- 论坛徽章:
- 0
|
一、基本常识:
第一部分 shell
1、1 文件:
当你创建一个文件的时候,系统保存了有关该文件的全部信息,包括:
• 文件的位置。
• 文件类型。
• 文件长度。
• 哪位用户拥有该文件,哪些用户可以访问该文件。
• i节点。
• 文件的修改时间。
• 文件的权限位。
让我们使用ls -l命令,来看一个典型的文件:
$ls -l
total 4232
-rwxr-xr-x 1 root root 3756 Oct 14:04:44 dmesg
-r-xr-xr-x 1 root root 120708 oct 3 05:40 PS
-rwxr-xr-x 1 root root 5388 DEC 2 2008 pwd
........
下面让我们来分析一下该命令所得结果的前面两行,看看都包含了哪些信息:
total 4232:这一行告诉我们该目录中所有文件所占的空间。
- r w x r- x r- x:这是该文件的权限位。如果除去最前面的横杠,这里一共是9个字符,他们分别对应9个权限位。通过这些权限位,可以设定用户对文件的访问权限。这9个字符可以分为三组:
r w x:文件属主权限这是前面三位
r- x:同组用户权限这是中间三位
r- x:其他用户权限这是最后三位
后面我们还将对这些权限位作更详细的介绍。出现在r、w、x位置上的横杠表示相应的访问权限被禁止。
1 该文件硬链接的数目。
root 文件的属主。
root 文件的属主r o o t所在的缺省组(也叫做r o o t )。
3578 用字节来表示的文件长度,记住,不是K字节!
Oct 14 04:44 文件的更新时间。
dmesg 文件名。
1.2文件类型:
文件类型有七种,它可以从ls -l命令所列出的结果的第一位看出,这七种类型是:
d 目录。
l 符号链接(指向另一个文件)。
s 套接字文件。
b 块设备文件。
c 字符设备文件。
p 命名管道文件。
- 普通文件,或者更准确地说,不属于以上几种类型的文件。(这个是最常见)
1.3权限:
用touch 命令创建一个文件:
$touch myfile
$ls -l
-rw-r--r-- 1 dave admin 0 Jan 8 13:22:05 myfile
文件属主权限 组用户权限 其他用户权限
r w - r- - r--
接下来的三个权限位是文件属主所具有的权限;再接下来的三位是与你同组用户所具有的权限,这里是a d m i n组;最后三位是其他用户所具有的权限。在该命令的结果中,我所属于的缺省组也显示了出来。下面是对该文件权限的精确描述:
表1-1 ls -l命令输出的含义
(第一个字符) - 普通文件
(接下来的三个字符) rw- 文件属主的权限
(再接下来的三个字符) r-- 同组用户的权限
(最后三个字符) r-- 其他用户的权限
因此,这三组字符(除了第一个字符)分别定义了:
1) 文件属主所拥有的权限。
2) 文件属主缺省组(一个用户可以属于很多的组)所拥有的权限。
3) 系统中其他用户的权限。
在每一组字符中含有三个权限位:
r 读权限
w 写/更改权限
x 执行该脚本或程序的权限
这里我们采用另外一种方式来表示刚才所列出m y f i l e的文件权限:
- r w - r- - r--
文件类型为普通文件文件属主可以读、写同组用户可以读其他用户可以读
你可能已经注意到了,m y f i l e在创建的时候并未给属主赋予执行权限,在用户创建文件时,
系统不会自动地设置执行权限位。这是出于加强系统安全的考虑。必须手工修改这一权限位:
后面讲到u m a s k命令时,你就会明白为什么没有获得执行权限。然而,你可以针对目录设置执
行权限位,但这与文件执行权限位的意义有所不同,这一点我们将在后面讨论。
上面这段关于权限位的内容可能不太好理解,让我们来看几个例子(见表1 - 2 )。
更令人迷惑的是,对于文件属主来说,在只有读权限位被置位的情况下,仍然可以通过
文件重定向的方法向该文件写入。过一会儿我们就会看到,能否删除一个文件还依赖于该文
件所在目录权限位的设置。
表1-2 文件权限及含义
权限 所代表的含义
r-- --- --- 文文件属主可读,但不能写或执行
r-- r-- --- 文文件属主和同组用户(一般来说,是文件属主所在的缺省组)可读
