模塊2Linux進(jìn)階系統(tǒng)管理Linux目錄及文件權(quán)限管理

模塊2

LINUX進(jìn)階-系統(tǒng)管理

2.1LINUX目錄及文件權(quán)限管理主講人：錢乾2.1Linux目錄及文件權(quán)限管理2.1.1目錄及文件權(quán)限管理方式2.1.2文件及目錄所有者、擁有組的設(shè)置2.1.3文件及目錄權(quán)限管理2.1.4文件及目錄高級權(quán)限管理2.1.1目錄及文件權(quán)限管理方式Linux系統(tǒng)中的每個(gè)文件和目錄都有存取許可權(quán)限，用它來確定誰可以通過何種方式對文件和目錄進(jìn)行訪問和操作。Linux系統(tǒng)中規(guī)定了四種不同類型的用戶，即文件主(owner)、同組用戶(group)、可以訪問系統(tǒng)的其它用戶(others)、超級用戶(root)，具有管理系統(tǒng)的特權(quán)。存取權(quán)限規(guī)定三種訪問文件或目錄的方式：讀(r)、寫(w)、可執(zhí)行或查找(x)。當(dāng)用“l(fā)s-l”命令顯示文件或目錄的詳細(xì)信息時(shí)，最左邊的一列為文件的存取權(quán)限，其中各位的含義如圖3-5所示。圖3-5文件權(quán)限表示2.1.1目錄及文件權(quán)限管理方式文件的存取權(quán)限讀權(quán)限（r）表示只允許指定用戶讀取相應(yīng)文件的內(nèi)容，而禁止對它做任何的更改操作。將所訪問的文件的內(nèi)容作為輸入的命令都需要有讀的權(quán)限。例如cat、more等。寫權(quán)限（w）表示允許指定用戶打開并修改文件。例如命令vi、cp等。執(zhí)行權(quán)限（x）表示允許指定用戶將該文件作為一個(gè)程序執(zhí)行。2.1.1目錄及文件權(quán)限管理方式目錄的存取權(quán)限在ls命令后加上-d選項(xiàng)，可以了解目錄文件的使用權(quán)限。讀權(quán)限（r）表示可以列出存儲在該目錄下的文件，即讀目錄內(nèi)容列表。這一權(quán)限允許Shell使用文件擴(kuò)展名列出相匹配的文件名。寫權(quán)限（w）表示允許用戶從目錄中刪除或添加新的文件，通常只有文件主才有寫權(quán)限。執(zhí)行權(quán)限（x）表示允許用戶在目錄中查找，并能用cd命令將工作目錄改到該目錄。chmod命令

chmod命令用于改變或設(shè)置文件或目錄的存取權(quán)限。只有文件主或超級用戶root才有權(quán)用chmod改變文件或目錄的存取權(quán)限。根據(jù)表示權(quán)限的方式不同,該命令有以符號模式改變權(quán)限和以絕對方式改變權(quán)限兩種用法。2.1.2文件及目錄所有者、擁有組的設(shè)置一、以符號模式改變權(quán)限chmod命令的一般格式是：chmodkey文件名其中，key由以下各項(xiàng)組成：[who][操作符號][mode]操作對象who可以是下述字母中的任一個(gè)或它們的組合：u表示用戶（user），即文件或目錄的所有者。g表示同組（group）用戶，即與文件屬主有相同組ID的所有用戶。o表示其它（others）用戶。a表示所有（all）用戶，它是系統(tǒng)默認(rèn)值。操作符號可以是下述符號：+添加某個(gè)權(quán)限。-取消某個(gè)權(quán)限。=賦予給定權(quán)限并取消其他所有權(quán)限。2.1.2文件及目錄所有者、擁有組的設(shè)置mode所表示的權(quán)限可用下述字母的任意組合：r表示可讀。w表示可寫。x表示可執(zhí)行。X表示只有目標(biāo)文件對某些用戶是可執(zhí)行的，或者該目標(biāo)文件是目錄時(shí)才追加x(可執(zhí)行)屬性。s在文件執(zhí)行時(shí)把進(jìn)程的屬主或組ID置為該文件的文件屬主。方式“u+s”設(shè)置文件的用戶ID位,“g+s”設(shè)置組ID位。t保存程序的文本到交換設(shè)備上。u與文件屬主擁有一樣的權(quán)限。g擁有與文件屬主同組用戶一樣的權(quán)限。o與其它用戶擁有一樣的權(quán)限。上面這三部分必須按順序輸入，可以用多個(gè)key，但必須以逗號隔開。例如：$chmoda+xex1上面代碼表示將文件ex1的權(quán)限改為所有用戶都有執(zhí)行權(quán)限。$chmodu=r,ug=xex1上面這行代碼表示將文件ex1的權(quán)限重新設(shè)置為文件主可以讀和執(zhí)行,組用戶可以執(zhí)行,其它用戶無權(quán)訪問。