本章学习目标:
掌握Linux下文件目录的属性
掌握Linux下的权限管理
掌握如何切换用户身份及权限委派
3.1文件系统简介
文件系统(File system)泛指储存在计算机上的文件和目录。文件系统可以有不同的格式,叫做文件系统类型(file system types)。这些格式决定信息是如何被储存为文件和目录。某些文件系统类型储存重复数据,某些文件系统类型加快硬盘驱动器的存取速度。
3.2 linux支持的文件系统类型
目前比较流行的操作系统是Windows和Linux。Windows常用的分区格式有三种,分别是FAT16、FAT32、NTFS格式。在Linux操作系统里有Ext2、Ext3、Linux swap和VFAT四种格式。
3.2.1 Windows文件系统介绍
一、FAT16
作为一种文件名称,FAT(File Allocation Table,文件分配表)自1981年问世以来,已经成为一个计算机术语。由于时代的原因,包括Windows、MacOS以及多种Unix版本在内的大多数操作系统均对FAT提供支持。
这是MS-DOS和最早期的Windows 95操作系统中使用的磁盘分区格式。它采用16位的文件分配表,是目前获得操作系统支持最多的一种磁盘分区格式,几乎所有的操作系统都支持这种分区格式, 从DOS、Windows 95、Windows OSR2到现在的Windows 98、Windows Me、Windows NT、Windows 2000、Windows XP都支持FAT16,但只支持2GB的硬盘分区成为了它的一大缺点。FAT16分区格式的另外一个缺点是:磁盘利用效率低(具体的技术细节请参阅相关资 料)。为了解决这个问题,微软公司在Windows 95 OSR2中推出了一种全新的磁盘分区格式——FAT32。
二、FAT32
这种格式采用32位的文件分配表,对磁盘的管理能力大大增强,突破了FAT16下每 一个分区的容量只有2GB的限制。由于现在的硬盘生产成本下降,其容量越来越大,运用FAT32的分区格式后,我们可以将一个大容量硬盘定义成一个分区而 不必分为几个分区使用,大大方便了对磁盘的管理。而且,FAT32与FAT16相比,可以极大地减少磁盘的浪费,提高磁盘利用率。目前,Windows 95 OSR2以后的操作系统都支持这种分区格式。但是,这种分区格式也有它的缺点。首先是采用FAT32格式分区的磁盘,由于文件分配表的扩大,运行速度比采 用FAT16格式分区的磁盘要慢。另外,由于DOS和Windows 95不支持这种分区格式,所以采用这种分区格式后,将无法再使用DOS和Windows 95系统。
三、NTFS
为了弥补FAT在功能上的缺陷,微软公司创建了一种称作NTFS的文件系统技术。它 的优点是安全性和稳定性方面非常出色,在使用中不易产生文件碎片。并且能对用户的操作进行记录,通过对用户权限进行非常严格的限制,使每个用户只能按照系 统赋予的权限进行操作,充分保护了系统与数据的安全。Windows 2000、Windows NT、以及Windows XP都支持这种分区格式。
3.2.2 Linux文件系统介绍
一、Ext2
Ext2是GNU/Linux系统中标准的文件系统。这是Linux中使用最多的一种文件系统,它是专门为Linux设计的,拥有极快的速度和极小的CPU占用率。Ext2既可以用于标准的块设备(如硬盘),也被应用在软盘等移动存储设备上。
二、Ext3
Ext3是Ext2的下一代,也就是保有Ext2的格式之下再加上日志功能。 Ext3是一种日志式文件系统(Journal File System),最大的特点是:它会将整个磁盘的写入动作完整的记录在磁盘的某个区域上,以便有需要时回溯追踪。当在某个过程中断时,系统可以根据这些记 录直接回溯并重整被中断的部分,重整速度相当快。该分区格式被广泛应用在Linux系统中。
三、Linux swap
它是Linux中一种专门用于交换分区的swap文件系统。Linux是使用这一整个分区作为交换空间。一般这个swap格式的交换分区是主内存的2倍。在内存不够时,Linux会将部分数据写到交换分区上。
四、VFAT
VFAT叫长文件名系统,这是一个与Windows系统兼容的Linux文件系统,支持长文件名,可以作为Windows与Linux交换文件的分区。
3.3linux下文件与目录的类型
3.3.1 系统默认目录介绍
