免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
楼主: wingger

类UNIX系统基础:文件安全与权限 [复制链接]

论坛徽章:
0
发表于 2004-10-29 15:32 |显示全部楼层

类UNIX系统基础:文件安全与权限

一个目录可以属于多个用户吗?

因为现在是要求某个目录可以使属主同组的部分用户可以读写,但是同组的部分用户不能写

这个要求怎么实现呢?

论坛徽章:
0
发表于 2004-10-29 21:01 |显示全部楼层

类UNIX系统基础:文件安全与权限

建一个新的用户组。

论坛徽章:
1
荣誉版主
日期:2011-11-23 16:44:17
发表于 2004-10-29 21:44 |显示全部楼层

类UNIX系统基础:文件安全与权限

原帖由 "netocool" 发表:
一个目录可以属于多个用户吗?

因为现在是要求某个目录可以使属主同组的部分用户可以读写,但是同组的部分用户不能写

这个要求怎么实现呢?


再分组,看具体,这个和win有些不同

论坛徽章:
1
荣誉版主
日期:2011-11-23 16:44:17
发表于 2004-11-01 09:51 |显示全部楼层

类UNIX系统基础:文件安全与权限

目录

目录的权限位和文件有所不同。目录的读权限位意味着可以列出其中的内容。写权限位意味着可以在该目录中创建文件,如果不希望其他用户在你的目录中创建文件,可以取消相应的写权限位。执行权限位则意味着搜索和访问该目录.

  1. r :可以列出该目录中的文件
  2. w:可以在该目录中创建或删除文件
  3. x:可以搜索或进入该目录
复制代码



权限文件属主属组用户其他用户

  1. drwx rwx r- x ( 775 ) 属主读、写、执行,属组读、写、执行,其它组读、执行
  2. drwx r-x r- - ( 754 ) 属主读、写、执行,属组读、执行,其它组读
  3. drwx r-x r- x ( 755 ) 属主读、写、执行,属组读、执行,其它组读、执行
复制代码



如果把属组用户或其他用户针对某一目录的权限设置为- - x,那么他们将无法列出该目录中的文件。如果该目录中有一个执行位置位的脚本或程序,只要用户知道它的路径和文件名,仍然可以执行它。用户不能够进入该目录并不妨碍他的执行。

目录的权限将会覆盖该目录中文件的权限。例如,如果目录temp具有如下的权限:

  1. drwxr--r--  1   admin            0 10月 19 20:16 temp
复制代码


而目录下的文件myfile的权限为:

  1. -rwxrwxrwx  1   admin           0 10月 19 20:16 myfile
复制代码


那么admin组的用户将无法编辑该文件,因为它所属的目录不具有这样的权限。

该文件对任何用户都可读,但由于它所在的目录并未给admin组的用户赋予执行权限,所以该组的用户都将无法访问该目录,他们将会得到“访问受限”的错误消息。

论坛徽章:
1
荣誉版主
日期:2011-11-23 16:44:17
发表于 2004-11-01 09:52 |显示全部楼层

类UNIX系统基础:文件安全与权限

目录

目录的权限位和文件有所不同。目录的读权限位意味着可以列出其中的内容。写权限位意味着可以在该目录中创建文件,如果不希望其他用户在你的目录中创建文件,可以取消相应的写权限位。执行权限位则意味着搜索和访问该目录.

  1. r :可以列出该目录中的文件
  2. w:可以在该目录中创建或删除文件
  3. x:可以搜索或进入该目录
复制代码



权限文件属主属组用户其他用户

  1. drwx rwx r- x ( 775 ) 属主读、写、执行,属组读、写、执行,其它组读、执行
  2. drwx r-x r- - ( 754 ) 属主读、写、执行,属组读、执行,其它组读
  3. drwx r-x r- x ( 755 ) 属主读、写、执行,属组读、执行,其它组读、执行
复制代码



如果把属组用户或其他用户针对某一目录的权限设置为- - x,那么他们将无法列出该目录中的文件。如果该目录中有一个执行位置位的脚本或程序,只要用户知道它的路径和文件名,仍然可以执行它。用户不能够进入该目录并不妨碍他的执行。

目录的权限将会覆盖该目录中文件的权限。例如,如果目录temp具有如下的权限:

  1. drwxr--r--  1   admin            0 10月 19 20:16 temp
复制代码


而目录下的文件myfile的权限为:

  1. -rwxrwxrwx  1   admin           0 10月 19 20:16 myfile
复制代码


那么admin组的用户将无法编辑该文件,因为它所属的目录不具有这样的权限。

该文件对任何用户都可读,但由于它所在的目录并未给admin组的用户赋予执行权限,所以该组的用户都将无法访问该目录,他们将会得到“访问受限”的错误消息。

论坛徽章:
0
发表于 2004-11-01 10:16 |显示全部楼层

类UNIX系统基础:文件安全与权限

其实可以使用setfacl来设置文件的权限

论坛徽章:
0
发表于 2004-11-02 09:00 |显示全部楼层

类UNIX系统基础:文件安全与权限

如果我想对LINUX做审核,例如说要记录某个文件在什么时候被什么人访问了,等等,该如何设置呢?

