Linux網(wǎng)絡操作系統(tǒng)項目教程（統(tǒng)信UOS V20）（微課版）（第5版）項目4 配置與管理文件系統(tǒng)

《統(tǒng)信UOSV20網(wǎng)絡操作系統(tǒng)項目教程（統(tǒng)信UOSV20）（微課版）（第5版）》“十二五”“十三五”職業(yè)教育國家規(guī)劃教材首屆全國教材建設獎全國優(yōu)秀教材一等獎項目4

配置與管理文件系統(tǒng)能力CAPACITY要求理解統(tǒng)信UOSV20文件系統(tǒng)結構。能夠進行統(tǒng)信UOSV20系統(tǒng)的文件權限管理熟悉磁盤和文件系統(tǒng)管理工具掌握統(tǒng)信UOSV20系統(tǒng)權限管理的應用思政IDEOLOGY導入了解中國國家頂級域名“CN”，了解中國互聯(lián)網(wǎng)發(fā)展中的大事和大師，激發(fā)學生的自豪感。思政IDEOLOGY目標“古之立大事者，不惟有超世之才，亦必有堅忍不拔之志”，鞭策學生努力學習。思政IDEOLOGY內容你知道我國是哪一年真正擁有了Internet嗎？中國國家頂級域名“CN”服務器是哪一年完成設置的呢？1994年4月20日，一條64kbit/s的國際專線從中國科學院計算機網(wǎng)絡信息中心通過美國Sprint公司連入Internet，實現(xiàn)了中國與Internet的全功能連接。1994年5月21日，在錢天白教授和德國卡爾斯魯厄大學的教授的協(xié)助下，中國科學院計算機網(wǎng)絡信息中心完成了中國國家頂級域名CN服務器的設置，改變了我國的頂級域名CN服務器一直放在國外的歷史。錢天白、錢華林分別擔任我國頂級域名CN的行政聯(lián)絡員和技術聯(lián)絡員。項目設計與準備項目知識準備項目實施項目實錄：配置與管理文件權限一、項目知識準備認識文件系統(tǒng)文件系統(tǒng)（FileSystem）是磁盤上有特定格式的一片區(qū)域，操作系統(tǒng)利用文件系統(tǒng)保存和管理文件。統(tǒng)信UOSV20系統(tǒng)支持數(shù)十種的文件系統(tǒng)，而最常見的文件系統(tǒng)如下所示。（1）Ext4：Ext3的改進版本，作為RHEL6系統(tǒng)中的默認文件管理系統(tǒng)，它支持的存儲容量高達1EB（1EB=1073741824GB），且能夠有無限多的子目錄。（2）XFS：是一種高性能的日志文件系統(tǒng)，而且是RHEL7中默認的文件管理系統(tǒng)。統(tǒng)信UOSV20系統(tǒng)中一個比較大的變化就是使用了XFS作為文件系統(tǒng)，XFS文件系統(tǒng)可支持高達18EB的存儲容量。一、項目知識準備理解統(tǒng)信UOSV20文件系統(tǒng)目錄結構統(tǒng)信UOSV20系統(tǒng)中的文件存儲結構如圖所示。一、項目知識準備理解統(tǒng)信UOSV20文件系統(tǒng)目錄結構在統(tǒng)信UOSV20系統(tǒng)中，最常見的目錄以及所對應的存放內容如表所示。一、項目知識準備理解統(tǒng)信UOSV20文件系統(tǒng)目錄結構在統(tǒng)信UOSV20系統(tǒng)中，最常見的目錄以及所對應的存放內容如表所示。一、項目知識準備理解絕對路徑與相對路徑絕對路徑：由根目錄（/）開始寫起的文件名或目錄名稱，如/home/dmtsai/basher。相對路徑：相對于目前路徑的文件名寫法，如./home/dmtsai或../../home/dmtsai/等。如果想要進入/var/log這個目錄時，可以怎么寫呢？有兩種方法。cd/var/log：絕對路徑。cd../var/log：相對路徑。項目設計與準備項目知識準備項目實施項目實錄：配置與管理文件權限二、項目設計與準備項目設計與準備在進行本項目的教學與實驗前，需要做好如下準備：（1）已經(jīng)安裝好的統(tǒng)信UOSV20。（2）統(tǒng)信UOSV20安裝光盤或ISO映像文件。（3）設計教學或實驗用的用戶及權限列表。本項目的所有實例都在服務器Server01上完成。項目設計與準備項目知識準備項目實施項目實錄：配置與管理文件權限三、項目實施任務4-1管理統(tǒng)信UOSV20文件權限理解文件和文件權限文件是操作系統(tǒng)用來存儲信息的基本結構，是一組信息的集合。