LINUX文件權(quán)限課件

1、4.3 文件的權(quán)限文件的屬主與屬組每個文件或目錄都有它的所有者，即屬主。文件同時屬于某個特定的組，該組稱為文件的屬組ls l 顯示文件的所屬主和組修改文件所屬主和組的命令1.chown 選項 所有者:組 文件列表chown zhangsan:lisi f1 修改文件f1屬主和屬組chown :zhangsan f1 只修改文件f1的屬組2.chgrp 選項 組 文件列表修改文件的屬組chgrp zhangsan f1只修改文件的屬組?2020/7/6河南機電高專計科系4.3 文件的權(quán)限?文件的訪問權(quán)限?Linux系統(tǒng)中的每個文件和目錄都有訪問許可權(quán)限，這是加在文件上的一個數(shù)據(jù)結(jié)構(gòu)?訪問權(quán)限規(guī)定

2、三種不同類型的用戶：文件屬主（owner）：文件的所有者，稱為屬主。同組用戶（group）：文件屬組的同組用戶可以訪問系統(tǒng)的其他用戶（others）?訪問權(quán)限規(guī)定三種訪問文件或目錄的方式：?讀（r）：允許讀取文件內(nèi)容或者列目錄?寫（w）：允許修改文件內(nèi)容或者創(chuàng)建、刪除文件?可執(zhí)行或查找（x）：允許執(zhí)行文件或者允許使用cd命令進入目錄。2020/7/6河南機電高專計科系2020/7/6河南機電高專計科系?權(quán)限范圍的表示法如下：u：User，即文件或目錄的擁有者。g：Group，即文件或目錄的所屬群組。o：Other，除了文件或目錄擁有者或所屬群組之外，其他用戶皆屬于這個范圍。a：All，即全部的

3、用戶，包含擁有者，所屬群組以及其他用戶。除了可以用字母來表示文件或目錄的權(quán)限外，還可用數(shù)字代號來表示，他們之間的關(guān)系如下：r：讀取權(quán)限，數(shù)字代號為“4”。w：寫入權(quán)限，數(shù)字代號為“2”。x：執(zhí)行或切換權(quán)限，數(shù)字代號為“1”。-：不具任何權(quán)限，數(shù)字代號為“0”。2020/7/6河南機電高專計科系查看文件的權(quán)限屬性# ls -l install.log-rw-r-r-1 root root 26195 Dec 17 10:42 install.log權(quán)限表示文件權(quán)限（-rw-r-r-）權(quán)限項字符表示讀(r)寫執(zhí)行讀寫執(zhí)行讀(r)寫執(zhí)行(w)(x)(r)(w)(x)(w)(x)數(shù)字表示權(quán)限分配421

4、42142其他用戶1文件所有者文件所屬組用戶2020/7/6河南機電高專計科系使用chmod命令更改文件屬性?chmod命令用于更改文件對于某類用戶的操作權(quán)限chmod ugoa.+-=rwx FILE.屬性操作符+增加權(quán)限-減少權(quán)限=設(shè)置權(quán)限為被設(shè)置屬性的文件或目錄權(quán)限內(nèi)容，可以是讀、寫、執(zhí)行權(quán)限的組合設(shè)置權(quán)限的對象，可以是用戶、組、其他人或所有人2020/7/6河南機電高專計科系?2、chmod 命令格式：chmod 選項 文件和目錄功能：改變或設(shè)置文件或目錄的存取權(quán)限例如：將文件file1的權(quán)限改為所有用戶都可以執(zhí)行rootlocalhost/root#chmod a+x file1將文

5、件file1 的權(quán)限重新設(shè)置為文件主可以讀和執(zhí)行，組用戶可以執(zhí)行，其他用戶無權(quán)訪問rootlocalhost/root#chmod u=r,ug=x file12020/7/6河南機電高專計科系字母形式修改文件權(quán)限設(shè)置實例?使用chmod命令設(shè)置文件權(quán)限?查看文件權(quán)限$ ls -l afile-rw-rw-r-1 st01 class1 0 Apr 3 16:52 afile增加文件屬主st01的執(zhí)行權(quán)限（x）$ chmod u+x afile?去除文件屬組class1的寫權(quán)限（w）$ chmod g-w afile?設(shè)置其他用戶的文件權(quán)限為可執(zhí)行$ chmod o=x afile?2020/