r-- r-- r-- 文任何用户都可读,但不能写或执行
rwx r-- r-- 文件属主可读、写、执行,同组用户和其他用户只可读
rwx r-x --- 文件属主可读、写、执行,同组用户可读、执行
rwx r-x r-x 文件属主可读、写、执行,同组用户和其他用户可读、执行
rw- rw- --- 文件属主和同组用户可读、写
rw- rw- r-- 文件属主和同组用户可读、写,其他用户可读
rw- rw- --- 文件属主和同组用户及其他用户读可以读、写,慎用这种权限设置,因为任何用户都可以写入该文件
1.4 改变权限位的方法:
chmod 命令的一般格式为:
chmod [who] operator [permission] filename
w h o的含义是:
u 文件属主权限。
g 同组用户权限。
o 其他用户权限。
a 所有用户(文件属主、同组用户及其他用户)。
o p e r a t o r的含义:
+ 增加权限。
- 取消权限。
= 设定权限。
p e r m i s s i o n的含义:
r 读权限。
w 写权限。
x 执行权限。
s 文件属主和组set-ID。
t 粘性位*。
l 给文件加锁,使其他用户无法访问。
u,g,o 针对文件属主、同组用户及其他用户的操作。
chmod命令举例:让我们来看一些使用c h m o d命令的例子。假定m y f i l e文件最初具有这样的权限: rwx rwx rwx :
命令 结果 含义
chmod a-x myfile rw- rw- rw- 收回所有用户的执行权限
chmod og-w myfile rw- r-- r- - 收回同组用户和其他用户的写权限
chmod g+w myfile rw- rw- r- - 赋予同组用户写权限
chmod u+x myfile rwx rw- r- - 赋予文件属主执行权限
chmod go+x myfile rwx rwx r- x 赋予同组用户和其他用户执行权限
当创建m y f i l e文件时,它具有这样的权限:
-rw-r--r-- 1 dave admin 0 Jan 8 14:05 myfile
如果这是我写的一个脚本,我希望能够具有执行权限,并取消其他用户(所有其他用户)的写权限,可以用:
$ chmod u+x o-w myfile
这样,该文件的权限变为:
-rwx r-- --- 1 dave admin 0 Jan 8 14:05 myfile
现在已经使文件属主对myfile文件具有读、写执行的权限,而admin组的用户对该文件具有读权限。如果希望某个脚本文件对你自己来说可执行,而且你对该文件的缺省权限很放心,那么只要使它对你来说具有执行权限即可。
$ chmod u+x dt
chmod命令绝对模式的一般形式为:chmod [mode] file
其中mode是一个八进制数。在绝对模式中,权限部分有着不同的含义。每一个权限位用一个八进制数来代表,如表1 - 3所示:
表1-3 八进制目录/文件权限表示八进制数 含义 八进制数 含义
0 4 0 0 文件属主可读 0 0 1 0 同组用户可执行
0 2 0 0 文件属主可写 0 0 0 4 其他用户可读
0 1 0 0 文件属主可执行 0 0 0 2 其他用户可写
0 0 4 0 同组用户可读 0 0 0 1 其他用户可执行
0 0 2 0 同组用户可写
在设定权限的时候,只需按照表1-3查出与文件属主、同组用户和其他用户所具有的权限相对应的数字,并把它们加起来,就是相应的权限表示。
再来看看前面举的例子:
-rw-r--r-- 1 dave admin 0 Jan 8 14:05 myfile
相应的权限表示应为6 4 4,它的意思就是:
0 4 0 0 + 0 2 0 0 (文件属主可读、写) = 0 6 0 0
0 0 4 0 (同组用户可读) = 0 0 4 0
0 0 0 4 (其他用户可读) = 0 0 0 4
0 6 4 4
有一个计算八进制权限表示的更好办法,如表1 - 4所示:
表1-4 计算权限值
文件属 主同组用户 其他用户
r w x r w x r w x
4 + 2 + 1 4 + 2 + 1 4 + 2 + 1
使用表1-4,可以更容易地计算出相应的权限值,只要分别针对文件属主、同组用户和其他用户把相应权限下面的数字加在一起就可以了。myfile文件具有这样的权限:
