类UNIX系统基础：文件安全与权限

wingger

我正在看的一本书，自己也整理了一下
这里面可能用到用户管理方面的知识，可查看贴：
http://bbs.chinaunix.net/forum/viewtopic.php?p=2923303#2923303

主要有以下内容：

1. 文件权限位
   
2. 基本命令
   
3. chmod
   
4. suid/guid
   
5. chown
   
6. chgrp
   
7. umask算法和用法
   
8. 符号链接

复制代码

当创建一个文件的时候，系统保存了有关该文件的全部信息，包括：
" 文件的位置。
" 文件类型。
" 文件长度。
" 哪位用户拥有该文件，哪些用户可以访问该文件。
" i节点。
" 文件的修改时间。
" 文件的权限位。

让我们用touch命令创建一个文件：

1. $ touch temp

复制代码

创建了一个空文件，现在用ls -l命令查看该目录下文件的属性（我这里用中文版)：
如下：

1. [root@Linux_chenwy temp]# ls -l
   
2. 总用量 36
   
3. -rw-r--r--    1 root     root        34890 10月 19 20:17 httpd.conf
   
4. -rw-r--r--    1 root     root            0 10月 19 20:16 temp

复制代码

1. 总用量 36：是ls所列出的入口占用空间的字节数(以K为单位)。
   
2. 1该文件硬链接的数目。
   
3. root：文件属主。
   
4. root：文件属组（一般是文件属主所在的缺省组。）
   
5. 34890：字节来表示的文件长度，记住，不是K字节！
   
6. 10月 19 20:17：件的更新时间。
   
7. temp or httd.conf ：件名。

复制代码

原帖由 "sunsroad " 发表：

BTW:要检查该目录所有文件占用的空间应该用这个命令：du。
譬如说前面说的36是如何计算出来：
首先我们要先了解你所用的文件系统的IO BLOCK（中文叫作簇）为多少，在你所使用的这个文件系统的IO BLOCK大小是4096 Bytes。

他意义是文件系统最小的读写及分配单位，每次读写操作你都不能小于这个尺寸。即使你的文件是只有一个字节。而且文件在硬盘上的存储也是以这个为单位，就是说如果文件尺寸小于这个值，那么它在磁盘上占用的空间就是4096字节。

占用空间的具体算法是：（进一（文件尺寸/4096））×4096。根据这个你就可以计算出你所列举的例子中的文件的空间使用状况：34890除以4096，大约等于8.5，进一法取得为9，就是说文件在磁盘上占用了9个BLOCk，每个BLOCK为4K，所以这两个文件占用的空间就是36K。

这个规则也适合于目录，不过不会出现为0的目录，即使是空目录

-rw-r--r-- ：这是该文件的权限位。

第一个横杠：指定文件类型,表示该文件是一个普通文件。(所创建的文件绝大多数都是普通文件或符号链接文件)。

除去最前面的横杠，一共是9个字符，他们分别对应9个权限位。通过这些权限位，可以设定用户对文件的访问权限。对这两个文件的精确解释是：

1. rw-：前三位，文件属主可读、写
   
2. r--：中间三位,组用户可读
   
3. r--：最后三位,其他用户只可读

复制代码

在创建的时候并未给属主赋予执行权限，在用户创建文件时，系统不会自动地设置执行权限位。这是出于加强系统安全的考虑

BTW：文件的属主组并不一定就是所有者所在的缺省组，而可以是任何一个跟该文件所有者无关的用户组。为了方便，还是统称属主，属组和其它

寂寞烈火

用stat可以查看一个文件的比较详细的信息

wingger

[quote]原帖由 "寂寞烈火"]用stat可以查看一个文件的比较详细的信息[/quote 发表：


    


现在分开详细说明：

文件类型

前面提到的第一条横杠，表示该文件是普通文件型
文件类型有七种，它可以从ls -l命令所列出的结果的第一位看出.