对Linux系统选择分区之前,首先要熟悉Linux目录选项。Red Hat Linux根据文件系统层次标准(FHS)将文件组织成目录:
/ 根目录。所有其他目录都在文件系统层次的根目录之下。换句话说,它们是子目录。任何没有在单独分区中挂载的目录自动放在根目录中。
/bin 包含基本命令行实用程序。不能在单独分区配置这个目录,否则无法在linux rescue方式中访问这些实用程序。
/boot 包括Linux启动计算机时所要的命令与文件,如统一引导装入器(GRUB)、初始内存盘和Linux内核。如果硬盘较大(超过8GB),则可以把/boot挂载到单独分区,这样可以保证启动计算机时能够访问Linux引导文件。
/dev 列出可用的设备驱动程序。例如,如果挂载软驱,则可以将/dev/fd0挂载到/mnt/floppy之类的目录中。不能将这个目录挂载到单独分区。
/etc 包含基本Linux配置命令,包括与口令、Apache和Samba之类监控程序和X窗口有关的配置命令。
/home 包括除根用户以外的所有用户的主目录。如果将这个目录挂载到单独分区,则要留足空间让每个用户增加文件。
/initrd 配置启动期间初始内存盘使用的空目录。不要将这个目录挂载到单独分区。如果删除这个目录,则Red Hat Linux不能启动,会出现kernel panic消息。这个目录不属于FHS的一部分。
/lib 列出几个不同应用程序和Linux内核所需的程序库。不能将这个目录挂载到单独分区。
/lost+found 包含遗弃的文件。fsck之类的实用程序在这个目录中放上空的不可标识文件(或部分文件)。这个目录不是FHS的一部分。
/misc指定共享NFS目录的公共挂载点,这个目录不是FHS的一部分。
/mnt 软盘(/mnt/ffloppy),CD-ROM(/mnt/cdrom)与Zip盘(/mnt/zip)等可插拔介质的公共挂载点。
/opt 包括Sun StarOffice与Corel WordPerfect之类的第三方应用程序的标准位置。
/proc包括当前运行的所有内核相关进程。这个目录中的有些文件列出当前资源分配,如/proc/interrupts列出当前分配的中断请求(IRQ)端口。
/root根用户主目录,/root目录是根目录(/)的子目录,不能另外挂载这个目录。
/sbin 包含许多系统管理命令,不能另外挂载这个目录。
/tftpboot 支持无盘工作站,也称为远程终端。无盘工作站从Linux终端服务器挂载这个目录。这个目录不是FHS的一部分。
/tmp 作为临时文件的专用存储地址,也是下载文件的好地方。默认情况下,/etc/cron.daily/tmpwatch脚本从这个目录中清除超过10天的文件。
/usr包括所有用户可用的程序与数据,包含许多子目录。例如,与OpenOffice相关联的程序安装在/usr/bin中。
/var 包含变量数据,包括日志文件和打印假脱机文件。在Linux服务器中,这个目录经常挂载到单独分区。
说明:顶层根目录(/)不同于根用户的主目录/root。事实上,/root目录是根目录(/)的子目录。
3.3.2 系统目录/文件类型
一谈到文件类型,大家就能想到Windows的文件类型,比如file.txt、file.doc、file.sys、file.mp3、file.exe等,根据文件的后缀就能判断文件的类型。但在Linux中一个文件是否能被执行,和后缀名没有太大的关系,主要看文件的属性有关。我们了解一下Linux文件的后缀名还是有必要的,特别是我们自己创建一些文件,最好还是加后缀名,这样做的目的是仅仅是为了我们的在应用时方便。
现在的Linux桌面环境和Windows一样智能化,文件的类型是和相应的程序关联的。在我们打开某个文件时,系统会自动判断用哪个应用程序打开。如果从这方面来说,Linux桌面环境和Windows桌面没有太大的区别。
在Linux中,带有扩展名的文件,只能代表程序的关联,并不能说明文件是可以执行,从这方面来说,Linux的扩展名没有太大的意义。
Linux文件类型和Linux文件的文件名所代表的意义是两个不同的概念。我们通过一般应用程序而创建的比如file.txt、file.tar.gz ,这些文件虽然要用不同的程序来打开,但放在Linux文件类型中衡量的话,大多是常规文件(也被称为普通文件)。
Linux文件类型常见的有:普通文件、目录、字符设备文件、块设备文件、符号链接文件等;现在我们用表7.1进行一个简要的说明
表7.1 文件类型
显示样式 | 说明 |