rw- r-- r--
4 + 2 4 4
把相应权限位所对应的值加在一起,就是644。
chmod 的其他例子:
命令 结果 含义
chmod 666 rw- rw- rw- 赋予所有用户读和写的权限
chmod 644 rw- r-- r-- 赋予所有文件属主读和写的权限,所有其他用户读权限
chmod 744 rwx r-- r-- 赋予文件属主读、写和执行的权限,所有其他用户读的权限
chmod 664 rw- rw- r-- 赋予文件属主和同组用户读和写的权限,其他用户读权限
chmod 700 rwx --- --- 赋予文件属主读、写和执行的权限
chmod 444 r-- r-- r-- 赋予所有用户读权限
1.4 目录:
目录权限和文件权限是有所不同。目录的读权限是可以列出其中的内容。写权限是可以在该目录中创建文件,如果不希望其他用户在你的目录中创建文件,可以取消相应的写权限。执行权限则意味着搜索和访问该目录。
目录权限
r w x
可以列出该目录中的文件 可以在该目录中创建或删除文件 可以搜索或进入该目录
表1-6 目录权限举例
权限 文件属主 同组用户 其他用户
drwx rwx r-x(775) 读、写、执行 读、写、执 行读、执行
drwx r-x r--(754) 读、写、执行 读、执行 读
drwx r-x r-x(755) 读、写、执行 读、执行 读、执行
1.5为什么要使用suid/guid修改脚本文件的权限:
suid意味着如果某个用户对属于自己的s h e l l脚本设置了这种权限,那么其他用户在执行这一脚本时也会具有其属主的相应权限。于是,如果根用户的某一个脚本设置了这样的权限,那么其他普通用户在执行它的期间也同样具有根用户的权限。同样的原则也适用于guid,执行相应脚本的用户将具有该文件所属用户组中用户的权限。
为什么要使用这种类型的脚本?这里有一个很好的例子。我管理着几个大型的数据库系统,而对它们进行备份需要有系统管理权限。我写了几个脚本,并设置了它们的g u i d,这样我指定的一些用户只要执行这些脚本就能够完成相应的工作,而无须以数据库管理员的身份登录,以免不小心破坏了数据库服务器。通过执行这些脚本,他们可以完成数据库备份及其他管理任务,但是在这些脚本运行结束之后,他们就又回复到他们作为普通用户的权限。若想找出这些命令,可以进入/bin或/sbin目录,执行 $ ls -l |grep '^...s',这一个命令是用来查找suid文件的;$ ls -l |grep '^...s...s'就可用来查找suid和guid。
如何设置suid与guid呢?如果希望设置suid,那么就将相应的权限位之前的那一位设置为4;如果希望设置guid,那么就将相应的权限位之前的那一位设置为2;如果希望两者都置位,那么将相应的权限之前的那一位设置为4+2。一旦设置了这一位,一个s将出现在绵位置上。记住:在设置suid或guid的同时,相应的执行权限必须被设置。例如,如果希望设置guid,那么必须要让该用户组具有执行权限。如想对文件login设置suid,它当前所具有的权限为rwx rw- r--(741),需要在使用chmod命令时,在该权限数字的前面加一个4,即chmod 4741,这样使该文件的权限变为rws rw- r--
表1-7 设置s u i d / g u i d
命令 结果 含义
chmod 4755 rws r-x r-x 文件被设置了suid,文件属主具有读、写和执行的权限,所有其
他用户具有读和执行的权限
chmod 6711 rws --s --s 文件被设置了suid和guid,文件属主具有读、写和执行的权限,
所有其他用户具有执行的权限
chmod 4764 rws rw- r-- 文件被设置了s u i d,文件属主具有读、写和执行的权限,同组用
户具有读和执行的权限,其他用户具有读权限
还可以使用符号方式来设置suid与guid。如果某个文件具有这样的权限:rwx r-x r-x,那么可以这样设置其suid:
$chmod u+s
于是,该文件的权限将变为:rws r-x r-x。注若为S,表示该权限位并末设置。
1.6 chown与chgrp
