Chinaunix首页 | 论坛 | 博客
  • 博客访问: 19267607
  • 博文数量: 7460
  • 博客积分: 10434
  • 博客等级: 上将
  • 技术积分: 78178
  • 用 户 组: 普通用户
  • 注册时间: 2008-03-02 22:54
文章分类

全部博文(7460)

文章存档

2011年(1)

2009年(669)

2008年(6790)

分类: BSD

2008-03-20 16:29:16

当创建一个文件的时候,系统保存了有关该文件的全部信息,包括:
"
文件的位置。
"
文件类型。
"
文件长度。
"
哪位用户拥有该文件,哪些用户可以访问该文件。
" i
节点。
"
文件的修改时间。
"
文件的权限位。

让我们用touch命令创建一个文件:

$ touch temp

创建了一个空文件,现在用ls -l命令查看该目录下文件的属性(我这里用中文版)
如下:

 [root@Linux_chenwy temp]# ls -l
总用量 36
-rw-r--r--    1 root     root        34890 10
19 20:17 httpd.conf
-rw-r--r--    1 root     root            0 10
19 20:16 temp


总用量 36:是ls所列出的入口占用空间的字节数(K为单位)不是该目录中所有文件占用的空间
1
该文件硬链接的数目。
root
:文件属主。
root
:文件属组(一般是文件属主所在的缺省组。)
34890
:字节来表示的文件长度,记住,不是K字节!
10
19 20:17:件的更新时间。
temp or httd.conf
:件名。


BTW:
要检查该目录所有文件占用的空间应该用这个命令:du
譬如说前面说的36是如何计算出来:
首先我们要先了解你所用的文件系统的IO BLOCK(中文叫作簇)为多少,在你所使用的这个文件系统的IO BLOCK大小是4096 Bytes

他意义是文件系统最小的读写及分配单位,每次读写操作你都不能小于这个尺寸。即使你的文件是只有一个字节。而且文件在硬盘上的存储也是以这个为单位,就是说如果文件尺寸小于这个值,那么它在磁盘上占用的空间就是4096字节。

占用空间的具体算法是:(进一(文件尺寸/4096))×4096。根据这个你就可以计算出你所列举的例子中的文件的空间使用状况:34890除以4096,大约等于8.5,进一法取得为9,就是说文件在磁盘上占用了9BLOCk,每个BLOCK4K,所以这两个文件占用的空间就是36K

这个规则也适合于目录,不过不会出现为0的目录,即使是空目录。对于空目录及所有入口占用的空间小于一个block的目录来说,他的空间以一个block的大小来计算。

 

-rw-r--r-- :这是该文件的权限位。

第一个横杠:指定文件类型,表示该文件是一个普通文件。(所创建的文件绝大多数都是普通文件或符号链接文件)

除去最前面的横杠,一共是9个字符,他们分别对应9个权限位。通过这些权限位,可以设定用户对文件的访问权限。对这两个文件的精确解释是:

rw-:前三位,文件属主可读、写
r--
:中间三位,组用户可读
r--
:最后三位,其他用户只可读

在创建的时候并未给属主赋予执行权限,在用户创建文件时,系统不会自动地设置执行权限位。这是出于加强系统安全的考虑

BTW
:文件的属主组并不一定就是所有者所在的缺省组,而可以是任何一个跟该文件所有者无关的用户组。为了方便,还是统称属主,属组和其它。

 

-rwxrwxrwx中,红色的一组是指属于文件所有者组的用户对文件所拥有的权限,但是这个组并不必蓝色的权限中文件的所有者所在的组。它们可以是一个,也可以是不同的,甚至可以和这个文件的所有者没有任何的关系。譬如说你新建一个test组,而让root用户不属于test这个组的话,你照样可以用chown :test filename这个命令让该文件的所有者组为test组,一切的访问照样合用。

 

文件类型

前面提到的第一条横杠,表示该文件是普通文件型
文件类型有七种,它可以从ls -l命令所列出的结果的第一位看出.