- | 普通文件 |
d | 目录 |
l | 链接文件 |
s | 套接字文件, |
b | 块设备文件,如硬盘等 |
c | 字符设备文件,如键盘等 |
p | 管道文件 |
3.4linux目录与文件的权限
在系统中,每个文件、目录,都归属于某一个用户,没有用户许可其它普通用户是无法操作的,这就涉及到了如何对其设置访问权限,这些访问权限决定了谁能访问和如何访问这些文件和目录,本章即从文件和目录的属性入手,来介绍一下Linux下的权限。
3.4.1 目录与文件的权限
Linux系统中的每个文件和目录都有访问许可权限,用它来确定谁可以通过何种方式对文件和目录进行访问和操作。
文件或目录的访问权限分为只读,只写和可执行三种。以文件为例,只读权限表示只允许读其内容,而禁止对其做任何的更改操作。可执行权限表示允许将该文件作为一个程序执行。文件被创建时,文件所有者自动拥有对该文件的读、写和可执行权限,以便于对文件的阅读和修改。用户也可根据需要把访问权限设置为需要的任何组合。
有三种不同类型的用户可对文件或目录进行访问:文件所有者,同组用户、其他用户。所有者一般是文件的创建者。所有者可以允许同组用户有权访问文件,还可以将文件的访问权限赋予系统中的其他用户。在这种情况下,系统中每一位用户都能访问该用户拥有的文件或目录。
每一文件或目录的访问权限都有三组,每组用三位表示,分别为文件属主的读、写和执行权限;与属主同组的用户的读、写和执行权限;系统中其他用户的读、写和执行权限。当用ls -l命令显示文件或目录的详细信息时,最左边的一列为文件的访问权限。例如:
$ ls -l sobsrc.tgz
-rw-r--r-- 1 root root 483997 Ju1 l5 17:3l sobsrc. tgz
横线代表空许可。r代表只读,w代表写,x代表可执行。注意这里共有10个位置。第一个字符指定了文件类型。在通常意义上,一个目录也是一个文件。如果第一个字符是横线,表示是一个非目录的文件。如果是d,表示是一个目录。
例如:
普通文件 文件主 组用户 其他用户
是文件sobsrc.tgz 的访问权限,表示sobsrc.tgz是一个普通文件;sobsrc.tgz的属主有读写权限;与sobsrc.tgz属主同组的用户只有读权限;其他用户也只有读权限。
确定了一个文件的访问权限后,用户可以利用Linux系统提供的chmod命令来重新设定不同的访问权限。也可以利用chown命令来更改某个文件或目录的所有者。利用chgrp命令来更改某个文件或目录的用户组。
每个文件或目录都有一组9个权限位,每三位被分为一组,他们分别是文件属主权限位(占三个位置 )、文件属组组权限位(占三个位置)、其它用户权限位(占三个位置)。比如rwxr-xr-x
一、链接数
链接数就是inode数,inode 译成中文就是索引节点。每个存储设备或存储设备的分区(存储设备是硬盘、软盘、U盘 ... ... )被格式化为文件系统后,应该有两部份,一部份是inode,另一部份是Block,Block是用来存储数据用的。而inode呢,就是用来存储这些数据的信息,这些信息包括文件大小、属主、归属的用户组、读写权限等。inode为每个文件进行信息索引,所以就有了inode的数值。操作系统根据指令,能通过inode值最快的找到相对应的文件。
二、文件属主
此文件或者目录的拥有者
三、文件属组
该组里的用户可以对此文件或者目录拥有既不同于文件的属主的权限,也不同于其它人的权限
四、文件最近一次修改或者访问的时间
如果是刚创建并且未访问的文件,则此处显示的时间为创建的时间,否则则为最近一次修改的时间。
3.4.2 系统的umask值
文件或者目录在创建时默认拥有一定的权限,此默认识是可以设置的,umask命令 可以来定义用户创建文件或目录的默认权限。umask 表示的是默认应该被减去的权限,不过文件和目录有点不同。
对于文件来说,umask 的设置是在假定文件拥有666权限上进行,文件的权限就是是666减去umask的掩码数值,这主要是为了安全起见。
对于目录来说,umask 的设置是在假定文件拥有八进制777权限上进行,目录八进制权限777减去umask的掩码数值。
查看系统的umask值
更改系统的umask值
3.4.3 目录/文件的特殊权限位
其实文件与目录设置不止这些,还有所谓的特殊权限。由于特殊权限会拥有一些“特权”,因而用户若无特殊需求,不应该启用这些权限,避免安全方面出现严重漏洞,造成黑客入侵,甚至摧毁系统!!!
