Linux 文件目录权限

在Linux中,我们常用ls这个命令来查看文件的属性,比如使用ls查看/tmp下面的文件如下图,就会发现这些文件属性的显示多种多样,这些都代表什么意思?这次就介绍一下linux目录下文件的权限

本文共分为4部分介绍:

1:文件的基本权限

2:文件的隐藏权限

3:文件的特殊权限

4:文件的访问控制列表

文件的基本权限

首先来介绍下文件的基本权限,比如上图中的第二个文件b,查看这个文件的属性可以看到分为7段显示下面就介绍这7段分别代表的意思

1:drwxrwxrwx :文件的权限

2:3代表的是文件的连接数

3:root代表该文件的属主为root这个用户

4:root代表该文件的属组为root这个用户组

5:4096代表该文件的大小

6:Mar 5 12:54代表的是该文件最后的修改时间

7:b代表该文件的文件名

下面重点介绍第一段,也就是drwxrwxrwx.代表的意思,可以看到这一共有11个字符,这11个字符又可分为5段,即:d     rwx      rwx       rwx      .  

第5段” .”留待后面介绍,前面4段代表的意思分别为

1:d,这个字符代表这个文件的类型

若是d则代表是目录

若是-则代表是文件

若是l则代表是连接文件

若是b则表示设备文件里面的可供存储的接口设备

若是c则表示设备文件里面的串行端口设备,如键盘,鼠标等

234:可以看到这三段均显示为rwx

2代表该文件属主(文件所有者,用 u表示即 user)的权限

3代表该文件属组(文件所属的用户组 ,用g表示即group)的权限

4代表其他用户(用o表示即other)的权限

r代表可读,用数字4表示

w代表可写,用数字2表示

x代表可执行,用数字1表示

根据上面的显示,b这个文件所有用户都有可读写并执行的权限,而hello这个文件的权限则是一个普通文件,属主可读写执行,属组可以读可执行,而其他用户则没有任何权限


现在,我们知道了Linux文件系统内文件的三种身份(文件所有者,文件所属用户组和其他人),而且知道这三种身份分别有r,w,x的权限,那么对于linux中的普通文件和目录来说,这三种权限又分别代表什么意思呢?

权限对普通文件的重要性:

文件是包含数据的地方,包括一般的文本文件,数据库内容文件,二进制的可执行文件,因此权限对于文件来说,它的意义如下:

r:可以读取此文件的实际内容,如读取文本文件的文字内容

w:可以编辑文件内容,可以删除文件内容,但不包含删除该文件

x:可以执行该文件,在Linux中文件是否可以被执行就与该权限有关而与扩展名无关,当然为了方便我们辨别文件类型,还是建议带上文件扩展名


权限对目录的重要性:

文件是存放实际数据的所在,而目录的主要内容是记录文件名列表。文件名与目录有强烈的关联,因此权限对于目录来说,它的意义如下

r:表示具有读取目录结构列表的权限,比如你可以使用ls命名将该目录的内容列表显示出来,但是仅有该权限时无法cd到该目录中去。

w:目录的可写权限是很强大的,它代表你具有更改该目录结构列表的权限,如:新建文件或目录,删除已经存在的文件或目录(即使对那个文件来说你没有任何权限),重命名已经存在的文件及目录,移动该目录中文件的位置等

x:目录的可执行权限就代表你是否可以进入该目录成为你的工作目录,如cd到该目录中。


权限介绍完了,那我们如何设置文件或目录的权限呢,下面这个例子帮助我们创建文件并更改权限,同时让我们清楚这些权限的作用,我们将会进行如下步骤

1:使用root用户在/tmp这个目录下创建一个目录ptest,并在该目录下创建一个test文件,查看ptest与test的权限

2:可以看到上面ptest和test的own都为root,现在更改这两个文件的所属组,在我的系统中,已经建好了一个用户组mygrp,下面就将ptest及test的所属组更改为mygrp,可以使用chgrp命令,用法为 chgrp [-R] 组名称 文件或目录。

3:那如何更改文件的owner呢?我们就要用到chown这个命令,同时这个命令还能更改文件的属组,我们将上面两个文件的own更改为hadoop,同时group更改回root