與其他操作系統(tǒng)相比，統(tǒng)信UOSV20最大的不同就是沒有“擴展名”的概念，也就是說文件的名稱和該文件的種類并沒有直接的關聯(lián)。例如，sample.txt可能是一個運行文件，而sample.exe也有可能是文本文件，甚至可以不使用擴展名。另一個特性是統(tǒng)信UOSV20文件名區(qū)分大小寫。例如，sample.txt、Sample.txt、SAMPLE.txt、samplE.txt在統(tǒng)信UOSV20系統(tǒng)中都代表不同的文件。在統(tǒng)信UOSV20中的每一個文件或目錄都包含有訪問權限，這些訪問權限決定了誰能訪問和如何訪問這些文件和目錄。三、項目實施任務4-1管理統(tǒng)信UOSV20文件權限理解文件和文件權限根據(jù)賦予權限的不同，3種不同的用戶（所有者、用戶組或其他用戶）能夠訪問不同的目錄或者文件。每一個用戶針對系統(tǒng)中的所有文件都有它自身的讀、寫和執(zhí)行權限。我們可以用“l(fā)s-l”或者ll命令顯示文件的詳細信息，其中包括權限。如下所示：[root@Server01~]#ll總用量1146900-rw-------1rootroot18325月132023anaconda-ks.cfgdrwxr-xr-x3rootroot1388月2200:27Desktopdrwxr-xr-x2rootroot65月132023Documents……三、項目實施任務4-1管理統(tǒng)信UOSV20文件權限理解文件和文件權限上面列出了各種文件的詳細信息，共分7組。各組信息的含義如圖所示。三、項目實施任務4-1管理統(tǒng)信UOSV20文件權限2.詳解文件的各種屬性信息drwxr-xr-x 2rootroot4096Sep113:54webmin（1）第1組為文件類型權限每一行的第一個字符一般用來區(qū)分文件的類型，一般取值為d、-、l、b、c、s、p。每一行的第2~10個字符表示文件的訪問權限：

字符2、3、4表示該文件所有者的權限字符5、6、7表示該文件所有者所屬組的組成員的權限字符8、9、10表示該文件所有者所屬組群以外的權限三、項目實施任務4-1管理統(tǒng)信UOSV20文件權限2.詳解文件的各種屬性信息drwxr-xr-x 2rootroot4096Sep113:54webmin（2）第2組表示有多少文件名連結到此節(jié)點（i-node）每個文件都會將其權限與屬性記錄到文件系統(tǒng)的i-node中，這個屬性記錄的就是有多少不同的文件名連接到相同的一個i-node。（3）第3組表示這個文件（或目錄）的擁有者賬號三、項目實施任務4-1管理統(tǒng)信UOSV20文件權限2.詳解文件的各種屬性信息drwxr-xr-x 2rootroot4096Sep113:54webmin（4）第4組表示這個文件的所屬組在統(tǒng)信UOSV20系統(tǒng)下，你的賬號會附屬于一個或多個的組中。舉例來說明：class1、class2、class3均屬于projecta這個組，假設某個文件所屬的組為projecta，且該文件的權限為（-rwxrwx---），則class1、class2、class33人對于該文件都具有可讀、可寫、可執(zhí)行的權限（看組權限）。但如果是不屬于projecta的其他賬號，對于此文件就不具有任何權限了。三、項目實施任務4-1管理統(tǒng)信UOSV20文件權限2.詳解文件的各種屬性信息drwxr-xr-x 2rootroot4096Sep113:54webmin（5）第5組為這個文件的容量大小，默認單位為bytes。（6）第6組為這個文件的創(chuàng)建日期或者是最近的修改日期。（7）第7組為這個文件的文件名如果文件名之前多一個“.”，則代表這個文件為隱藏文件。三、項目實施任務4-1管理統(tǒng)信UOSV20文件權限3.使用數(shù)字表示法修改權限chmod命令來修改權限，其格式為：chmod選項文件所謂數(shù)字表示法是指將讀?。╮）、寫入（w）和執(zhí)行（x）分別以數(shù)字4、2、1來表示，沒有授予的部分就表示為0，然后再把所授予的權限相加而成。如表所示：三、項目實施任務4-1管理統(tǒng)信UOSV20文件權限3.使用數(shù)字表示法修改權限例如，為文件/etc/file設置權限：賦予擁有者和組群成員讀取和寫入的權限，而其他人只有讀取權限。