当你创建一个文件时,你就是该文件的属主。一旦你拥有某个文件,就可以改变它的所有权,把它的所有权交给另外一个/etc/passwd文件中存在的合法用户。可以使用用户或用户ID号来完成这一操作。在改变一个文件的所有权时,相应的suid也将被清除,这主要是出于安全考虑。只有文件的属主和系统管理员才可以改变文件夹的所有权。一旦将文件的所有权交给另外一个用户,就无法再重新收回它的所有权。如果真的需要这样做,那么就只有求助于系统管理员了。
chown命令的一般形式为: chmod -R -h owner file
—R选项意味着对所有子目录下的文件也都进行同样的操作。 -h选项意味着在改变符号链接文件的属主时不影响该外国投资所指向的目标文件。
chown举例,这里给出几个例子:
文件project的所有权现在由用户louise交给了用户pauline。
$ ls -l
$ -rwx rwx rwx 1 louise admin 345 sep 20 14:33 project
$ chown pauline project
$ ls -l
$ -rwx rwx rwx 1 pauline admin sep 20 14:33 project
从而实现了将文件project的所有权现在由用户louise交给了用户pauline。
chgrp举例,chgrp命令和chown命令的格式差不多,下面给出一个例子。
-rwx rwx rwx 1 pauline admin 345 sep 20 14:33 project
$chgrp sybadmin project
$ls -l
$ -rwx rwx rwx paulin sybadmin 345 sep 20 14:33 project
用户pauline现在把该文件所属的组由admin变为sybadmin(系统中的另外一个用户组)。
使用下面的命令可找出你所在的用户组:
$group
$admin sybadmin appsgen general
或者可用id命令:
$id
$uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm)
找出其他用户所在的组:
$group matty
$sybamdin appsgen post
上面的命令实现用户matty查找出属于sybadmin、appsgen 和post组。
1.7 umask
当最初登录到系统中时, u m a s k命令确定了你创建文件的缺省模式。这一命令实际上和chmod命令正好相反。你的系统管理员必须要为你设置一个合理的umask值,以确保你创建的文件具有所希望的缺省权限,防止其他非同组用户对你的文件具有写权限。一般来说,umask命令是在/etc/profile文件中设置的,每个用户在登录时都会引用这个文件,所以如果希望改变所有用户的u m a s k,可以在该文件中加入相应的条目。如果希望永久性地设置自己的umask值,那么就把它放在自己$HOME目录下的.profile或.bash_profile文件中。该命令的一般形式为:
umask nnn
其中nnn为umask置 0 0 0 - 7 7 7。
这就是上面的例子,其中u m a s k值为0 0 2:
1) 文件的最大权限 rwx rwx rwx (777)
2) umask值为0 0 2 - - - - - - -w-
3) 目录权限 rwx rwx r-x (775) 这就是目录创建缺省权限
4) 文件权限 rw- rw- r-- (664) 这就是文件创建缺省权限
下面是另外一个例子,假设这次u m a s k值为0 2 2:
1) 文件的最大权限 rwx rwx rwx (777)
2 ) u m a s k值为0 2 2 - - - -w- -w-
3) 目录权限 rwx r-x r-x (755) 这就是目录创建缺省权限
4) 文件权限 rw- r-- r-- (644) 这就是文件创建缺省权限
表1-8 常用的u m a s k值及对应的文件和目录权限
umask值 目录 文件
0 2 2 7 5 5 6 4 4
0 2 7 7 5 0 6 4 0
0 0 2 7 7 5 6 6 4
0 0 6 7 7 1 6 6 0
0 0 7 7 7 0 6 6 0
如果想知道当前的umask值,可以使用umask命令:
$ umask
$022
$touch file1
