当前位置：首页 » 专业资讯

开发技术指南» 文章正文

    引言： [b:e8a7bbdfca]我正在看的一本书，自己也整理了一下[/b:e8a7bbdfca] 这里面可能用到用户管理方面的知识，可查看贴： http://bbs.chinaunix.net/forum/viewtopic.php?p=2923303#2923303 主要有以下内容： [c...

 

 

类UNIX系统基础：文件安全与权限

[b:e8a7bbdfca]我正在看的一本书，自己也整理了一下[/b:e8a7bbdfca] 【相关文章:fvwm的点滴，希望版主保留】

【扩展阅读:斑竹请进！！！】

这里面可能用到用户管理方面的知识，可查看贴： 【扩展信息:how to mapping devic】

http://bbs.chinaunix.net/forum/viewtopic.php?p=2923303#2923303

主要有以下内容：

[code:1:e8a7bbdfca]文件权限位

基本命令

chmod

suid/guid

chown

chgrp

umask算法与用法

符号链接[/code:1:e8a7bbdfca]

当创建一个文件的时候，系统保存了有关该文件的全部信息，包括：

• 文件的位置。

• 文件类型。

• 文件长度。

• 哪位用户拥有该文件，哪些用户可以访问该文件。

• i节点。

• 文件的修改时间。

• 文件的权限位。

让我们用touch命令创建一个文件：

[code:1:e8a7bbdfca]$ touch temp[/code:1:e8a7bbdfca]

创建了一个空文件，现在用ls -l命令查看该目录下文件的属性（我这里用中文版)：

如下：

[code:1:e8a7bbdfca][root@linux_chenwy temp]# ls -l

总用量 36

-rw-r--r--    1 root     root        34890 10月 19 20:17 httpd.conf

-rw-r--r--    1 root     root            0 10月 19 20:16 temp[/code:1:e8a7bbdfca]

[code:1:e8a7bbdfca]总用量 36：是ls所列出的入口占用空间的字节数(以k为单位)。

1该文件硬链接的数目。

root：文件属主。

root：文件属组（一般是文件属主所在的缺省组。）

34890：字节来表示的文件长度，记住，不是k字节！

10月 19 20:17：件的更新时间。

temp or httd.conf ：件名。[/code:1:e8a7bbdfca]

[quote:e8a7bbdfca="sunsroad "]

[b:e8a7bbdfca]btw:要检查该目录所有文件占用的空间应该用这个命令：du。[/b:e8a7bbdfca]

譬如说前面说的36是如何计算出来： 

首先我们要先了解你所用的文件系统的io block（中文叫作簇）为多少，在你所使用的这个文件系统的io block大小是4096 bytes。

他意义是文件系统最小的读写及分配单位，每次读写操作你都不能小于这个尺寸。即使你的文件是只有一个字节。而且文件在硬盘上的存储也是以这个为单位，就是说如果文件尺寸小于这个值，那么它在磁盘上占用的空间就是4096字节。

占用空间的具体算法是：（进一（文件尺寸/4096））×4096。根据这个你就可以计算出你所列举的例子中的文件的空间使用状况：34890除以4096，大约等于8.5，进一法取得为9，就是说文件在磁盘上占用了9个block，每个block为4k，所以这两个文件占用的空间就是36k。 

这个规则也适合于目录，不过不会出现为0的目录，即使是空目录[/quote:e8a7bbdfca]

[b:e8a7bbdfca]-rw-r--r-- ：这是该文件的权限位。[/b:e8a7bbdfca]

第一个横杠：指定文件类型,表示该文件是一个普通文件。(所创建的文件绝大多数都是普通文件或符号链接文件)。

除去最前面的横杠，一共是9个字符，他们分别对应9个权限位。通过这些权限位，可以设定用户对文件的访问权限。对这两个文件的精确解释是：

[code:1:e8a7bbdfca]rw-：前三位，文件属主可读、写

r--：中间三位,组用户可读

r--：最后三位,其他用户只可读[/code:1:e8a7bbdfca]

在创建的时候并未给属主赋予执行权限，在用户创建文件时，系统不会自动地设置执行权限位。这是出于加强系统安全的考虑

[b:e8a7bbdfca]btw：文件的属主组并不一定就是所有者所在的缺省组，而可以是任何一个跟该文件所有者无关的用户组。为了方便，还是统称属主，属组与其它[/b:e8a7bbdfca]

 寂寞烈火 回复于：2004-10-29 12:08:39 用stat可以查看一个文件的比较详细的信息

 wingger 回复于：2004-10-29 12:27:47 [quote:05043b8e36="寂寞烈火"]用stat可以查看一个文件的比较详细的信息[/quote:05043b8e36]

 :lol:  :lol:  :lol: 

现在分开详细说明：

[b:05043b8e36]文件类型[/b:05043b8e36]

前面提到的第一条横杠，表示该文件是普通文件型

文件类型有七种，它可以从ls -l命令所列出的结果的第一位看出.