2.1.2文件及目錄所有者、擁有組的設(shè)置二、以絕對方式改變權(quán)限以絕對方式改變權(quán)限一般格式是：chmodmode文件名用絕對方式設(shè)置或改變文件的存取權(quán)限就是用數(shù)字“1”和“0”表示圖5中所示的9個(gè)權(quán)限位,置為“1”表示有相應(yīng)權(quán)限,置為“0”表示沒有相應(yīng)權(quán)限。例如,某個(gè)文件的存取權(quán)限是文件主有讀、寫和執(zhí)行的權(quán)限,組用戶有讀和執(zhí)行的權(quán)限,其它用戶僅有讀的權(quán)限。用符號模式表示就是rwxr-xr--，用二進(jìn)制數(shù)字表示就是111101100。為了方便記憶和表示，通常將這9位二進(jìn)制數(shù)用等價(jià)的3個(gè)從0到7的八進(jìn)制數(shù)表示，即從右到左3個(gè)二進(jìn)制數(shù)換成一個(gè)八進(jìn)制數(shù)。這樣，上述二進(jìn)制數(shù)就等價(jià)于八進(jìn)制數(shù)“754”。也就是說，mode是以3位八進(jìn)制數(shù)字出現(xiàn)的，最左位表示文件主權(quán)限，中間位表示組用戶權(quán)限，最右位表示其它用戶權(quán)限。2.1.2文件及目錄所有者、擁有組的設(shè)置例如，chmod664ex1使文件ex1的文件主和同組用戶具有讀寫權(quán)限，但其它用戶只可讀。umask命令umask命令用來設(shè)置限制新建文件權(quán)限的掩碼。其一般格式是：umaskmode當(dāng)新文件被創(chuàng)建時(shí)，其最初的權(quán)限由文件創(chuàng)建掩碼決定。用戶每次注冊進(jìn)入系統(tǒng)時(shí)，umask命令都被執(zhí)行,并自動(dòng)設(shè)置掩碼mode來限制新文件的權(quán)限。用戶可以通過再次執(zhí)行umask來改變默認(rèn)值，新的權(quán)限將會把舊的覆蓋掉。利用umask命令可以指定哪些權(quán)限將在新文件的默認(rèn)權(quán)限中被刪除。例如，可以使用下面的命令創(chuàng)建掩碼,取消組用戶的寫權(quán)限以及其他用戶的讀、寫和執(zhí)行權(quán)限:umasku=,g=w,o=rwx執(zhí)行該命令以后，下面所建新文件的文件主權(quán)限未作任何改變，而組用戶沒有寫權(quán)限,其它用戶的所有權(quán)限都被取消。應(yīng)注意，在umask命令和chmod命令中，操作符“=”的作用恰恰相反。在chmod中,利用它來設(shè)置指定的權(quán)限,而其余權(quán)限都被取消；但是在umask命令中,它將在原有權(quán)限的基礎(chǔ)上把指定的權(quán)限刪除。不能直接利用umask創(chuàng)建一個(gè)可執(zhí)行的文件,用戶只能在其后利用chmod命令使它具有執(zhí)行權(quán)限。假設(shè)執(zhí)行了下面命令:Umasku=,g=w,o=rwx雖然在命令行中，文件主和組用戶的執(zhí)行權(quán)限沒有被刪去，但默認(rèn)的文件權(quán)限還是640(即rw-r-----),而不是750(rwxr-x---)。但是，如果創(chuàng)建的是目錄，或者通過編譯程序創(chuàng)建一個(gè)可執(zhí)行文件，將不受此限制。在這種情況下,文件的執(zhí)行權(quán)限會被設(shè)置。此外，也可以使用八進(jìn)制數(shù)值來設(shè)置mode。在umask中所指定的權(quán)限表示要?jiǎng)h除的權(quán)限，所以，如果一個(gè)文件原來的初始權(quán)限是777，那么執(zhí)行命令umask022以后,那么該文件的權(quán)限將變?yōu)?55;如果該文件原來的初始權(quán)限是666,那么該文件的權(quán)限將變?yōu)?44。2.1.3文件及目錄權(quán)限管理使用下面的命令可以檢查新創(chuàng)建文件的默認(rèn)權(quán)限:umask-s上面命令中，選項(xiàng)-s表示以字符形式顯示當(dāng)前的掩碼。如果直接輸入umask命令,不帶任何參數(shù),那么將以八進(jìn)制形式顯示當(dāng)前的掩碼。系統(tǒng)默認(rèn)的掩碼是0022。