七种类型：

1. d 目录。
   
2. l 符号链接(指向另一个文件)。
   
3. s 套接字文件。
   
4. b 块设备文件。
   
5. c 字符设备文件。
   
6. p 命名管道文件。
   
7. - 普通文件，或者更准确地说，不属于以上几种类型的文件。

复制代码

文件的权限位中中每一组字符中含有三个权限位：

1. r 读权限
   
2. w 写/更改权限
   
3. x 执行该脚本或程序的权限

复制代码

如：

1. r-- --- --- 文文件属主可读，但不能写或执行
   
2. r-- r-- --- 文文件属主和属组用户(一般来说，是文件属主所在的缺省组)可读
   
3. r-- r-- r- - 文任何用户都可读，但不能写或执行
   
4. rwx r-- r- - 文文件属主可读、写、执行，属组用户和其他用户只可读
   
5. rwx r-x --- 文文件属主可读、写、执行，属组用户可读、执
   
6. rwx r-x r- x 文文件属主可读、写、执行，属组用户和其他用户可读、执行
   
7. rw- rw- --- 文文件属主和属组用户可读、写
   
8. rw- rw- r- - 文文件属主和属组用户可读、写，其他用户可读
   
9. rw- rw- --- 文文件属主和属组用户及其他用户读可以读、写，慎用这种权限
   
10. 设置，因为任何用户都可以写入该文件

复制代码

[quote]原帖由 "sunsroad"]文件的所有者组并非是文件所有者所在的缺省组，而可以是任何一个跟该文件所有者无关的用户组。[/quote 发表：

wingger

使用chmod来改变权限位

这一命令有符号模式和绝对模式。

符号模式

chmod命令的一般格式为：

chmod [who] operator [permission] filename

w h o的含义是：

1. u 文件属主权限。
   
2. g 属组用户权限。
   
3. o 其他用户权限。
   
4. a 所有用户(文件属主、属组用户及其他用户)。

复制代码

o p e r a t o r的含义：

1. + 增加权限。
   
2. - 取消权限。
   
3. = 设定权限。

复制代码

p e r m i s s i o n的含义：

1. r 读权限。
   
2. w 写权限。
   
3. x 执行权限。
   
4. s 文件属主和组set-ID。
   
5. t 粘性位*。
   
6. l 给文件加锁，使其他用户无法访问。
   
7. u,g,o 针对文件属主、属组用户及其他用户的操作。
   
8. 
   
9. *在列文件或目录时，有时会遇到“ t”位。“t”代表了粘性位。如果在一个目录上出现“t”位，这就意味着该目录中的文件只有其属主才可以删除，即使某个属组用户具有和属主同等的权限。不过有的系统在这一规则上并不十分严格。
   
10. 
    
11. 如果在文件列表时看到“ t”，那么这就意味着该脚本或程序在执行时会被放在交换区(虚存)。

复制代码

对"t"还没弄清楚这是"sunsroad"的解释：

原帖由 "sunsroad"]"t"权限用在文件上面是没有意义的，不是什么在交换区的概念，它跟文件的执行没有关系，而主要是为了文件共享设置的。 [/quote 发表：


[quote]原帖由 "风流涕淌" 发表：
1,t 权限是粘着位，例：TMP目录下，任何人都有读写执行权限，但是不是任何人对里边的可写权限的文件就可以删除呢，当然不是了，这个就是粘着位的做用，只有所有者才有权删除自已的文件，当然，ROOT除外
2,关于文件安全的另一种权限，
i权限 也就是不可修改权限  例：chattr u+i aaa 则aaa文件就不可修改，无论任何人，如果删除就用u-i就好了
a权限 也就是只追加权限， 对于日志系统很好用，这个权限让目标文件只能追加，不能删除，而且不能通过编辑器追加。方法和i权限一样加
如果想要看某个文件是不是有这个权限，用lsattr filename就行了

谢谢风流涕淌的分享


例如

1. chmod a-x temp //rw- rw- rw- 收回所有用户的执行权限
   
2. chmod og-w temp //rw- r-- r- - 收回属组用户和其他用户的写权限
   
3. chmod g+w temp //rw- rw- r- - 赋予属组用户写权限
   
4. chmod u+x temp //rwx rw- r- - 赋予文件属主执行权限
   
5. chmod go+x temp //rwx rwx r- x 赋予属组用户和其他用户执行权限

复制代码

举如

当创建temp文件时，它具有这样的权限：

1. -rw-r--r--    1 root     root            0 10月 19 20:16 temp

复制代码

如果要使属主和属组用户具有有执行权限，并取消其他用户(所有其他用户)的写权限，可以用：

1. $ chmod ug+x temp
   
2. $ chmod o-w temp
   

复制代码

这样，该文件的权限变为：

1. -rwxr--r--    1 root     root            0 10月 19 20:16 temp

复制代码

现在已经使文件属主对temp文件具有读、写执行的权限,属组用户真有读写权限，其它用户没有权限了。

temin

继续

wingger

绝对模式

chm d命令绝对模式的一般形式为：

chmod [mode] file

其中m o d e是一个八进制数。
在绝对模式中，权限部分有着不同的含义。每一个权限位用一个八进制数来代表，如

1. 0 4 0 0 文件属主可读
   
2. 0 2 0 0 文件属主可写
   
3. 0 1 0 0 文件属主可执行
   
4. 
   