七种类型：

[code:1:05043b8e36]d 目录。

l 符号链接(指向另一个文件)。

s 套接字文件。

b 块设备文件。

c 字符设备文件。

p 命名管道文件。

- 普通文件，或者更准确地说，不属于以上几种类型的文件。[/code:1:05043b8e36]

[b:05043b8e36]文件的权限位中中每一组字符中含有三个权限位：[/b:05043b8e36]

[code:1:05043b8e36]r 读权限

w 写/更改权限

x 执行该脚本或程序的权限[/code:1:05043b8e36]

如：

[code:1:05043b8e36]r-- --- --- 文文件属主可读，但不能写或执行

r-- r-- --- 文文件属主与属组用户(一般来说，是文件属主所在的缺省组)可读

r-- r-- r- - 文任何用户都可读，但不能写或执行

rwx r-- r- - 文文件属主可读、写、执行，属组用户与其他用户只可读

rwx r-x --- 文文件属主可读、写、执行，属组用户可读、执

rwx r-x r- x 文文件属主可读、写、执行，属组用户与其他用户可读、执行

rw- rw- --- 文文件属主与属组用户可读、写

rw- rw- r- - 文文件属主与属组用户可读、写，其他用户可读

rw- rw- --- 文文件属主与属组用户及其他用户读可以读、写，慎用这种权限

设置，因为任何用户都可以写入该文件[/code:1:05043b8e36]

[quote:05043b8e36="sunsroad"]文件的所有者组并非是文件所有者所在的缺省组，而可以是任何一个跟该文件所有者无关的用户组。[/quote:05043b8e36]

 wingger 回复于：2004-10-29 12:44:00 [b:32f91cac9e] 使用chmod来改变权限位[/b:32f91cac9e]

这一命令有符号模式与绝对模式。

[b:32f91cac9e] 符号模式[/b:32f91cac9e]

chmod命令的一般格式为：

[b:32f91cac9e]chmod [who] operator [permission] filename[/b:32f91cac9e]

[b:32f91cac9e]w h o的含义是：[/b:32f91cac9e]

[code:1:32f91cac9e]u 文件属主权限。

g 属组用户权限。

o 其他用户权限。

a 所有用户(文件属主、属组用户及其他用户)。[/code:1:32f91cac9e]

[b:32f91cac9e]o p e r a t o r的含义：[/b:32f91cac9e]

[code:1:32f91cac9e]+ 增加权限。

- 取消权限。

= 设定权限。[/code:1:32f91cac9e]

[b:32f91cac9e]p e r m i s s i o n的含义：[/b:32f91cac9e]

[code:1:32f91cac9e]r 读权限。

w 写权限。

x 执行权限。

s 文件属主与组set-id。

t 粘性位*。

l 给文件加锁，使其他用户无法访问。

u,g,o 针对文件属主、属组用户及其他用户的操作。

*在列文件或目录时，有时会遇到“ t”位。“t”代表了粘性位。如果在一个目录上出现“t”位，这就意味着该目录中的文件只有其属主才可以删除，即使某个属组用户具有与属主同等的权限。不过有的系统在这一规则上并不十分严格。

如果在文件列表时看到“ t”，那么这就意味着该脚本或程序在执行时会被放在交换区(虚存)。[/code:1:32f91cac9e]

对"t"还没弄清楚这是"sunsroad"的解释：

[quote:32f91cac9e="sunsroad"]"t"权限用在文件上面是没有意义的，不是什么在交换区的概念，它跟文件的执行没有关系，而主要是为了文件共享设置的。 [/quote:32f91cac9e]

[quote:32f91cac9e="风流涕淌"]1,t 权限是粘着位，例：tmp目录下，任何人都有读写执行权限，但是不是任何人对里边的可写权限的文件就可以删除呢，当然不是了，这个就是粘着位的做用，只有所有者才有权删除自已的文件，当然，root除外 

2,关于文件安全的另一种权限， 

 i权限 也就是不可修改权限  例：chattr u+i aaa 则aaa文件就不可修改，无论任何人，如果删除就用u-i就好了 

 a权限 也就是只追加权限， 对于日志系统很好用，这个权限让目标文件只能追加，不能删除，而且不能通过编辑器追加。方法与i权限一样加 

如果想要看某个文件是不是有这个权限，用lsattr filename就行了 [/quote:32f91cac9e]

谢谢风流涕淌的分享

例如

[code:1:32f91cac9e]chmod a-x temp //rw- rw- rw- 收回所有用户的执行权限

chmod og-w temp //rw- r-- r- - 收回属组用户与其他用户的写权限

chmod g+w temp //rw- rw- r- - 赋予属组用户写权限

chmod u+x temp //rwx rw- r- - 赋予文件属主执行权限

chmod go+x temp //rwx rwx r- x 赋予属组用户与其他用户执行权限[/code:1:32f91cac9e]

举如

当创建temp文件时，它具有这样的权限：

[code:1:32f91cac9e]-rw-r--r--    1 root     root            0 10月 19 20:16 temp[/code:1:32f91cac9e]

如果要使属主与属组用户具有有执行权限，并取消其他用户(所有其他用户)的写权限，可以用：

[code:1:32f91cac9e]$ chmod ug+x temp

$ chmod o-w temp

[/code:1:32f91cac9e]

这样，该文件的权限变为：

[code:1:32f91cac9e]-rwxr--r--    1 root     root            0 10月 19 20:16 temp[/code:1:32f91cac9e]

现在已经使文件属主对temp文件具有读、写执行的权限,属组用户真有读写权限，其它用户没有权限了。

 temin 回复于：2004-10-29 13:27:21 继续

 wingger 回复于：2004-10-29 14:42:37 [b:c4bb8eae5d]绝对模式[/b:c4bb8eae5d]

chm d命令绝对模式的一般形式为：

[b:c4bb8eae5d]chmod [mode] file[/b:c4bb8eae5d]

其中m o d e是一个八进制数。

在绝对模式中，权限部分有着不同的含义。每一个权限位用一个八进制数来代表，如

...   下一页

» 本期热门文章：

· 热门栏目：

» 相关精选文章

» 其它相关：