那如果现在仅想将用户的group更改为mygrp的话怎么办呢?试试看吧

4:下面我们就要更改文件的权限,使用chmod这个命令

常用选项:-R:进行递归更改,表示连同子目录下的所有文件都会更改

前面已经介绍过文件有r w x这三种权限,分别用数字4 2 1表示,而用户身份分别用u,g,o表示,用a则代表所有用户,那么我们在更改文件的权限时就可以使用如下方式


5:下面我们设置ptest及test的权限如下图,现有账号hadoop,hive和usertest,其中hadoop和hive都属于mygrp这个组,现在来看下这三个账号分别对ptest和test的权限

usertest对这两个文件的权限

hive对这两个文件的权限

hadoop的权限


文件的隐藏权限

linux系统中文件的隐藏权限对于文件的安全性有很大帮助,不过只能在ext2和ext3上使用,下面就介绍下隐藏权限的设置与查看方式

chattr:设置文件的隐藏权限

方法:chattr  [-RV][+-=] [ASacdistu] filename

R:递归处理所有的文件及子目录

V:详细显示修改内容并打印输出

+:增加某一个特殊参数,其他原本存在的参数则不动

-:删除某一个特殊参数,其他原本存在的参数则不动

=:更改为后面的参数

A:当设置了这个属性后,当你访问这个文件或目录时,它的访问时间将不会被修改,可避免I/O较慢的机器过度访问磁盘,这对速度较慢的机器有帮助

S:一般的文件是异步写入磁盘的,如果架上这个属性,当你进行任何文件的修改时将会同步写入磁盘

a:设置了这个属性后,这个文件将只能增加数据,而不能删除也不能修改数据,只有root能设置该属性

c:设置这个属性后,将会自动将此文件压缩,读取时自动解压缩

d:当dump程序被执行时,设置该属性的文件将不会被dump备份

i:设置这个属性的文件将不能被删除,改名,设置连接也无法写入或添加数据,只有root能设置该属性

s:设置该属性的文件,如果该文件被删除,它将会被完全从这个硬盘空间中删除

u:与s相反,设置该属性的文件,如果文件被删除,则数据内容其实还存在磁盘中,可以找回。


lsattr查看文件的隐藏属性


文件的默认权限


文件的特殊权限

我想上面的这个例子应该已经能让你了解rwx这三个权限分别对于目录和文件的意义。相信细心的人应该也已经发现了本文第一幅中fstab,issue等文件第一段属性居然出现了S,s,T等符号,那这些又代表什么意思呢?下面就介绍一下文件的特殊权限suid,sgid和sticky

大家都知道,linux中每个账号都可以更改自己的密码,我们是通过/usr/bin/passwd 来更改密码,密码是保存在/etc/shadow这个文件中,那我们先看看这两个文件的属性

/etc/shadow这个文件只有root用户可以强制写入,而普通账号是没有权限的,那普通账号是怎么更改的自己的密码呢?这就是SUID的功能了,过程是这样的,拿hadoop这个账号来说,hadoop对文件/usr/bin/passwd聚具有执行的权限,hadoop在执行passwd这个文件时会暂时拥有root的权限,而/etc/shadow可以被root强行写入,那么hadoop就可以更改自己的密码。也就是说:

SUID权限仅对二进制程序有效

执行者对于该二进制程序需要具有x的可执行权限

该执行权限仅对在执行该程序的过程中有效

执行者将临时具有该执行程序owner的权限

同样是/etc/shadow, 普通用户是没有查看权限的,那如果我们将cat添加上suid是否就可以查看了呢?试试看

1:copy/bin/cat到/tmp目录中,查看/tmp/cat属性

2:切换到hadoop,使用/tmp/cat查看/etc/shadow

3:切换到root用户,添加SUID给/tmp/cat

4:切换回hadoop,使用/tmp/cat查看/etc/shadow。

现在就可以打开查看了,原因就是因为我们给/tmp/cat添加了SUID,hadoop在查看/etc/shadow时暂时调用了root的身份。另外需要注意的是:SUID仅用在二进制程序上而不能用在shell script上。SUID对于目录也是无效的。


当s在group位置时就称为SGID,同SUID一样,SGID仅对二进制程序有效,执行此程序时,其进程的属组不再是运行者本人所属的基本组,而是此程序文件的属组,。