s或S(SUID,Set UID):可执行的文件搭配这个权限,便能得到特权,任意存取该文件的所有者能使用的全部系统资源。请注意具备SUID权限的文件,黑客经常利用这种权限,以SUID配上root帐号拥有者,无声无息地在系统中开扇后门,供日后进出使用。拥有s的权限的文件用户在执行时具有文件属主的权限。
s或S(SGID,Set GID):设置在文件上面,其效果与SUID相同,只不过将文件所有者换成用户组,该文件就可以任意存取整个用户组所能使用的系统资源。
T或T(Sticky):/tmp和 /var/tmp目录供所有用户暂时存取文件,亦即每位用户皆拥有完整的权限进入该目录,去浏览、删除和移动文件,但此目录下的文件只有文件的属主才能删除。
因为SUID、SGID、Sticky占用x的位置来表示,所以在表示上会有大小写之分。加入同时开启执行权限和SUID、SGID、Sticky,则权限表示字符是小写的:
-rwsr-sr-t 1 root root 4096 6月 23 08:17 conf
如果关闭执行权限,则表示字符会变成大写:
-rwSr-Sr-T 1 root root 4096 6月 23 08:17 conf
如果要设置特殊权限,就必须使用4位数字才能表示。特殊权限的对应数值为:
s或 S (SUID):对应数值4。
s或 S (SGID):对应数值2。
t或 T :对应数值1。
例如:
$ chmod 4755 /usr/bin/passwd
-rwsr-xr-x 1 root root 16336 2003-02-14 /usr/bin/passwd
3.4.4 更改目录/文件的权限值
chmod 命令
chmod命令是非常重要的,用于改变文件或目录的访问权限。用户用它控制文件或目录的访问权限。
该命令有两种用法。一种是包含字母和操作符表达式的文字设定法;另一种是包含数字的数字设定法。
1. 文字设定法
chmod [who] [+ | - | =] [mode] 文件名?
命令中各选项的含义为:
操作对象who可是下述字母中的任一个或者它们的组合:
u 表示“用户(user)”,即文件或目录的所有者。
g 表示“同组(group)用户”,即与文件属主有相同组ID的所有用户。
o 表示“其他(others)用户”。
a 表示“所有(all)用户”。它是系统默认值。
操作符号可以是:
+ 添加某个权限。
- 取消某个权限。
= 赋予给定权限并取消其他所有权限(如果有的话)。
设置mode所表示的权限可用下述字母的任意组合:
r 可读。
w 可写。
x 可执行。
X 只有目标文件对某些用户是可执行的或该目标文件是目录时才追加x 属性。
s 在文件执行时把进程的属主或组ID置为该文件的文件属主。方式“u+s”设置文件的用户ID位,“g+s”设置组ID位。
t 保存程序的文本到交换设备上。
u 与文件属主拥有一样的权限。
g 与和文件属主同组的用户拥有一样的权限。
o 与其他用户拥有一样的权限。
文件名:以空格分开的要改变权限的文件列表,支持通配符。
在一个命令行中可给出多个权限方式,其间用逗号隔开。例如:chmod g+r,o+r example使同组和其他用户对文件example 有读权限。
2. 数字设定法
我们必须首先了解用数字表示的属性的含义:0表示没有权限,1表示可执行权限,2表示可写权限,4表示可读权限,然后将其相加。所以数字属性的格式应为3个从0到7的八进制数,其顺序是(u)(g)(o)。
例如,如果想让某个文件的属主有“读/写”二种权限,需要把4(可读)+2(可写)=6(读/写)。
数字设定法的一般形式为:
chmod [mode] 文件名?
3.4.5 更改目录/文件的属主与属组
chgrp命令
功能:改变文件或目录所属的组。
语法:chgrp [选项] group filename?
该命令改变指定指定文件所属的用户组。其中group可以是用户组ID,也可以是/etc/group文件中用户组的组名。文件名是以空格分开的要改变属组的文件列表,支持通配符。如果用户不是该文件的属主或超级用户,则不能改变该文件的组。
该命令的各选项含义为:
- R 递归式地改变指定目录及其下的所有子目录和文件的属组。
chown 命令
功能:更改某个文件或目录的属主和属组。这个命令也很常用。例如root用户把自己的一个文件拷贝给用户xu,为了让用户xu能够存取这个文件,root用户应该把这个文件的属主设为xu,否则,用户xu无法存取这个文件。
语法:chown [选项] 用户或组 文件
说明:chown将指定文件的拥有者改为指定的用户或组。用户可以是用户名或用户ID。组可以是组名或组ID。文件是以空格分开的要改变权限的文件列表,支持通配符。
该命令的各选项含义如下:
- R 递归式地改变指定目录及其下的所有子目录和文件的拥有者。
- v 显示chown命令所做的工作。
本文出自 “grant.blog.com” 博客,谢绝转载!