在終端輸入:ls-lxxx.xxx（xxx.xxx是文件名）那么就會出現(xiàn)相類似的信息，主要都是這些：-rw-rw-r--一共有10位數(shù)其中：最前面那個(gè)-代表的是類型中間那三個(gè)rw-代表的是所有者（user）然后那三個(gè)rw-代表的是組群（group）最后那三個(gè)r--代表的是其他人（other）然后我再解釋一下后面那9位數(shù)：r表示文件可以被讀（read）w表示文件可以被寫（write）x表示文件可以被執(zhí)行（如果它是程序的話）-表示相應(yīng)的權(quán)限還沒有被授予在終端輸入：chmodo+wxxx.xxx表示給其他人授予寫xxx.xxx這個(gè)文件的權(quán)限chmodgo-rwxxx.xxx表示刪除xxx.xxx中組群和其他人的讀和寫的權(quán)限2.1.3文件及目錄權(quán)限管理其中：u代表所有者（user）g代表所有者所在的組群（group）o代表其他人，但不是u和g（other）a代表全部的人，也就是包括u，g和or表示文件可以被讀（read）w表示文件可以被寫（write）x表示文件可以被執(zhí)行（如果它是程序的話）其中：rwx也可以用數(shù)字來代替r------------4w------------2x------------1-------------0行動(dòng)：+表示添加權(quán)限-表示刪除權(quán)限=表示使之成為唯一的權(quán)限2.1.3文件及目錄權(quán)限管理常見的權(quán)限：-rw-------(600)只有所有者才有讀和寫的權(quán)限-rw-r--r--(644)只有所有者才有讀和寫的權(quán)限，組群和其他人只有讀的權(quán)限-rwx------(700)只有所有者才有讀，寫，執(zhí)行的權(quán)限-rwxr-xr-x(755)只有所有者才有讀，寫，執(zhí)行的權(quán)限，組群和其他人只有讀和執(zhí)行的權(quán)限-rwx--x--x(711)只有所有者才有讀，寫，執(zhí)行的權(quán)限，組群和其他人只有執(zhí)行的權(quán)限-rw-rw-rw-(666)每個(gè)人都有讀寫的權(quán)限-rwxrwxrwx(777)每個(gè)人都有讀寫和執(zhí)行的權(quán)限2.1.3文件及目錄權(quán)限管理在Linux下，每個(gè)文件又同時(shí)屬于一個(gè)用戶組。當(dāng)創(chuàng)建一個(gè)文件或目錄時(shí)，系統(tǒng)會賦予它一個(gè)用戶組關(guān)系，用戶組的所有成員都可以使用此文件或目錄。文件用戶組關(guān)系的標(biāo)志是GID。文件的GID只能由文件主或超級用戶（root）來修改。chgrp命令可以改變文件的GID。2.1.4文件及目錄高級權(quán)限管理權(quán)限掩碼在Linux內(nèi)核級別新建文件的默認(rèn)權(quán)限是666，也就是說文件的所有者權(quán)限是可讀（r=4）、可寫入（w=2）；文件的擁有組權(quán)限是可讀（r=4）、可寫入（w=2）；其他用戶的權(quán)限是可讀（r=4）、可寫入（w=2）在Linux內(nèi)核級別新建目錄的默認(rèn)權(quán)限是777，也就是說目錄的所有者權(quán)限是可讀（r=4）、可寫入（w=2）、可執(zhí)行（x=1）；目錄的擁有組權(quán)限是可讀（r=4）、可寫入（w=2）、可執(zhí)行（x=1）；其他用戶的權(quán)限是可讀（r=4）、可寫入（w=2）、可執(zhí)行（x=1）2.1.4文件及目錄高級權(quán)限管理權(quán)限掩碼umask值是一個(gè)三位的整數(shù)，其中百位是所有者權(quán)限掩碼；十位是擁有組權(quán)限掩碼；個(gè)位是其他用戶權(quán)限掩碼。當(dāng)用戶在新建目錄或文件時(shí)真正的權(quán)限會使用Linux內(nèi)核級別默認(rèn)權(quán)減去umask值。比如在RHEL中root用戶默認(rèn)的umask值是“022”，那么新建的文件默認(rèn)權(quán)限就應(yīng)該是666-022；一般用戶默認(rèn)的umask值是“002”，那么新建的文件默認(rèn)權(quán)限就應(yīng)該是666-002。