七种类型:

d 目录。
l
符号链接(指向另一个文件)
s
套接字文件。
b
块设备文件。
c
字符设备文件。
p
命名管道文件。
-
普通文件,或者更准确地说,不属于以上几种类型的文件。

文件的权限位中中每一组字符中含有三个权限位:

 

r 读权限
w
/更改权限
x
执行该脚本或程序的权限

如:

r-- --- --- 文件属主可读,但不能写或执行
r-- r-- ---
文件属主和属组用户(一般来说,是文件属主所在的缺省组)可读
r-- r-- r- -
任何用户都可读,但不能写或执行
rwx r-- r- -
文件属主可读、写、执行,属组用户和其他用户只可读
rwx r-x ---
文件属主可读、写、执行,属组用户可读、执
rwx r-x r- x
文件属主可读、写、执行,属组用户和其他用户可读、执行
rw- rw- ---
文件属主和属组用户可读、写
rw- rw- r--
文件属主和属组用户可读、写,其他用户可读
rw- rw- rw-
文件属主和属组用户及其他用户读可以读、写,慎用这种权限
设置,因为任何用户都可以写入该文件

 

使用chmod来改变权限位

这一命令有符号模式和绝对模式。

符号模式
chmod
命令的一般格式为:

chmod [who] operator [permission] filename

w h o
的含义是:

u 文件属主权限。
g
属组用户权限。
o
其他用户权限。
a
所有用户(文件属主、属组用户及其他用户)

o p e r a t o r的含义:

+ 增加权限。
-
取消权限。
=
设定权限。

p e r m i s s i o n的含义:

r 读权限。
w
写权限。
x
执行权限。
s
文件属主和组set-ID
t
粘性位*
l
给文件加锁,使其他用户无法访问。
u,g,o
针对文件属主、属组用户及其他用户的操作。

tsticky bit,该位可以理解为防删除位. 一个文件是否可以被某用户删除, 主要取决于该文件所属的组是否对该用户的文件具有写权限. 如果没有写权限, 则这个目录下的所有文件都不能被删除, 同时也不能添加新的文件. 如果希望用户能够添加文件但同时不能删除文件, 则可以对文件使用sticky bit. 设置该位后, 就算用户对目录具有写权限, 也不能删除该文件。它的主要作用就是共享文件,典型的如/tmp分区。

###########################

以下是测试

test1用户登陆:
cd /tmp

mkdir test1

ll

drwxr-xr-x   2 test1  wheel     - 512 Apr 20 15:35 test1/

cd test1

touch test1

touch test2

ll

-rw-r--r--  1 test1  wheel  -   0 Apr 20 15:35 test1

-rw-r--r--  1 test1  wheel  -   0 Apr 20 15:35 test2

这个时候,test1目录的权限是755,因此文件属组没有写权限,因此只有test1用户才能在test1目录下建文件,其它用户只能读、访问test1目录,无法建文件的,用test2用户测试一下:
touch temp1

touch: temp1: Permission denied

现在用test1用户给test1目录加权限:
chmod g+w test1

ll

drwxrwxr-x   2 test1  wheel     - 512 Apr 20 15:35 test1/

现在test1目录权限是775,文件属组有写权限,因此与test1用户同属于wheel组的test2用户应该可以建文件了,测试一下:
touch test3

ll

-rw-r--r--  1 test1  wheel  -   0 Apr 20 15:35 test1

-rw-r--r--  1 test1  wheel  -   0 Apr 20 15:35 test2

-rw-r--r--  1 test2  wheel  -   0 Apr 20 15:39 test3

现在再把test1目录的权限改回755,用test1用户
cd /tmp

chmod g-w test1

ll

drwxr-xr-x   2 test1  wheel     - 512 Apr 20 15:40 test1/

现在试试删除文件,用test2用户删除test1用户的文件。

rm test1

override rw-r--r--  test1/wheel for test1? y

rm: test1: Permission denied

ll

-rw-r--r--  1 test1  wheel  -   0 Apr 20 15:39 test1

因为test1的权限为644,所以与test1用户同组的test2用户对它没有写权限,所以无法删除。

现在用test1用户给test1文件增加权限:
chmod g+w test1

ll

drwxr-xr-x  2 test1  wheel  - 512 Apr 20 15:40 ./

-rw-rw-r--  1 test1  wheel  -   0 Apr 20 15:39 test1

然后再次用test2用户删除:

rm test1

rm: test1: Permission denied

因为删除文件本身就是在目录,所以必须对目录有权限。而此时test1目录的权限是755,用test1用户把它改成775以后,test2用户就能删除了。

rm test1

override rw-r--r--  test1/wheel for test1? y

结论是:文件名是保存在目录中的,因此创建、重命名和删除文件都只需要对目录有写权限,文件权限对这些操作没有影响。或许正如雨丝风片说的那样:“人在屋檐下,怎能不低头,hehe