$ls -l file1
$-rw-r--r-- 1 dave admin
1.8符号链接
存在两种不同类型的链接,软链接与硬链接。只讨论软链接,软链接实际上就是一个指向文件的指针。
(a)、使用软链接来保存文件的多个映像:
下面我们就解释一下符号链接是怎么回事。比方说在/ u s r / l o c a l / a d m i n / s a l e s目录下有一个含有销售信息的文件,销售部门的每一个人都想看这份文件。你可以在每一位用户的$ H O M E目录下建立一个指向该文件的链接,而不是在每个目录下拷贝一份。这样当需要更改这一文件时,只需改变一个源文件即可。每个销售$ H O M E目录中的链接可以起任何名字,不必和源文件一致。
如果有很多子目录,而进入这些目录很费时间,在这种情况下链接也非常有用。可以针对$ H O M E目录下的一个很深的子目录创建一个链接。还有,比如在安装一个应用程序时,它的日志被保存到/usr/opt/app/log目录下,如果想把它保存在另外一个你认为更方便目录下,可以建立一个指向该目录的链接。
该命令的一般形式为:
ln [-s] source_path target_path
其中的路径可以是目录也可以是文件。让我们来看几个例子。
(b)、符号链接举例:
假如系统中有4 0个销售和管理用户,销售用户使用一个销售应用程序,而管理用户使用一个管理应用程序。我作为系统管理员该怎么做呢?首先删除它们各自$ H O M E目录下的所有. p r o f i l e文件。然后在/usr/local/menus/目录下创建两个profile文件,一个是sales.profile,一个是admin.profile,它们分别为销售和管理人员提供了所需的环境,并引导他们进入相应的应用程序。现在我在所有销售人员的$HOME目录下分别创建一个指向sales.profile的链接,在所有管理人员的$HOME目录下分别创建一个指向admin.profile文件的链接。注意,不必在上面命令格式中的target_path端创建相应文件,如果不存在这样一个文件, ln命令会自动创建该文件。下面就是我对销售人员matty所做的操作。
$cd /home/sales/matty
$rm.profile
$ln -s /usr/local/menus/sales.profile. profile
$ls -al.profile
$lrwx rwx rwx 1 sales admin 5567 Jan 7 13:00 .profile->/usr/local/menus/sales.profile
如果需要作任何修改的话,只要改变销售和管理人员的profile文件即可,而不必对4 0个用户逐一进行修改。
下面是另外一个例子。我所管理的系统中有一个网络监视器,它将日志写在/usr/opt/monitor/regstar目录下,但其他所有的日志都保存在/var/adm/logs目录下,这样只需在该目录下建立一个指向原有文件的链接就可以在一个地方看所有的日志了,而不必花费很多时间分别进入各个相应的目录。下面就是所用的链接命令:
$ln -s /usr/opt/monitor/regstar/reg.log /var/adm/logs/monitor.log
如果链接太多的话,可以删掉一些,不过切记不要删除源文件。
不管是否在同一个文件系统中,都可以创建链接。在创建链接的时候,不要忘记在原有
目录设置执行权限。链接一旦创建,链接目录将具有权限7 7 7或rwx rwx rwx,但是实际的原
有文件的权限并未改变。
在新安装的系统上,通常要进行这样的操作,在/ v a r目录中创建一个指向/ t m p目录的链接,
因为有些应用程序认为存在/ v a r / t m p目录(然而它实际上并不存在),有些应用程序在该目录中
保存一些临时文件。为了使所有的临时文件都放在一个地方,可以使用l n命令在/ v a r目录下建
立一个指向/ t m p目录的链接。
现在如果我在/ v a r目录中列文件,就能够看到刚才建立的链接:
本文来自ChinaUnix博客,如果查看原文请点:http://blog.chinaunix.net/u1/57392/showart_459587.html |
|
免费注册
发表于 2008-01-08 14:14