当前位置：首页 » 软件开发

开发技术指南» 文章正文

    引言： [b:e8a7bbdfca]我正在看的一本书，自己也整理了一下[/b:e8a7bbdfca] 这里面可能用到用户管理方面的知识，可查看贴： http://bbs.chinaunix.net/forum/viewtopic.php?p=2923303#2923303 主要有以下内容： [c...

 

 

类UNIX系统基础：文件安全与权限

[b:e8a7bbdfca]我正在看的一本书,自己也整理了一下[/b:e8a7bbdfca] 【程序编程相关:Linux常见紧急情况处理方法】

【推荐阅读:(原创)由安装两块网卡的linux系统中】

这里面可能用到用户管理方面的知识,可查看贴: 【扩展信息:安装Linux高性能计算集群】

http://bbs.chinaunix.net/forum/viewtopic.php?p=2923303#2923303

主要有以下内容:

[code:1:e8a7bbdfca]文件权限位

基本命令

chmod

suid/guid

chown

chgrp

umask算法与用法

符号链接[/code:1:e8a7bbdfca]

当创建一个文件的时候,系统保存了有关该文件的全部信息,包括:

• 文件的位置.

• 文件类型.

• 文件长度.

• 哪位用户拥有该文件,哪些用户可以访问该文件.

• i节点.

• 文件的修改时间.

• 文件的权限位.

让我们用touch命令创建一个文件:

[code:1:e8a7bbdfca]$ touch temp[/code:1:e8a7bbdfca]

创建了一个空文件,现在用ls -l命令查看该目录下文件的属性（我这里用中文版):

如下:

[code:1:e8a7bbdfca][root@linux_chenwy temp]# ls -l

总用量 36

-rw-r--r--    1 root     root        34890 10月 19 20:17 httpd.conf

-rw-r--r--    1 root     root            0 10月 19 20:16 temp[/code:1:e8a7bbdfca]

[code:1:e8a7bbdfca]总用量 36:是ls所列出的入口占用空间的字节数(以k为单位).

1该文件硬链接的数目.

root:文件属主.

root:文件属组（一般是文件属主所在的缺省组.）

34890:字节来表示的文件长度,记住,不是k字节！

10月 19 20:17:件的更新时间.

temp or httd.conf :件名.[/code:1:e8a7bbdfca]

[quote:e8a7bbdfca="sunsroad "]

[b:e8a7bbdfca]btw:要检查该目录所有文件占用的空间应该用这个命令:du.[/b:e8a7bbdfca]

譬如说前面说的36是如何计算出来: 

首先我们要先了解你所用的文件系统的io block（中文叫作簇）为多少,在你所使用的这个文件系统的io block大小是4096 bytes.

他意义是文件系统最小的读写及分配单位,每次读写操作你都不能小于这个尺寸.即使你的文件是只有一个字节.而且文件在硬盘上的存储也是以这个为单位,就是说如果文件尺寸小于这个值,那么它在磁盘上占用的空间就是4096字节.

占用空间的具体算法是:（进一（文件尺寸/4096））×4096.根据这个你就可以计算出你所列举的例子中的文件的空间使用状况:34890除以4096,大约等于8.5,进一法取得为9,就是说文件在磁盘上占用了9个block,每个block为4k,所以这两个文件占用的空间就是36k. 

这个规则也适合于目录,不过不会出现为0的目录,即使是空目录[/quote:e8a7bbdfca]

[b:e8a7bbdfca]-rw-r--r-- :这是该文件的权限位.[/b:e8a7bbdfca]

第一个横杠:指定文件类型,表示该文件是一个普通文件.(所创建的文件绝大多数都是普通文件或符号链接文件).

除去最前面的横杠,一共是9个字符,他们分别对应9个权限位.通过这些权限位,可以设定用户对文件的访问权限.对这两个文件的精确解释是:

[code:1:e8a7bbdfca]rw-:前三位,文件属主可读.写

r--:中间三位,组用户可读

r--:最后三位,其他用户只可读[/code:1:e8a7bbdfca]

在创建的时候并未给属主赋予执行权限,在用户创建文件时,系统不会自动地设置执行权限位.这是出于加强系统安全的考虑

[b:e8a7bbdfca]btw:文件的属主组并不一定就是所有者所在的缺省组,而可以是任何一个跟该文件所有者无关的用户组.为了方便,还是统称属主,属组与其它[/b:e8a7bbdfca]

 寂寞烈火 回复于:2004-10-29 12:08:39 用stat可以查看一个文件的比较详细的信息

 wingger 回复于:2004-10-29 12:27:47 [quote:05043b8e36="寂寞烈火"]用stat可以查看一个文件的比较详细的信息[/quote:05043b8e36]

 :lol:  :lol:  :lol: 

现在分开详细说明:

[b:05043b8e36]文件类型[/b:05043b8e36]

前面提到的第一条横杠,表示该文件是普通文件型

文件类型有七种,它可以从ls -l命令所列出的结果的第一位看出.

七种类型:

[code:1:05043b8e36]d 目录.

l 符号链接(指向另一个文件).

s 套接字文件.

b 块设备文件.

c 字符设备文件.

p 命名管道文件.