现在该试sticky bit了,换到test1用户下
ll

drwxr-xr-x   2 test1  wheel     - 512 Apr 20 16:01 test1/

chmod g+t test1

ll

drwxr-xr-t   2 test1  wheel     - 512 Apr 20 16:01 test1/

cd test1

touch test1

touch test2

ll

-rw-r--r--  1 test1  wheel  -   0 Apr 20 16:06 test1

-rw-r--r--  1 test1  wheel  -   0 Apr 20 16:06 test2

这个时候再把test1目录给属组写权限,按照上面的实验test2用户应该可以删除test1test2文件的,我们来试试:
chmod g+w test1

ll

drwxrwxr-t   2 test1  wheel     - 512 Apr 20 16:06 test1/

现在让test2用户删除一下test1文件:
rm test1

override rw-r--r--  test1/wheel for test1? y

rm: test1: Operation not permitted

现在让test2用户建个文件:
touch test3

ll

-rw-r--r--  1 test1  wheel  -   0 Apr 20 16:06 test1

-rw-r--r--  1 test1  wheel  -   0 Apr 20 16:06 test2

-rw-r--r--  1 test2  wheel  -   0 Apr 20 16:09 test3

test1用户是否可以删除:

rm test3

override rw-r--r--  test2/wheel for test3? y

为什么哪:因为test1目录是test1用户建立的,因此test1目录内的文件任由test1用户处理,正如那句广告词“我的地盘我做主”,呵呵。这个也正是sticky bit的作用所在:
test1
建立的目录,设置了sticky bit之后,只有test1用户可以任意处置test1目录下的文件,而其他用户只能处置自己建的文件,当然前提是test1用户给他赋予了w权限。

这个时候换另外一个用户test3,它来删除test3

rm test3

override rw-r--r--  test2/wheel for test3? y

rm: test3: Operation not permitted

它也不行,除非是test1目录的创建者,否则其他用户只能管理自己的文件,当然root除外。

###########################

 

 

chmod a-x temp //rw- rw- rw- 收回所有用户的执行权限
chmod og-w temp //rw- r-- r- -
收回属组用户和其他用户的写权限
chmod g+w temp //rw- rw- r- -
赋予属组用户写权限
chmod u+x temp //rwx rw- r- -
赋予文件属主执行权限
chmod go+x temp //rwx rwx r- x
赋予属组用户和其他用户执行权限

举如
当创建temp文件时,它具有这样的权限:

-rw-r--r--    1 root     root            0 10 19 20:16 temp

如果要使属主和属组用户具有有执行权限,并取消其他用户(所有其他用户)的写权限,可以用:

$ chmod ug+x temp
$ chmod o-w temp

这样,该文件的权限变为:

-rwxr--r--    1 root     root            0 10 19 20:16 temp

现在已经使文件属主对temp文件具有读、写执行的权限,属组用户真有读写权限,其它用户没有权限了。

 

绝对模式

chmod
命令绝对模式的一般形式为:

chmod [mode] file

其中m o d e是一个八进制数。
在绝对模式中,权限部分有着不同的含义。每一个权限位用一个八进制数来代表,如

0 4 0 0 文件属主可读
0 2 0 0
文件属主可写
0 1 0 0
文件属主可执行

0 0 4 0
属组用户可读
0 0 2 0
属组用户可写
0 0 1 0
属组用户可执行

0 0 0 4
其他用户可读
0 0 0 2
其他用户可写
0 0 0 1
其他用户可执行

在设定权限的时候,只需按照上面查出与文件属主、属组用户和其他用户所具有的权限相对应的数字,并把它们加起来,就是相应的权限表示。
可以看出,文件属主、属组用户和其他用户分别所能够具有的最大权限值就是7