6、7/6河南機電高專計科系?數(shù)字形式修改權(quán)限數(shù)字形式即由三位八進制數(shù)字組成，其命令格式為：?chmod 八進制模式文件名chmod 641 f1 等價于chmod u+wr,g+r,o+xf1?2020/7/6河南機電高專計科系文件的默認權(quán)限umaskrootlocalhost test# umask 0022rootlocalhost test# umask -Su=rwx,g=rx,o=rxumask指定目前用戶在新建文件和目錄時候的權(quán)限默認值默認情況下用戶創(chuàng)建文件則沒有可執(zhí)行的權(quán)限也即是666-rw-rw-rw 默認情況下用戶創(chuàng)建目錄權(quán)限是777-rwx-rwx-rwx 目錄的權(quán)限x是指該

7、用戶能夠進入到目錄umask的分數(shù)實際上是”該默認值需要減掉的權(quán)限”因此創(chuàng)建文件時默認權(quán)限-rw-r-r-創(chuàng)建目錄時默認權(quán)限drwxr-xr-xumask值可以修改umask 0442020/7/6河南機電高專計科系文件的特殊權(quán)限?SUID、SGID和Sticky的表示suid/sgid程序程序的t屬性目錄的s屬性目錄的T屬性2020/7/6河南機電高專計科系文件特殊權(quán)限SUID/SGID/Sticky Bit在Linux 中，文件的權(quán)限除了r、w、x 這3 個權(quán)限之外，還有s 、t 這2 個權(quán)限。(which passwd 查找命令的完整文件名）rootlocalhost test# ls

8、-ld /tmp/ ; ls -l /usr/bin/passwddrwxrwxrwt 18 root root 4096 04-23 08:35 /tmp/-rwsr-xr-x 1 root root 22960 2019-07-17 /usr/bin/passwd2020/7/6河南機電高專計科系SUID = Set UID?SUID 權(quán)限的含義：是為了讓一般用戶在執(zhí)行某些程序的時候，在程序的運行期間，暫時獲得該程序擁有者的權(quán)限。2020/7/62019-02-07河南機電高專計科系1-13分析?student 要更改自己的密碼：# passwd分析：?student 在執(zhí)行passwd

9、修改自己的密碼時，其修改的密碼，最終是需要保存到/etc/shadow 這個文件中，而這個文件的權(quán)限是-r-，它的擁有者是root 。在這個權(quán)限中，也只有root 可以“強制”存儲，其他用戶連看都不行。?可偏偏student 去執(zhí)行passwd （/usr/bin/passwd），卻可以更新自己的密碼。?這就是說，student 這個普通用戶的身份可以去訪問/etc/shadow 這個密碼文件，這怎么可能？明明2020/7/6/etc/shadow 沒有河南機電高專計科系2019-02-071-14student 可訪問的權(quán)限。分析?這就是因為有s 權(quán)限的存在。當s 權(quán)限在擁有者的權(quán)限位上時，

10、即如-r-s-x-x 這樣時，稱為SUID。SUID 即Set UID ，UID 指的是擁有者的的ID，而這個程序（/usr/bin/passwd）的擁有者（root）。SUID 僅對“二進制文件”有效。對批處理文件，即Shell 腳本無效。對目錄也是無效的。河南機電高專計科系?2020/7/62019-02-071-15跟蹤SUID 的執(zhí)行?關(guān)于SUID 執(zhí)行的條件：?Set UID 的權(quán)限設(shè)置值，僅對二進制文件有效。進程操作者，必須擁有該二進制文件的可執(zhí)行權(quán)限（x）。當進程操作者執(zhí)行具有SUID 的二進制文件時，在該二進制文件所觸發(fā)的進程中（即在執(zhí)行期間），該進程的有效用戶（effecti

