UNIX文件安全与权限

zhm_sunboy

使用[color="#800000"]ls -l命令,如下列:
  total 74434
  -rwxrwxr-x    2 user    dba         39921  1月 16 12:50 file1
  drwxrwxr-x    2 user    dba          4096  1月 16 15:29 folder
[color="#800000"]total 74434 表示该目录中所有文件所占的空间
          [color="#800000"]2 表示该文件硬链接的数目
      [color="#800000"]39921 表示该文件的长度,用字节表示,不是K字节
[color="#800000"] -rwxrwxr-x 代表该文件或目录的读写执行权限,第一位表示该文件类型(7种)
   [color="#ff0000"]d 目录  [color="#ff0000"]l 符号链接(指向另一个文件)  [color="#ff0000"]s 套接字文件   [color="#ff0000"]b 块设备文件
   [color="#ff0000"]c 字符设备文件  [color="#ff0000"]p 命名管道文件  [color="#ff0000"]- 普通文件
   第一段 rwx 表示文件属主权限: r,w,x(执行)
   第二段 rwx 表示文件属主缺省组权限: r,w,x
   第三段 r-x 系统中其他用的权限: r,x
[color="#ff0000"]注意:如果一文件的属性为-r--------,文件属主仍可以通过重定向的方式向该文件写入
[color="#ff0000"]chmod命令:分为符号模式和绝对模式两种:
符号模式格式:
   [color="#800000"]chmod [[color="#000000"]who] operator [[color="#000000"]permission] [color="#800000"]filename
   who含义:
     u  文件属主权限    g  同组用户权限    o  其他用户权限   a  所有用户
   operarot含义:
     +  增加权限       -  取消权限        =  设定权限
   permission含义:
     r  读权限         w  写权限          x  执行权限     s  文件属主和组set-ID  
     t  粘性位         l  给文件加锁,使其他用户无法访问
如果在一个目录上出现"t"位,就表示该目录中的文件只有其属主才可以删除,即使同组用户或赋予和属主同等权限;如果在文件上出现"t"位,就表示该脚本或程序在执行时会被放在交换区(虚存)
     例:  chmod u+x filename  表示属主增加写权限
          chmod u+x o-w filename 如果原来的权限是 -rw-r--rw- ,改变后为 -rwxr--r--
绝对模式:
   chmod [mode] filename    mode有3个8进制数字组成,比如chmod 777 filename
参数R: 比如 chmod -R 644 /usr/*  表示一次将/usr目录下的文件连同子目录的文件改变成644
[color="#ff0000"]目录权限覆盖文件权限,意思如果文件可写,但是其目录不能写,那么仍然不能写此文件
[color="#800000"]suid/guid命令[color="#000000"]:
  [color="#000000"]suid意味着如果某个用户对属于自己的shell脚本设置了这种权限,那么其他用户在执行这一脚本时也会具有其属主的相应权限。同样的原则也适用于guid,执行相应脚本的用户将具有该文件所属用户组中用户的权限。
设置方法:  (使用 ls -l |grep '^...s' 查看suid权限的文件)
    chmod 4711  结果 rws--x--x         使用4来设置suid
    chmod 6711  结果 rws--s--x         使用4+2来设置suid和guid
    chmod 2711  结果 rwx--s--x         使用2来设置guid
也可以使用  chmod u+s filename  来设置,如果看到是S,则表示该权限位未被设置,没有实际意义
[color="#ff0000"]chown/chgrp命令:
chown -R -h owner[:group] filename
    改变文件属主,-R表示所有目录,-h表示改变符号链接文件不影响其目标文件
chgrp -R -h group filename 用于改变文件属组
id [user]    ,   group  [user]  显示user所属组,如不加则是查看自己
[color="#ff0000"]umask命令:
    用于确定创建文件的缺省模式。可以写入自己的.profile或.bash_profile中
    umask是从权限中取消权限,计算的时候目录以777来计算,文件以666计算,也即
       umask 002 之后,目录权限为 rwxrwxr-x(775), 文件权限为 rw-rw-r--(664)
[color="#ff0000"]符号链接-软链接:
    命令格式:  ln [-s] source_path target_path   可以是目录也可以是文件
    链接一旦创建成功,链接目录将具有777权限,但实际目录的权限未改变
               
               
               
               

本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u2/75321/showart_1164384.html