除了二进制程序之外,SGID也能够用在目录上,当一个目录设置了SGID的权限后,它将具有如下功能:

用户若对于此目录具有r x的权限时,该用户能够进入该目录

用户在此目录下的有效用户组将会变成该目录的用户组

若用户在此目录下有w的权限,则用户所创建的新文件的用户组与此目录的用户组相同


而SBIT目前只针对目录有效,一般与SGID结合使用

当用户对此目录具有w x权限,即具有写入的权限时:

当用户在该目录下创建文件或目录时,仅有root与自己才有权利删除该文件。


下面使用一个例子说明SGID和SBIT的用法我们将做如下操作。

1:目前我们已经有用户hadoop和hive,他们同属于组mygrp,在/tmp下新建目录test,设置其所属组为mygrp,分别使用hadoop和hive在test下新建文件。修改对方所创建的文件

可以看到hadoop和hive都可以在test目录创建文件,但是不能更改对方所创建文件内容,却又可以删除对方所创建的文件

2:切换到root用户,添加SGID给/tmp/test,然后再分别使用hadoop和hive在test下新建文件。修改对方所创建的文件

现在发现,test目录添加SGID权限后创建的文件默认所属组为mygrp,hadoop和hive可以更改对方所创建的文件,也可以删除对方所创建的文件

3:切换到root用户,添加SBIT给/tmp/test,然后再分别使用hadoop和hive在test下新建文件。修改对方所创建的文件.删除对方创建的文件

这次发现,hadoop和hive可以更改对方所创建的文件,但是不可以删除对方所创建的文件虽然他们两个对test这个目录都有w的权限。

4:切换到root,看看root对这两个文件的权限

现在明白SGID和SBIT的作用了吧,在linux中,root的权限是顶天的,那如果不想让root删除的话怎么办呢?试试我们前面提到的隐藏属性吧。


除了上面设置特殊权限的放发,文件的特殊权限也可以通过数字来设置

SUID=4

SGID=2

SBIT=1

这就是为什么你在看umask时为何会看到4为数字了,我们同样可以像设置文件普通权限的方式设置特殊权限

在本文的第一幅图片中,细心的你也会注意到特殊权限有S和s,有T和t,什么原因呢?那就是,如果原来的位置有x的权限则为s或t,如果没有x则为S或T。


文件的访问控制列表

前面我们提到了文件的普通权限,隐藏属性及特殊权限,发现都无法针对单一用户或组设定特定的权限需求,那真的就没有办法了吗?别担心,Linux已经为我们考虑周全,可以使用ACL。ACL是Access Control List的缩写,ACL可以针对单一用户,单一文件或目录来进行r w x的权限设置。

由于ACL是传统的Unix-Like操作系统权限的额外支持,因此要使用ACL必须要有文件系统的支持,查看文件系统是否支持ACL,可以使用mount查看,一般情况下额外挂载的文件系统默认不支持ACL,如果需要有下面的方法:

1:挂载的时候设置支持ACL,mount -o acl DEVICE MOUNT_POINT,但这种挂载重启后则失效,要想永久有效:需要编辑/etc/fstab,在挂载选项后附加acl选项;

2:设定分区的默认挂载选项中有acl,则挂载时无须再指定acl;tune2fs -o acl DEVICE  
     取消此默认挂载选项:tune2fs -o ^acl DEVICE


接下来,就可以设置ACL了,这里介绍2个命令

setfacl:设置某个目录/文件的ACL,设置方法如下

设置ACL

setfacl -m u:USERNAME:MODE filename: 为USERNAME指定的用户设定对文件/path/to/somewhere具有MODE访问权限;

setfacl -m g:GROUPNAME:MODE  filename: 为GROUPNAME指定的组设定对文件/path/to/somewhere具有MODE访问权限;

取消ACL

setfacl -x u:USERNAME filename

setfacl -x g:GROUPNAME filename


getfacl:取得某个文件/目录的ACL设置项目  方法:getfacl filename

下面2个示例,文件添加ACL后,ls时会在第一段最后显示一个+,如本文第一幅图片中的a

本文出自 “CherriesZhao” 博客,请务必保留此出处http://cherrieszhao.blog.51cto.com/5310809/1381656

Linux 文件目录权限,古老的榕树,5-wow.com

郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。