通過“umask”命令可以查看當(dāng)前用戶的umask值[root@srvtmp]#iduid=0(root)gid=0(root)groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel)[root@srvtmp]#umask0022[root@srv~]#umask-Su=rwx,g=rx,o=rx2.1.4文件及目錄高級權(quán)限管理SUID屬性SUID屬性只能運(yùn)用在可執(zhí)行文件上，當(dāng)用戶執(zhí)行該執(zhí)行文件時(shí)，會臨時(shí)擁有該執(zhí)行文件所有者的權(quán)限[root@srv~]#ll/etc/shadow-r--------1rootroot1128Feb1514:33/etc/shadow[root@srv~]#ll/usr/bin/passwd-rwsr-xr-x1rootroot22960Jul172006/usr/bin/passwd2.1.4文件及目錄高級權(quán)限管理SGID屬性當(dāng)SGID屬性應(yīng)用在目錄上時(shí)，該目錄中所有建立的文件或子目錄的擁有組都會是該目錄的擁有組當(dāng)SGID屬性應(yīng)用在可執(zhí)行文件上時(shí)，其他用戶在使用該執(zhí)行文件時(shí)就會臨時(shí)擁有該執(zhí)行文件擁有組的權(quán)限[root@srvtmp]#lltotal4drwxr-sr-x2rootroot4096Feb1522:25fringe-r-xr-sr-x1rootroot6144Feb1522:25jack2.1.4文件及目錄高級權(quán)限管理Sticky屬性Sticky屬性只能應(yīng)用在目錄，當(dāng)目錄擁有Sticky屬性所有在該目錄中的文件或子目錄無論是什么權(quán)限只有文件或子目錄所有者和root用戶能刪除2.1.4文件及目錄高級權(quán)限管理配置SUID/SGID/Sticky屬性普通權(quán)限配置時(shí)可以使用字符或數(shù)字，SUID、SGID、Sticky也是一樣。使用字符時(shí)s表示SUID和SGID、t表示Sticky；4表示SUID、2表示SGID、1表示Sticky。在配置這些屬性時(shí)還是使用chmod命令[root@srvtmp]#chmodu+sjack#為文件jack增加SUID屬性[root@srvtmp]#chmod4555oliva#為文件oliva增加SUID屬性[root@srvtmp]#chmodg+scsi/#為目錄csi增加SGID屬性[root@srvtmp]#chmod2755dexter/#為目錄dexter增加SGID屬性[root@srvtmp]#chmodo+tfringe/#為目錄fringe增加Sticky屬性[root@srvtmp]#chmod1755house/#為目錄house增加Sticky屬性2.1.4文件及目錄高級權(quán)限管理Linux文件系統(tǒng)提供的ACL功能為系統(tǒng)中已存在的任何用戶或用戶組指定其對系統(tǒng)中文件或目錄的權(quán)限在使用“l(fā)s-l”或“l(fā)l”命令瀏覽文件或目錄時(shí)，在權(quán)限部分多了一個(gè)“+”表示該文件或目錄已經(jīng)配置了ACL功能[root@srvtmp]#lltotal8drwxrwxr-x+2rootroot4096Feb1523:25house2.1.4文件及目錄高級權(quán)限管理配置分區(qū)支持ACL功能使用tune2fs命令使用mount命令修改/etc/fstab文件，使分區(qū)永久支持ACL功能tune2fs-oacl分區(qū)mount-oremount,acl分區(qū)mount-oacl分區(qū)掛載點(diǎn)/dev/sda10 /media/sda10 ext3 defaults,acl 002.1.4文件及目錄高級權(quán)限管理setfacl：配置ACL文件|目錄...：需要配置ACL的文件或目錄-m：更改文件或目錄的ACL規(guī)則-x：刪除文件或目錄指定的ACL規(guī)則-b：刪除文件或目錄所有ACL規(guī)則-k：刪除文件或目錄默認(rèn)的ACL規(guī)則-d：指定文件或目錄默認(rèn)的ACL規(guī)則--test：測試模式，不會改變?nèi)魏挝募蚰夸浀腁CL規(guī)則，操作后的ACL規(guī)格將被顯示-R：遞歸處理，將指定目錄下的所有文件及子目錄一并處理2.1.4文件及目錄高級權(quán)限管理在該命令中指定ACL規(guī)則可以使用以下幾種方式[d:]u:<UID|用戶>:權(quán)限：指定用戶的ACL，[d:]表示配置用戶對文件或目錄的默認(rèn)的ACL，權(quán)限可以使用字符或數(shù)字[d:]g:<GID|用戶組>:權(quán)限：指定用戶的ACL，[d:]表示配置用戶對文件或目錄的默認(rèn)的ACL，權(quán)限可以使用字符或數(shù)字[d:]o:權(quán)限：相關(guān)于普通權(quán)