再来看看前面举的例子:
-rwxr--r--  1   root            0 10
19 20:16 temp

相应的权限是:

rwx-
0400 + 0200 +0100 (文件属主可读、写、执行) = 0 7 0 0
r--
0 0 4 0 (属组用户可读) = 0 0 4 0
r--
0 0 4 0 (属组用户可读) = 0 0 4 0
0 7 4 4

有一个计算八进制权限表示的更好办法,如下:
文件属主:r w x4 + 2 + 1
属组用户:r w x4 + 2 + 1
其他用户:r w x4 + 2 + 1

这上面这相,更容易地计算出相应的权限值,只要分别针对文件属主、属组用户和其他用户把相应权限下面的数字加在一起就可以了。

temp
文件具有这样的权限:

r w x     r - - r - -
4+2+1  4     4

把相应权限位所对应的值加在一起,就是7 4 4

如:
chmod 666 rw- rw- rw-
赋予所有用户读和写的权限
chmod 644 rw- r-- r- -
赋予所有文件属主读和写的权限,所有其他用户读权限
chmod 744 rwx r-- r- -
赋予文件属主读、写和执行的权限,所有其他用户读的权限
chmod 664 rw- rw- r- -
赋予文件属主和属组用户读和写的权限,其他用户读权限
chmod 700 rwx --- ---
赋予文件属主读、写和执行的权限
chmod 444 r-- r-- r- -
赋予所有用户读权限

下面举一个例子,假定有一个名为temp的文件,具有如下权限:
-rw-rw-r--  1   root            0 10
19 20:16 test1

现在希望对该文件可读、写和执行, root组用户对该文件只读,可以键入:
$chmod 740 test1
$ls -l
-rwxr-----  1   root            0 10
19 20:16 test1

如果文件可读、写和执行,对其他所有用户只读,用:
$chmod 744 test1
$ls -l
-rwxr--r--  1   root            0 10
19 20:16 test1

如果希望一次设置目录下所有文件的权限,可以用:
$chmod 664 *
$ls -l
-rw-r--r--  1   root            0 10
19 20:16 test1

这将使文件属主和属组用户都具有读和写的权限,其他用户只具有读权限。

还可以通过使用- R选项连同子目录下的文件一起设置:
chmod -R 664 /temp/*

这样就可以一次将/ temp目录下的所有文件连同各个子目录下的文件的权限全部设置为文件属主和属组用户可读和写,其他用户只读。使用- R选项一定要谨慎,只有在需要改变目录树下全部文件权限时才可以使用。

 

目录

目录的权限位和文件有所不同。目录的读权限位意味着可以列出其中的内容。写权限位意味着可以在该目录中创建文件,如果不希望其他用户在你的目录中创建文件,可以取消相应的写权限位。执行权限位则意味着搜索和访问该目录.
r :可以列出该目录中的文件
w:
可以在该目录中创建或删除文件
x:
可以搜索或进入该目录

权限文件属主属组用户其他用户


drwx rwx r- x ( 775 ) 属主读、写、执行,属组读、写、执行,其它组读、执行
drwx r-x r- - ( 754 )
属主读、写、执行,属组读、执行,其它组读
drwx r-x r- x ( 755 )
属主读、写、执行,属组读、执行,其它组读、执行


如果把属组用户或其他用户针对某一目录的权限设置为- - x,那么他们将无法列出该目录中的文件。如果该目录中有一个执行位置位的脚本或程序,只要用户知道它的路径和文件名,仍然可以执行它。用户不能够进入该目录并不妨碍他的执行

目录的权限将会覆盖该目录中文件的权限。例如,如果目录temp具有如下的权限:
drwxr--r--  1   admin            0 10
19 20:16 temp

而目录下的文件myfile的权限为:
-rwxrwxrwx  1   admin           0 10
19 20:16 myfile

那么admin组的用户将无法编辑该文件,因为它所属的目录不具有这样的权限。

该文件对任何用户都可读,但由于它所在的目录并未给admin组的用户赋予执行权限,所以该组的用户都将无法访问该目录,他们将会得到“访问受限”的错误消息。

 

suid/guid

1
、为什么要使用这种类型的脚本?