則應該將權限設為“rw-rw-r--”，而該權限的數(shù)字表示法為664，因此可以輸入下面的命令來設置權限：[root@Server01~]#touch/etc/file[root@Server01~]#chmod664/etc/file[root@Server01~]#ll/etc/file-rw-rw-r--.1rootroot05月2023:15/etc/file三、項目實施任務4-1管理統(tǒng)信UOSV20文件權限4.使用文字表示法修改權限（1）文字表示法使用權限的文字表示法時，系統(tǒng)用4種字母來表示不同的用戶。u：user，表示所有者。g：group，表示屬組。o：others，表示其他用戶。a：all，表示以上3種用戶。三、項目實施任務4-1管理統(tǒng)信UOSV20文件權限4.使用文字表示法修改權限（1）文字表示法使用下面3種字符的組合表示法設置操作權限。r：read，可讀。w：write，寫入。x：execute，執(zhí)行。三、項目實施任務4-1管理統(tǒng)信UOSV20文件權限4.使用文字表示法修改權限（1）文字表示法操作符號包括以下幾種。＋：添加某種權限。-：減去某種權限。＝：賦予給定權限并取消原來的權限。以文字表示法修改文件權限時，上例中的權限設置命令應該為[root@Server01~]#chmodu=rw,g=rw,o=r/etc/file三、項目實施任務4-1管理統(tǒng)信UOSV20文件權限4.使用文字表示法修改權限（2）利用chmod命令也可以修改文件的特殊權限例如，要設置/etc/file文件的SUID權限的方法如下：[root@Server01~]#ll/etc/file-rw-rw-r--1rootroot08月2202:17/etc/file[root@Server01~]#chmodu+s/etc/file[root@Server01~]#ll/etc/file-rwSrw-r--1rootroot08月2202:17/etc/file三、項目實施任務4-1管理統(tǒng)信UOSV20文件權限4.使用文字表示法修改權限（3）使用文字表示法的有趣實例【例4-1】假如我們要“設定”一個文件的權限為-rwxr-xr-x時，所表述的含義如下。user(u)：具有可讀、可寫、可執(zhí)行的權限。group與others(g/o)：具有可讀與執(zhí)行的權限。[root@Server01~]#chmodu=rwx,go=rx.bashrc#注意：u=rwx,go=rx是連在一起的，中間并沒有任何空格[root@Server01~]#ls-al.bashrc-rwxr-xr-x1rootroot1768月12022.bashrc三、項目實施任務4-1管理統(tǒng)信UOSV20文件權限【例4-2】假如設置-rwxr-xr--這樣的權限又該如何操作呢？可以使用“chmodu=rwx,g=rx,o=rfilename”來設定。此外，如果不知道原先的文件屬性，而想增加.bashrc文件的所有人均有寫入的權限，那么可以使用如下命令。[root@Server01~]#ls-al.bashrc-rwxr-xr-x1rootroot1768月12022.bashrc[root@Server01~]#chmoda+w.bashrc[root@Server01~]#ls-al.bashrc-rwxrwxrwx1rootroot1768月12022.bashrc三、項目實施任務4-1管理統(tǒng)信UOSV20文件權限【例4-3】如果要將權限去掉而不改動其他已存在的權限呢？例如，要去掉所有用戶的執(zhí)行權限，則可以使用如下命令。[root@Server01~]#chmoda-x.bashrc[root@Server01~]#ls-al.bashrc-rw-rw-rw-1rootroot1768月12022.bashrc三、項目實施任務4-2修改文件與目錄的默認權限與隱藏權限在統(tǒng)信UOSV20的ext2/ext3/ext4文件系統(tǒng)下，除基本r、w、x權限外，還可以設定系統(tǒng)隱藏屬性。設置系統(tǒng)隱藏屬性使用chattr命令，而使用lsattr命令可以查看隱藏屬性。1.理解文件預設權限：umaskumask指定的就是用戶在建立文件或目錄時的默認權限值。[root@Server01~]#umask0022[root@Server01~]#touchtest1[root@Server01~]#mkdirtest2[root@Server01~]#ll總用量1146900……-rw-r--r--1rootroot08月2202:27test1drwxr-xr-x2rootroot68月2202:28test2……三、項目實施任務4-2修改文件與目錄的默認權限與隱藏權限2.利用umaskumask指定的就是用戶在建立文件或目錄時的默認權限值。那么如何得知或設定umask呢？以上面的案例來說，test1的權限是644。也就是說，如果umask的值為022，那新建的數(shù)據(jù)只有用戶自己具有寫入（w）的權限，同組的人只有讀?。╮）的權限，肯定無法修改。這樣怎么能共同編輯項目文件呢？那么要保留w權限2，故umask的值應該是002。[root@Server01~]#umask002;touchtest3;mkdirtest4[root@Server01~]#11……-rw-rw-r--1rootroot08月2202:40test3drwxrwxr-x2rootroot68月2202:40test4……三、項目實施任務4-2修改文件與目錄的默認權限與隱藏權限3.設置文件隱藏屬性（1）chattr命令功能說明：改變文件屬性a：系統(tǒng)只允許在這個文件之后追加數(shù)據(jù)，不允許任何進程覆蓋或截斷這個文件i：不得任意改動文件或目錄?！纠?-4】請嘗試在/tmp目錄下建立文件，加入i參數(shù)，并嘗試刪除。[root@Server01~]#cd/tmp[root@Server01tmp]#touchattrtest<==建立一個空文件[root@Server01tmp]#chattr+iattrtest<==給予i屬性[root@Server01tmp]#rmattrtest <==嘗試刪除，查看結果rm：是否刪除普通空文件'attrtest'？yrm:無法刪除'attrtest':不允許的操作 <==操作不允許#看到了嗎？連root也沒有辦法將這個文件刪除！三、項目實施任務4-2修改文件與目錄的默認權限與隱藏權限3.設置文件隱藏屬性（2）lsattr命令功能說明：顯示文件隱藏屬性。語法：lsattr[-adR]文件或目錄-a：將隱藏文件的屬性也顯示出來。-d：如果是目錄，僅列出目錄本身的屬性而非目錄內的文件名。-R：連同子目錄的數(shù)據(jù)也一并列出來。[root@Server01tmp]#chattr+aiSattrtest[root@Server01tmp]#lsattrattrtest--S-ia----------attrtest三、項目實施任務4-3使用文件訪問控制列表如果希望對某個指定的用戶進行單獨的權限控制，就需要用到文件的訪問控制列表（AccessControlList，ACL）。1.使用setfacl命令setfacl命令用于管理文件的ACL規(guī)則，格式為“setfacl[參數(shù)]文件名稱”。使用setfacl命令可以針對單一用戶或用戶組、單一文件或目錄來進行讀/寫/執(zhí)行權限的控制。下面來設置用戶在/root目錄上的權限：[root@Server01~]#setfacl-Rmu:yangyun:rwx/root[root@Server01~]#su-yangyun[yangyun@Server01~]$cd/root[yangyun@Server01root]$lsanaconda-ks.cfgDownloadsfile3Musictest2trDesktopfile1initial-setup-ks.cfgPicturestest3VideosDocumentsfile2man_db.baktest1test4[yangyun@Server01root]$catanaconda-ks.cfg[yangyun@Server01root]$exit三、項目實施任務4-3使用文件訪問控制列表如果希望對某個指定的用戶進行單獨的權限控制，就需要用到文件的訪問控制列表（AccessControlList，ACL）。1.使用setfacl命令查看文件權限的最后一個點（.）變成了加號（+），這就意味著該文件已經(jīng)設置了ACL。[root@Server01~]#ls-ld/rootdrwxrwx---+20rootroot40968月2202:40/root三、項目實施任務4-3使用文件訪問控制列表如果希望對某個指定的用戶進行單獨的權限控制，就需要用到文件的訪問控制列表（AccessControlList，ACL）。2.使用getfacl命令下面使用getfacl命令顯示在root管理員家目錄上設置的所有ACL信息。[root@Server01~]#getfacl/rootgetfacl:Removingleading'/'fromabsolutepathnames#file:root#owner:root#group:rootuser::r-xuser:yangyun:rwxgroup::r-xmask::rwxother::---三、項目實施4.4企業(yè)實戰(zhàn)與應用1．情境及需求情境：假設系統(tǒng)中有兩個賬號，分別是alex與arod，這兩個賬號除了支持自己的組，還共同支持一個名為project的組。如這兩個賬號需要共同擁有/srv/ahome/目錄的開發(fā)權，且該目錄不允許其他賬號進入查閱，請問該目錄的權限應如何設定？請先以傳統(tǒng)權限說明，再以SGID的功能解析。目標：了解為何項目開發(fā)時，目錄最好設定SGID的權限。前提：多個賬號支持同一組，且共同擁有目錄的使用權。需求：需要使用root的身份運行chmod、chgrp等命令，幫用戶設定好他們的開發(fā)環(huán)境。這也是管理員的重要任務之一。三、項目實施4.4企業(yè)實戰(zhàn)與應用2．解決方案（1）制作出這兩個賬號的相關數(shù)據(jù)，如下所示。[root@Server01~]#groupaddproject<==增加新的組[root@Server01~]#useradd-Gprojectalex<==建立alex賬號，且支持project[root@Server01~]#useradd-Gprojectarod<==建立arod賬號，且支持project[root@Server01~]#idalex<==查閱alex賬號的屬性用戶id=1012(alex)組id=1014(alex)組=1014(alex),1013(project)<==確定有支持！[root@Server01~]#idarod用戶id=1013(arod)組id=1015(arod)組=1015(arod),1013(project)（2）建立所需要開發(fā)的項目目錄。[root@Server01~]#mkdir/srv/ahome[root@Server01~]#ll-d/srv/ahomedrwxrwxr-x2rootroot68月2202:47/srv/ahome三、項目實施4.4企業(yè)實戰(zhàn)與應用2．解決方案（3）從上面的輸出結果可發(fā)現(xiàn)alex與arod都不能在該目錄內建立文件，因此需要進行權限與屬性的修改。由于其他人均不可進入此目錄，所以該目錄的組應為project，權限應為770才合理。[root@Server01~]#chgrpproject/srv/ahome[root@Server01~]#chmod770/srv/ahome[root@Server01~]#ll-d/srv/ahomedrwxrwx---2rootproject68月2202:47/srv/ahome#從上面的權限來看，由于alex/arod均支持project，所以似乎沒問題了三、項目實施4.4企業(yè)實戰(zhàn)與應用2．解決方案（4）分別以兩個使用者來測試，情況會如何呢？先用alex建立文件，再用arod去處理。[root@Server01~]#su-alex <==先切換身份成alex來處理[alex@Server01~]$cd/srv/ahome <==切換到組的工作目錄[alex@Server01ahome]$touchabcd <==建立一個空的文件[alex@Server01ahome]$exit <==離開alex的身份[root@Server01~]#su-arod[arod@Server01~]$cd/srv/ahome[arod@Server01ahome]$11總用量0-rw-rw-r--1alexalex08月2202:49abcd#仔細看上面的文件，組是alex，而組arod并不支持#因此對于abcd這個文件來說，arod應該只是其他用戶，只有r權限[arod@Server01ahome]$exit三、項目實施4.4企業(yè)實戰(zhàn)與應用2．解決方案（5）加入SGID的權限，并進行測試。[root@Server01~]#chmod2770/srv/ahome[root@Server01~]#ll-d/srv/ahome