- 普通文件,或者更准确地说,不属于以上几种类型的文件.[/code:1:05043b8e36]

[b:05043b8e36]文件的权限位中中每一组字符中含有三个权限位:[/b:05043b8e36]

[code:1:05043b8e36]r 读权限

w 写/更改权限

x 执行该脚本或程序的权限[/code:1:05043b8e36]

如:

[code:1:05043b8e36]r-- --- --- 文文件属主可读,但不能写或执行

r-- r-- --- 文文件属主与属组用户(一般来说,是文件属主所在的缺省组)可读

r-- r-- r- - 文任何用户都可读,但不能写或执行

rwx r-- r- - 文文件属主可读.写.执行,属组用户与其他用户只可读

rwx r-x --- 文文件属主可读.写.执行,属组用户可读.执

rwx r-x r- x 文文件属主可读.写.执行,属组用户与其他用户可读.执行

rw- rw- --- 文文件属主与属组用户可读.写

rw- rw- r- - 文文件属主与属组用户可读.写,其他用户可读

rw- rw- --- 文文件属主与属组用户及其他用户读可以读.写,慎用这种权限

设置,因为任何用户都可以写入该文件[/code:1:05043b8e36]

[quote:05043b8e36="sunsroad"]文件的所有者组并非是文件所有者所在的缺省组,而可以是任何一个跟该文件所有者无关的用户组.[/quote:05043b8e36]

 wingger 回复于:2004-10-29 12:44:00 [b:32f91cac9e] 使用chmod来改变权限位[/b:32f91cac9e]

这一命令有符号模式与绝对模式.

[b:32f91cac9e] 符号模式[/b:32f91cac9e]

chmod命令的一般格式为:

[b:32f91cac9e]chmod [who] operator [permission] filename[/b:32f91cac9e]

[b:32f91cac9e]w h o的含义是:[/b:32f91cac9e]

[code:1:32f91cac9e]u 文件属主权限.

g 属组用户权限.

o 其他用户权限.

a 所有用户(文件属主.属组用户及其他用户).[/code:1:32f91cac9e]

[b:32f91cac9e]o p e r a t o r的含义:[/b:32f91cac9e]

[code:1:32f91cac9e]+ 增加权限.

- 取消权限.

= 设定权限.[/code:1:32f91cac9e]

[b:32f91cac9e]p e r m i s s i o n的含义:[/b:32f91cac9e]

[code:1:32f91cac9e]r 读权限.

w 写权限.

x 执行权限.

s 文件属主与组set-id.

t 粘性位*.

l 给文件加锁,使其他用户无法访问.

u,g,o 针对文件属主.属组用户及其他用户的操作.

*在列文件或目录时,有时会遇到“ t”位.“t”代表了粘性位.如果在一个目录上出现“t”位,这就意味着该目录中的文件只有其属主才可以删除,即使某个属组用户具有与属主同等的权限.不过有的系统在这一规则上并不十分严格.

如果在文件列表时看到“ t”,那么这就意味着该脚本或程序在执行时会被放在交换区(虚存).[/code:1:32f91cac9e]

对"t"还没弄清楚这是"sunsroad"的解释:

[quote:32f91cac9e="sunsroad"]"t"权限用在文件上面是没有意义的,不是什么在交换区的概念,它跟文件的执行没有关系,而主要是为了文件共享设置的. [/quote:32f91cac9e]

[quote:32f91cac9e="风流涕淌"]1,t 权限是粘着位,例:tmp目录下,任何人都有读写执行权限,但是不是任何人对里边的可写权限的文件就可以删除呢,当然不是了,这个就是粘着位的做用,只有所有者才有权删除自已的文件,当然,root除外 

2,关于文件安全的另一种权限, 

 i权限 也就是不可修改权限  例:chattr u+i aaa 则aaa文件就不可修改,无论任何人,如果删除就用u-i就好了 

 a权限 也就是只追加权限, 对于日志系统很好用,这个权限让目标文件只能追加,不能删除,而且不能通过编辑器追加.方法与i权限一样加 

如果想要看某个文件是不是有这个权限,用lsattr filename就行了 [/quote:32f91cac9e]

谢谢风流涕淌的分享

例如

[code:1:32f91cac9e]chmod a-x temp //rw- rw- rw- 收回所有用户的执行权限

chmod og-w temp //rw- r-- r- - 收回属组用户与其他用户的写权限

chmod g+w temp //rw- rw- r- - 赋予属组用户写权限

chmod u+x temp //rwx rw- r- - 赋予文件属主执行权限

chmod go+x temp //rwx rwx r- x 赋予属组用户与其他用户执行权限[/code:1:32f91cac9e]

举如

当创建temp文件时,它具有这样的权限:

[code:1:32f91cac9e]-rw-r--r--    1 root     root            0 10月 19 20:16 temp[/code:1:32f91cac9e]

如果要使属主与属组用户具有有执行权限,并取消其他用户(所有其他用户)的写权限,可以用:

[code:1:32f91cac9e]$ chmod ug+x temp

$ chmod o-w temp

[/code:1:32f91cac9e]

这样,该文件的权限变为:

[code:1:32f91cac9e]-rwxr--r--    1 root     root            0 10月 19 20:16 temp[/code:1:32f91cac9e]

现在已经使文件属主对temp文件具有读.写执行的权限,属组用户真有读写权限,其它用户没有权限了.

 temin 回复于:2004-10-29 13:27:21 继续

 wingger 回复于:2004-10-29 14:42:37 [b:c4bb8eae5d]绝对模式[/b:c4bb8eae5d]

chm d命令绝对模式的一般形式为:

[b:c4bb8eae5d]chmod [mode] file[/b:c4bb8eae5d]

其中m o d e是一个八进制数.

在绝对模式中,权限部分有着不同的含义.
...   下一页

» 本期热门文章：

· 热门栏目：

» 相关精选文章

» 其它相关：