例如有几个着几个大型的数据库系统,对它们进行备份需要有系统管理权限。可以写几个脚本,并设置了它们的g u i d,这样就可以指定的一些用户来执行这些脚本就能够完成相应的工作,而无须以数据库管理员的身份登录,以免不小心破坏了数据库服务器。通过执行这些脚本,他们可以完成数据库备份及其他管理任务,但是在这些脚本运行结束之后,他们就又回复到他们作为普通用户的权限。

2
、查找suid/guid命令

有相当一些U N I X命令也设置了s u i dg u i d。如果想找出这些命令,可以进入/ b i n/ s b i n目录,执行下面的命令:
$ ls -l | grep '^...s'
上面的命令是用来查找s u i d文件的;

$ ls -l | grep '^...s..s'
上面的命令是用来查找s u i dg u i d的。

3
、设置UID
设置s u i d:将相应的权限位之前的那一位设置为4
设置g u i d:将相应的权限位之前的那一位设置为2
两者都置位:将相应的权限位之前的那一位设置为4+2=6

设置了这一位后x的位置将由s代替。
记住:在设置s u i dg u i d的同时,相应的执行权限位必须要被设置。
例如,如果希望设置g u i d,那么必须要让该用户组具有执行权限。

如果想要对文件l o g i n[它当前所具有的权限为rwx rw- r-- (741)]设置s u i d,,可在使用c h m o d命令时在该权限数字的前面加上一个4,即chmod 4741,这将使该文件的权限变为r w s rw- r - -

设置suid/guid的例子
      命令          结果        含义
chmod 4755   rws r-x r- x   
文件被设置了s u i d,文件属主具有读、写和执行的权限,其他用户具有读和执行的权限
chmod 6711   rws --s --x   
文件被设置了s u i dg u i d,文件属主具有读、写和执行的权限,其他用户具有执行的权限
chmod 4764   rws rw- r- -   
文件被设置了s u i d,文件属主具有读、写和执行的权限,属组用户具有读和执行的权限,用户具有读权限

4
、还可以使用符号方式来设置s u i d / g u i d
如果某个文件具有这样的权限: rwx r-x r- x,那么可以这样设置其s u i d
chmod u+s ;

于是该文件的权限将变为: rws r-x r-x

在查找设置了s u i d的文件时,没准会看到具有这样权限的文件:rwS r-x r- x,其中S为大写。它表示相应的执行权限位并未被设置,这是一种没有什么用处的s u i d设置,可以忽略它的存在。

注意,c h m o d命令不进行必要的完整性检查,可以给某一个没用的文件赋予任何权限,但chmod 命令并不会对所设置的权限组合做什么检查。因此,不要看到一个文件具有执行权限,就认为它一定是一个程序或脚本


#######################
一个文件都有一个所有者, 表示该文件是谁创建的. 同时, 该文件还有一个组编号, 表示该文件所属的组, 一般为文件所有者所属的组.
如果是一个可执行文件, 那么在执行时, 一般该文件只拥有调用该文件的用户具有的权限. setuid, setgid 可以来改变这种设置.
setuid: 设置使文件在执行阶段具有文件所有者的权限. 典型的文件是 /usr/bin/passwd. 如果一般用户执行该文件, 则在执行过程中, 该文件可以获得root权限, 从而可以更改用户的密码.
setgid: 该权限只对目录有效. 目录被设置该位后, 任何用户在此目录下创建的文件都具有和该目录所属的组相同的权限.
sticky bit:
该位可以理解为防删除位. 一个文件是否可以被某用户删除, 主要取决于该文件所属的组是否对该用户具有写权限. 如果没有写权限, 则这个目录下的所有文件都不能被删除, 同时也不能添加新的文件. 如果希望用户能够添加文件但同时不能删除文件, 则可以对文件使用sticky bit. 设置该位后, 就算用户对目录具有写权限, 也不能删除该文件.

