应权限。于是，如果跟用户的某一个脚本设置了这样的权限，那么其他登录的普通用户在执行它的期间也同样具有根用户的权限。同样的原则也适用于guid，执行相应脚本的用户将具有该文件所属用户组中用户的权限。

有相当一些UNIX命令也设置了suid和guid，可以进入/bin或/sbin目录执行一下命令：

ls -l | grep '^...s' 查找suid文件

ls -l | grep '^...s..s' 查找suid和guid文件

如果希望设置suid，那么就将相应的权限位之前的那一位设置为4，如果希望设置guid，那么就将相应的权限位之前的那一位设置为2，如果希望两者都置位，则设置为4+2。

例子：

chmod 4755 —> rwsr-xr-x 文件被设置了suid，文件属主具有rwx权限，所在其他用户具有rx

chmod 6711 —> rws--s--s 文件被设置了suid和guid，文件属主具有rwx权限，所在其他用户具有x

chmod 4764 —> rwsrw-r-- 文件被设置了suid，文件属主具有rwx权限，同组具有rw，其他具有r

/*--------------------------------------                suid/guid              --------------------------------------*/

chown/chgrp

/*--------------------------------------             chown和chgrp            --------------------------------------*/

chown -R -h owner file

-R  表示对所有子目录下的文件也进行同样的操作

-h 表示在改变符号链接文件的属主时不影响该链接所指向的目标文件

举例：

ls -l

-rw-r--r--   1 root       kangym          0 Dec 16 08:56 myfile

chown kangym myfile

-rw-r--r--   1 kangym    kangym          0 Dec 16 08:56 myfile

文件myfile的所有权现在由root交给kangym

 

chgrp admin myfile

-rw-r--r--   1 kangym    admin           0 Dec 16 08:56 myfile

用户kangym把文件myfile的所属组由kangym变更为admin

 

想知道自己所属于哪些用户组，可以使用group或id来查询。

为了找出其他用户所属哪些组，使用命令：group <username>

/*--------------------------------------             chown和chgrp            --------------------------------------*/

 

umask

/*--------------------------------------                 umask                --------------------------------------*/

当最初登录到系统中时，umask命令确定了用户创建文件的缺省模式。这一命令实际上和chown相反。你的系统管理员必须要为你设置一个合理的umask值，以确保你创建的文件具有所希望的缺省权限，防止其他非同组用户对你的文件具有写权限。

一般来说，umask命令是在/etc/profile文件中设置的，每个用户在登录时都会引用这个文件，所以如果希望改变所有用户的umask，可以在该文件中加入相应的条目。

如果希望永久性的设置自己的umask值，那么就把它放在自己的$HOME目录下的.profile或.bash_profile文件中。

计算umask：只要记住umask是从权限中“拿走”相应的权限位即可。

/*--------------------------------------                 umask                --------------------------------------*/

 

符号链接

/*--------------------------------------              符号链接                --------------------------------------*/

软链接和硬链接，软链接其实是一个指向文件的指针。

ln [-s] source_path target_path

其中的路劲可以是目录或文件

/*--------------------------------------              符号链接                --------------------------------------*/

 

who [u 文件属主][g 同组用户][o 其他用户][a 所有用户]号模式

<!--EndFragment-->