论坛徽章:
1
荣誉版主
日期:2011-11-23 16:44:17
发表于 2004-11-02 09:48 |显示全部楼层

类UNIX系统基础:文件安全与权限

[quote]原帖由 "xdrxsp492"]如果我想对LINUX做审核,例如说要记录某个文件在什么时候被什么人访问了,等等,该如何设置呢?[/quote 发表:


审记俺还没有研究过   

论坛徽章:
0
发表于 2004-11-02 14:26 |显示全部楼层

类UNIX系统基础:文件安全与权限

原帖由 "wingger" 发表:

代码:
$ touch temp
创建了一个空文件,现在用ls -l命令查看该目录下文件的属性(我这里用中文版):
如下:

代码:
[root@Linux_chenwy temp]# ls -l
总用量 36
-rw-r--r--    1 root     root        34890 10月 19 20:17 httpd.conf
-rw-r--r--    1 root     root            0 10月 19 20:16 temp



代码:
总用量 36:这一行告诉我们该目录中所有文件所占的空间。
1该文件硬链接的数目。
root文件的属主。
root文件的属主r o o t所在的缺省组(也叫做r o o t )。
34890用字节来表示的文件长度,记住,不是K字节!
10月 19 20:17文件的更新时间。
temp or httd.conf 文件名。



-rw-r--r-- :这是该文件的权限位。

第一个横杠:指定文件类型,表示该文件是一个普通文件。(所创建的文件绝大多数都是普通文件或符号链接文件)。

除去最前面的横杠,一共是9个字符,他们分别对应9个权限位。通过这些权限位,可以设定用户对文件的访问权限。对这两个文件的精确解释是:

代码:
rw-:前三位,文件属主可读、写
r--:中间三位,同组用户可读
r--:最后三位,其他用户只可读


temp在创建的时候并未给属主赋予执行权限,在用户创建文件时,系统不会自动地设置执行权限位。这是出于加强系统安全的考虑


你的观点中有一些错误,首先在下面的说法中:

总用量 36:这一行告诉我们该目录中所有文件所占的空间。
1该文件硬链接的数目。
root文件的属主。
root文件的属主r o o t所在的缺省组(也叫做r o o t )。
34890用字节来表示的文件长度,记住,不是K字节!
10月 19 20:17文件的更新时间。
temp or httd.conf 文件名。


这里36绝不是该目录中所有文件占用的空间。而是ls所列出的入口占用空间的字节数(以K为单位)。如果要检查该目录所有文件占用的空间应该用另外一个命令:du。你用另外一个命令:ls -al也可以看出这种说法的错误————你会发现,同一个目录下面两个命令的输出是不同的,这也可以佐证。

另外一个问题是:文件的所有者组并非是文件所有者所在的缺省组,而可以是任何一个跟该文件所有者无关的用户组。这个问题牵涉到文件的共享,因此一定要搞明白。因此在你接下来的论述中,与此相关的问题,大多都会存在一定的问题。

另外:
如果在文件列表时看到“ t”,那么这就意味着该脚本或程序在执行时会被放在交换区(虚存)。

"t"权限用在文件上面是没有意义的,不是什么在交换区的概念,它跟文件的执行没有关系,而主要是为了文件共享设置的。

关于文件系统,有很多的东西我们需要去认真的了解。譬如说前面说的36是如何计算出来:
首先我们要先了解你所用的文件系统的IO BLOCK(中文叫作簇)为多少,在你所使用的这个文件系统的IO BLOCK大小是4096 Bytes。他意义是文件系统最小的读写及分配单位,每次读写操作你都不能小于这个尺寸。即使你的文件是只有一个字节。而且文件在硬盘上的存储也是以这个为单位,就是说如果文件尺寸小于这个值,那么它在磁盘上占用的空间就是4096字节。占用空间的具体算法是:(进一(文件尺寸/4096))×4096。根据这个你就可以计算出你所列举的例子中的文件的空间使用状况:34890除以4096,大约等于8.5,进一法取得为9,就是说文件在磁盘上占用了9个BLOCk,每个BLOCK为4K,所以这两个文件占用的空间就是36K。
这个规则也适合于目录,不过不会出现为0的目录,即使是空目录。

有很多的关于文件系统的细节我也没有完全搞清楚,因此这里只是抛砖引玉,希望各位都能够把自己的心得些出来,大家共同进步。

同时在这里我想强调一下自个的一个观点:希望各位在整理自个的心得的时候,能够尽量本着负责的态度,将确定正确的资料整理出来。因为在bbs上的影响是比较广泛的,特别是象CU这样的论坛,一个错误的观点一旦散布出去,造成的影响是很大的,这一点我在很多地方都有很深的体会。

当然我这里并不是说上面的资料毫无用处,很多的说法还是很有参考意义的,只是希望大家以后共同努力,尽量的减少错误观点的影响。

论坛徽章:
1
荣誉版主
日期:2011-11-23 16:44:17
发表于 2004-11-02 15:08 |显示全部楼层

类UNIX系统基础:文件安全与权限

原帖由 "sunsroad" 发表:

"t"权限用在文件上面是没有意义的,不是什么在交换区的概念,它跟文件的执行没有关系,而主要是为了文件共享设置的。

关于文件系统,有很多的东西我们需要去认真的了解。譬如说前面说的36是如何计算出来:
首先..........


这是我正在学习的资料,晕!我以为是正确的,不好意思。我去查查其它的,找到再更正,谢谢     
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP