最新消息:

shell学习总结一——文件安全与权限

Linux运维 大步 1042浏览 0评论

一个文件一经创建,就具有三种访问方式:
1) 读,可以显示该文件的内容。
2) 写,可以编辑或删除它。
3) 执行,如果该文件是一个s h e l l脚本或程序。
按照所针对的用户,文件的权限可分为三类:
1) 文件属主,创建该文件的用户。
2) 同组用户,拥有该文件的用户组中的任何用户。
3) 其他用户,即不属于拥有该文件的用户组的某一用户

文件的全部信息包括以下:

• 文件的位置。
• 文件类型。
• 文件长度。
• 哪位用户拥有该文件,哪些用户可以访问该文件。
• i节点。
• 文件的修改时间。
• 文件的权限位。
可以通过ls -l来查看这些信息,如下面

[root@ksharpdabu home]# ls -l
total 24
drwxr-xr-x 2 root root 4096 Mar 15 10:00 Bakblog
-rwx------ 1 root root  786 Mar 15 10:18 backupblog.sh
-rw-r--r-- 1 root root  614 Mar 16 18:38 bk.sh
drwx------ 2 www  www  4096 Feb 28 17:04 www
drwxr-xr-x 7 www  www  4096 Mar 15 10:04 wwwroot

total24:表示该目录下所有文件所占用的空间

前面的一横杠表示普通文件,以下是文件类型:

d 目录。
l 符号链接(指向另一个文件)。
s 套接字文件。
b 块设备文件。
c 字符设备文件。
p 命名管道文件。
- 普通文件,或者更准确地说,不属于以上几种类型的文件。

-rw-r--r--:表示文件的相关权限,除去前面的横杠,总共九个字符,

分别对应9个权限,前三个字符代表文件属主权限,中间三个代表同组用户权限,后面三个字符代表其他用户权限。每个人对文件都有三种操作
r 读权限
w 写/更改权限
x 执行该脚本或程序的权限

当用户创建一个新的 文件时候,系统为了安全考虑,一般不会给文件的创建者执行的权限,即x。,对于文件属主来说,在只有读权限位被置位的情况下,仍然可以通过文件重定向的方法向该文件写入。注意能否删除一个文件还依赖于该文件所在目录权限位的设置。我个人认为是取文件所在目录和文件自身权限的交集。
件所在目录权限位的设置。 一些举例:

权限所代表的含义
r-- --- --- 文文件属主可读,但不能写或执行
r-- r-- --- 文文件属主和同组用户(一般来说,是文件属主所在的缺省组)可读
r-- r-- r- - 文任何用户都可读,但不能写或执行
rwx r-- r- - 文文件属主可读、写、执行,同组用户和其他用户只可读
rwx r-x --- 文文件属主可读、写、执行,同组用户可读、执行

rwx r-x r- x 文文件属主可读、写、执行,同组用户和其他用户可读、执行
rw- rw- --- 文文件属主和同组用户可读、写
rw- rw- r- - 文文件属主和同组用户可读、写,其他用户可读
rw- rw- --- 文文件属主和同组用户及其他用户读可以读、写,慎用这种权限
设置,因为任何用户都可以写入该文件

改变文件或目录的权限的方法,以下命令常用,切记

chmod命令的一般格式为:
chmod [who] operator [permission] filename
w h o的含义是:
u 文件属主权限。
g 同组用户权限。
o 其他用户权限。
a 所有用户(文件属主、同组用户及其他用户)。
o p e r a t o r的含义:
+ 增加权限。
- 取消权限。
= 设定权限。
p e r m i s s i o n的含义:
r 读权限。
w 写权限。
x 执行权限。
s 文件属主和组s e t - I D。
t 粘性位*。
l 给文件加锁,使其他用户无法访问。
u,g,o 针对文件属主、同组用户及其他用户的操作。
*在列文件或目录时,有时会遇到“ t”位。“t”代表了粘性位。如果在一个目录上出现
“t”位,这就意味着该目录中的文件只有其属主才可以删除,即使某个同组用户具有和属主
同等的权限。不过有的系统在这一规则上并不十分严格。
如果在文件列表时看到“ t”,那么这就意味着该脚本或程序在执行时会被放在交换区(虚
存)。不过由于当今的内存价格如此之低,大可不必理会文件的“ t”的使用。

举例:修改myfile的权限

命令                                               结果                                                含义
chmod a-x myfile                rw- rw- rw-                          收回所有用户的执行权限
chmod og-w myfile             rw- r-- r- -                            收回同组用户和其他用户的写权限
chmod g+w myfile              rw- rw- r- -                           赋予同组用户写权限
chmod u+x myfile               rwx rw- r- -                          赋予文件属主执行权限
chmod go+x myfile             rwx rwx r- x                         赋予同组用户和其他用户执行权限

当我们创建test文件时,它的权限如下:

-rw-r--r--      1       dave          admin             614 Mar 16 18:38

我希望自己具有执行权限,而取消其他所有用户的读权限,修改如下;

#chmod u+x o-r test

test的文件权限就变为

-rwxr-----      1       dave          admin             614 Mar 16 18:38

如果希望某个脚本文件对你自己来说可执行,而且你对该文件的缺省权限很放心,那么只要使它对你来说具有执行权限即可。
# chmod u+x dt

权限的绝对模式(就是用数字表示权限)

chmod命令绝对模式的一般形式为:
chmod [mode] file
其中mode是一个八进制数。r就是4,w就是2,x就是1.

文件属主               同组用户                       其他用户
r w x                      r w x                                 r w x
4 + 2 + 1               4 + 2 + 1                     4 + 2 + 1

7                              7                                      7

修改test文件为rwxr--r--

#chmod 744 test

修改mydir目录极其子目录权限为rwxr--r--

#chmod -R 744 mydir              //其中的-R表示递归,就是把mydir目录下的所有文件,子目录都改为744

目录:

目 录的权限位和文件有所不同。目录的读权限位意味着可以列出其中的内容。写权限位意味着可以在该目录中创建文件,如果不希望其他用户在你的目录中创建文件, 可以取消相应的写权限位。执行权限位则意味着搜索和访问该目录。如果把同组用户或其他用户针对某一目录的权限设置为- - x,那么他们将无法列出该目录中的文件。如果该目录中有一个执行位置位的脚本或程序,只要用户知道它的路径和文件名,仍然可以执行它。用户不能够进入该目 录并不妨碍他的执行。目录的权限将会覆盖该目录中文件的权限。即取他们的交集

注意,c h m o d命令不进行必要的完整性检查,可以给某一个没用的文件赋予任何权限,但
chmod 命令并不会对所设置的权限组合做什么检查。因此,不要看到一个文件具有执行权限,
就认为它一定是一个程序或脚本。

suid和guid这里就不介绍了,可自行google文档,或书籍

chown:修改文件所有者

chgrp:修改文件所有组

c h o w n命令的一般形式为:
chmod -R -h owner file
- R选项意味着对所有子目录下的文件也都进行同样的操作。- h选项意味着在改变符号链接文件的属主时不影响该链接所指向的目标文件。

chgrp和chown用法差不多,可自行man

查看自己所属于的组的命令:

#group或#id

查看其它用户属于哪个组命令:

#group 用户名

umask命令:

umask 命 令允许你设定文件创建时的缺省模式,对应每一类用户(文件属主、同组用户、其他用户)存在一个相应的u m a s k值中的数字。对于文件来说,这一数字的最大值分别是6。系统不允许你在创建一个文本文件时就赋予它执行权限,必须在创建后用c h m o d命令增加这一权限。目录则允许设置执行权限,这样针对目录来说,umask中各个数字最大可以到7。

umask表示文件创建时所缺省的权限,方便的计算方法就是和chmod相反,以下是例子

umask值                                               目录                                              文件
0 2 2                                                      7 5 5                                              6 4 4
0 2 7                                                     7 5 0                                               6 4 0
0 0 2                                                      7 7 5                                              6 6 4
0 0 6                                                      7 7 1                                               6 6 0
0 0 7                                                      7 7 0                                              6 6 0

相当于补集了,

这就是上面的例子,其中u m a s k值为0 0 2:
1) 文件的最大权限                                 rwx rwx rwx (777)
2) umask值为0 0 2                                - - - - - - -w-
3) 目录权限                                                rwx rwx r-x (775)                            这就是目录创建缺省权限
4) 文件权限                                               rw- rw- r-- (664)                                 这就是文件创建缺省权限
下面是另外一个例子,假设这次umask值为022:
1) 文件的最大权限                                  rwx rwx rwx (777)
2 ) unmask值为0 2 2                            - - - -w- -w-
3) 目录权限                                             rwx r-x r-x (755)                                  这就是目录创建缺省权限
4) 文件权限                                             rw- r-- r-- (644)                                      这就是文件创建缺省权限

查看当前umask 值,可以使用umask命令:

#umask

 符号链接

存在两种不同类型的链接,软链接和硬链接,这里我们只讨论软链接。软链接实际上就是一个指向文件的指针。

平时可以极大的方便我们的一些操作,比如查看log和多人阅读的,修改等.这里只写软链接,硬链接可自行google或翻书。

 

该命令的一般形式为:#ln [-s] source_path target_path

其中的路径可以是目录也可以是文件。如下面查看深层次目录下的log。每次打开要输入很长的路径,所以可以建立一个log的软连接放到home目录下

# ln -s /usr/opt/monitor/regstar/reg.log /   /home/monitor.log

转载请注明:大步's Blog » shell学习总结一——文件安全与权限

发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
SiteMap