11、ve user）為該二進制文件的擁有者。2020/7/62019-02-07河南機電高專計科系1-16跟蹤SUID 的執(zhí)行?如此說來，SUID/SGID 的權(quán)限比較“可怕”。該如何查詢整個系統(tǒng)的SUID/SGID 的文件呢？使用find 命令即可：# find / -perm +6000?0 表示至少為無的權(quán)限6 代表擁有者和所屬用戶組的s 權(quán)限位+ 代表查擁有者or 所屬用戶組的s 權(quán)限位2020/7/62019-02-07河南機電高專計科系1-17SGID = Set GID?進一步而言，如果s 權(quán)限在用戶組的權(quán)限位上時，即如-r-x-s-x 這樣時，稱為Set GID，簡稱SGID。SG

12、ID 可以用在兩個方面：?文件：如果SGID 設(shè)置在二進制文件上，則不論用戶是誰，在執(zhí)行該程序的時候，它的有效用戶組（effective group）將會變成該程序的用戶組所有者（group id）（真正的組，原來的組）目錄，如果SGID 是設(shè)置在A 目錄上，則在A 目錄內(nèi)所建立的文件或目錄的用戶組，將會是此A 目錄的用戶組一般來說，SGID 多用在特定的多人團隊的項目開發(fā)上，在系統(tǒng)中用得較少2020/7/6河南機電高專計科系2019-02-071-18?Sticky Bit?Sticky Bit（SBit）當前只針對目錄有效，對文件沒有效果。其對目錄的作用是：?在具有SBit 的目錄下，用戶

13、若在該目錄下具有w 及x 權(quán)限，則當用戶在該目錄下建立文件或目錄時，只有文件擁有者與root 才有權(quán)力刪除。?換句話講：?當student 用戶屬于A 目錄的group 成員或?qū)儆趏ther ，且擁有w 權(quán)限時，可以對該目錄內(nèi)任何人建立的目錄或文件進行“刪除/重命名/移動”等操作。?不過，如果將A 目錄加上了Sticky Bit 權(quán)限，則student 用戶只能針對自己建立的文件或目錄進行“刪除/重命名/移2020/7/6河南機電高專計科系2019-02-071-19動”等操作示例?/tmp 目錄本身的權(quán)限就是“drwxrwxrwt”，在這樣的權(quán)限下，任何人都可以在/tmp 內(nèi)新增或修改文件，

14、但僅有該文件或目錄的建立者與root 能夠刪除自己的目錄或文件可以這樣做個簡單測試：?以root 登錄系統(tǒng)，并且進入/tmp 中touch test ，并且更改test 權(quán)限成為777以一般用戶登錄，并進入tmp嘗試刪除test 文件2020/7/62019-02-07河南機電高專計科系1-20SUID/SGID/SBIT 權(quán)限設(shè)置?如何設(shè)置文件或目錄使其具有SUID/SGID/SBIT 權(quán)限呢？使用數(shù)字模式的權(quán)限更改方式：?在“3個數(shù)字”之前，再加上一個數(shù)字4 為SUID2 為SGID1 為Sticky Bit2020/7/62019-02-07河南機電高專計科系1-21示例?假設(shè)要將一個文

15、件的權(quán)限設(shè)置為“rwsr-xr-x”，由于s 在用戶權(quán)限中，所以是SUID因此，在755之前，還要加上4 ，即：# chmod 4755 test此外，還有大S 、大T 如果文件以前有x的權(quán)限則加上suid后執(zhí)行位變?yōu)閟如果文件以前沒有x的權(quán)限則加上suid后執(zhí)行位變?yōu)镾必須知道：SUID 不能用在目錄上SBIT 不能用在文件上河南機電高專計科系2020/7/62019-02-071-22示例?cd /tmptouch testchmod 4755 test ; ls -l testchmod 6755 test;ls -l testchmod 1755 test ; ls -l testChmod 2666 test ; ls -l testChmod 3666 test ; ls -l test2020/7/62019-02-07河南機電高專計科系1-234.4 文件的鏈接?硬鏈接?不帶選項，ln命令創(chuàng)建硬鏈接。在另外的目錄或本目錄中增加目標文件的一個目錄項，一個文件就登記在多個目錄中硬鏈接的格式：ln 目標文件名鏈接名可以把硬鏈接當成源文件的副本，它顯示跟源文件一樣的大小但事實上卻不占