下面说一下如何操作这些标志:
操作这些标志与操作文件权限的命令是一样的, 都是 chmod. 有两种方法来操作,
1) chmod u+s temp --
temp文件加上setuid标志. (setuid 只对文件有效)
chmod g+s tempdir --
tempdir目录加上setgid标志 (setgid 只对目录有效)
chmod o+t temp --
temp文件加上sticky标志 (sticky只对文件有效)
2)
采用八进制方式. 对一般文件通过三组八进制数字来置标志, 666, 777, 644. 如果设置这些特殊标志, 则在这组数字之外外加一组八进制数字. 4666, 2777. 这一组八进制数字三位的意义如下,
abc
a - setuid
, 如果该位为1, 则表示设置setuid
b - setgid
, 如果该位为1, 则表示设置setgid
c - sticky
, 如果该位为1, 则表示设置sticky

设置完这些标志后, 可以用 ls -l 来查看. 如果有这些标志, 则会在原来的执行标志位置上显示.
rwsrw-r--
表示有setuid标志
rwxrwsrw-
表示有setgid标志
rwxrw-rwt
表示有sticky标志
那么原来的执行标志x到哪里去了呢? 系统是这样规定的, 如果本来在该位上有x, 则这些特殊标志显示为小写字母 (s, s, t). 否则, 显示为大写字母 (S, S, T)

要删除一个文件,你不一定要有这个文件的写权限,但你一定要有这个文件的上级目录的写权限。也就是说,你即使没有一个文件的写权限,但你有这个文件的上级目录的写权限,你也可以把这个文件给删除,而如果没有一个目录的写权限,也就不能在这个目录下创建文件。
如何才能使一个目录既可以让任何用户写入文件,又不让用户删除这个目录下他人的文件,sticky就是能起到这个作用。stciky一般只用在目录上,用在文件上起不到什么作用。
在一个目录上设了sticky位后,(如/tmp,权限为1777)所有的用户都可以在这个目录下创建文件,但只能删除自己创建的文件,这就对所有用户能写的目录下的用户文件启到了保护的作用。(我当时/tmp没有设sticky位,而在文件上设了,这也就是为什么我为什么设了sticky位,还能删除自己创建的文件的原因了)
########################
chownchgrp

当你创建一个文件时,你就是该文件的属主。一旦你拥有某个文件,就可以改变它的所有权,把它的所有权交给另外一个/ e t c / p a s s w d文件中存在的合法用户。可以使用用户名或用户I D号来完成这一操作。

在改变一个文件的所有权时,相应的s u i d也将被清除,这是出于安全性的考虑。只有文件的属主和系统管理员可以改变文件的所有权。一旦将文件的所有权交给另外一个用户,就无法再重新收回它的所有权。如果真的需要这样做,那么就只有求助于系统管理员了。

1
c h o w n命令的一般形式为:
chmod -R -h owner file
- R
选项意味着对所有子目录下的文件也都进行同样的操作。
- h
选项意味着在改变符号链接文件的属主时不影响该链接所指向的目标文件。

2chown举例
如:
# ls -l
drwxrwxr-x    2 sam      sam          4096 10
26 19:48 sam
# chown gem sam
# ls -l
drwxrwxr-x    2 gem      sam          4096 10
26 19:48 sam

文件sam的所有权现在由用户sam交给了用户gem

3
chgrp举例

c h g r p
命令和c h o w n命令的格式差不多,下面给出一个例子。
# ls -l
drwxrwxr-x    2 gem      sam          4096 10
26 19:48 sam
# chgrp group sam
# ls -l
drwxrwxr-x    2 gem      group        4096 10
26 19:48 sam

现在把该文件sam所属的组由sam变为group

4
、找出你所属于的用户组

如果你希望知道自己属于哪些用户组,可以用ID这个命令:
# su sam
$ id
uid=506(sam) gid=4(adm) groups=4(adm)

5、找出其他用户所属于的组
# id
uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel)
查看当前用户所属组

# id gem
uid=507(gem) gid=507(group) groups=507(group),0(root),4(adm)
查看其它用户所用组:#id 用户名

# su sam
$ id gem
uid=507(gem) gid=507(group) groups=507(group),0(root),4(adm)
查看其它用户所属组

这里书上用group,但我试过不能使
BTW
:可以用#cat /etc/passwd#cat /etc/group直接查看用户和组

 

阅读(861) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~