5. 0 0 4 0 属组用户可读
   
6. 0 0 2 0 属组用户可写
   
7. 0 0 1 0 属组用户可执行
   
8. 
   
9. 0 0 0 4 其他用户可读
   
10. 0 0 0 2 其他用户可写
    
11. 0 0 0 1 其他用户可执行

复制代码

在设定权限的时候，只需按照上面查出与文件属主、属组用户和其他用户所具有的权限相对应的数字，并把它们加起来，就是相应的权限表示。
可以看出，文件属主、属组用户和其他用户分别所能够具有的最大权限值就是7。

再来看看前面举的例子：

1. -rwxr--r--  1   root            0 10月 19 20:16 temp

复制代码

相应的权限是：

1. rwx-：0400 + 0200 +0100 (文件属主可读、写、执行) = 0 7 0 0
   
2. r--：0 0 4 0 (属组用户可读) = 0 0 4 0
   
3. r--：0 0 4 0 (属组用户可读) = 0 0 4 0
   
4. 0 7 4 4

复制代码

有一个计算八进制权限表示的更好办法，如下：

1. 文件属主：r w x：4 + 2 + 1
   
2. 属组用户：r w x：4 + 2 + 1
   
3. 其他用户：r w x：4 + 2 + 1

复制代码

这上面这相，更容易地计算出相应的权限值，只要分别针对文件属主、属组用户和其他用户把相应权限下面的数字加在一起就可以了。

temp文件具有这样的权限：

1. r w x     r - - r - -
   
2. 4+2+1  4     4

复制代码

把相应权限位所对应的值加在一起，就是7 4 4。

如：

1. chmod 666 rw- rw- rw- 赋予所有用户读和写的权限
   
2. chmod 644 rw- r-- r- - 赋予所有文件属主读和写的权限，所有其他用户读权限
   
3. chmod 744 rwx r-- r- - 赋予文件属主读、写和执行的权限，所有其他用户读的权限
   
4. chmod 664 rw- rw- r- - 赋予文件属主和属组用户读和写的权限，其他用户读权限
   
5. chmod 700 rwx --- --- 赋予文件属主读、写和执行的权限
   
6. chmod 444 r-- r-- r- - 赋予所有用户读权限

复制代码

下面举一个例子，假定有一个名为temp的文件，具有如下权限：

1. -rw-rw-r--  1   root            0 10月 19 20:16 test1

复制代码

现在希望对该文件可读、写和执行， root组用户对该文件只读，可以键入：

1. $chmod 740 test1
   
2. $ls -l
   
3. -rwxr-----  1   root            0 10月 19 20:16 test1

复制代码

如果文件可读、写和执行，对其他所有用户只读，用：

1. $chmod 744 test1
   
2. $ls -l
   
3. -rwxr--r--  1   root            0 10月 19 20:16 test1

复制代码

如果希望一次设置目录下所有文件的权限，可以用：

1. $chmod 664*
   
2. $ls -l
   
3. -rw-r--r--  1   root            0 10月 19 20:16 test1

复制代码

这将使文件属主和属组用户都具有读和写的权限，其他用户只具有读权限。

还可以通过使用- R选项连同子目录下的文件一起设置：

1. chmod -R 664 /temp/*

复制代码

这样就可以一次将/ temp目录下的所有文件连同各个子目录下的文件的权限全部设置为文件属主和属组用户可读和写，其他用户只读。使用- R选项一定要谨慎，只有在需要改变目录树下全部文件权限时才可以使用。

wingger

先来这些，明天继续

maowei

系统默认情况下建立文件与目录的权限是：
#vi /etc/bashrc 可以看到一般用户是002  root用户是022
说明：一般用户默认建立文件权限是666-002=664   建立目录权限是777-002=775

root默认建立文件的权限就是666-022=644   建立的目录权限就是777-022=755
大家可以在机器上试试。也可以去改一下这个bashrc文件。看看有什么变化。
我这里补充一下。楼主是否同意。

msn:maowei6@hotmail.com

wingger

原帖由 "maowei" 发表：
系统默认情况下建立文件与目录的权限是：
#vi /etc/bashrc 可以看到一般用户是002  root用户是022
说明：一般用户默认建立文件权限是666-002=664   建立目录权限是777-002=775

root默认建立文件的权限就是666-0..........

    

目录和文件有一点点不同，明天继续

寂寞烈火

good!!!