溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
小編給大家分享一下Linux文件系統權限的示例分析,希望大家閱讀完這篇文章之后都有所收獲,下面讓我們一起去探討吧!
在討論如何修改權限之前,我們需要知道如何查看權限。通過 ls 命令的長列表參數(-l)為我們提供了有關文件的許多信息。
$ ls -lAhtotal 20K-rwxr-xr--+ 1 root root 0 Mar 4 19:39 file1-rw-rw-rw-. 1 root root 0 Mar 4 19:39 file10-rwxrwxr--+ 1 root root 0 Mar 4 19:39 file2-rw-rw-rw-. 1 root root 0 Mar 4 19:39 file8-rw-rw-rw-. 1 root root 0 Mar 4 19:39 file9drwxrwxrwx. 2 root root 4.0K Mar 4 20:04 testdir
為了理解這些是什么意思,讓我們將關于權限的輸出分解為各個部分。單獨理解每個部分會更容易。
讓我們看看在上面的輸出中的最后一行的每個組件:
drwxrwxrwx. 2 root root 4.0K Mar 4 20:04 testdir
| 第 1 節 | 第 2 節 | 第 3 節 | 第 4 節 | 第 5 節 | 第 6 節 | 第 7 節 |
|---|---|---|---|---|---|---|
d | rwx | rwx | rwx | . | root | root |
第 1 節(左側)顯示文件的類型。
| 符號 | 類型 |
|---|---|
d | 目錄 |
- | 常規文件 |
l | 軟鏈接 |
ls 的 info 頁面完整列出了不同的文件類型。
每個文件都有三種訪問方式:
屬主
組
所有其他人 第 2、3 和 4 節涉及用戶(屬主)、組和“其他用戶”權限。每個部分都可以包含 r(讀取)、w(寫入)和 x(執行)權限的組合。
每個權限還分配了一個數值,這在以八進制表示形式討論權限時很重要。
| 權限 | 八進制值 |
|---|---|
r | 4 |
w | 2 |
x | 1 |
第 5 節描述了其他替代訪問方法,例如 SELinux 或文件訪問控制列表(FACL)。
| 訪問方法 | 字符 |
|---|---|
| 沒有其它訪問方法 | - |
| SELinux | . |
| FACL | + |
| 各種方法的組合 | + |
第 6 節和第 7 節分別是屬主和組的名稱。
chown(更改所有權)命令用于更改文件的用戶和組的所有權。
要將文件 foo 的用戶和組的所有權更改為 root,我們可以使用以下命令:
$ chown root:root foo$ chown root: foo
在用戶名后跟冒號(:)運行該命令將同時設置用戶和組所有權。
要僅將文件 foo 的用戶所有權設置為 root 用戶,請輸入:
$ chown root foo
要僅更改文件 foo 的組所有權,請在組之前加冒號:
$ chown :root foo
chmod(更改模式)命令控制屬主、組以及既不是屬主也不屬于與文件關聯的組的所有其他用戶的文件許可權。
chmod 命令可以以八進制(例如 755、644 等)和符號(例如 u+rwx、g-rwx、o=rw)格式設置權限。
八進制表示法將 4 個“點”分配給“讀取”,將 2 個“點”分配給“寫入”,將 1 個點分配給“執行”。如果要給用戶(屬主)分配“讀取”權限,則將 4 分配給第一個插槽,但是如果要添加“寫入”權限,則必須添加 2。如果要添加“執行”,則要添加 1。我們對每種權限類型執行此操作:屬主、組和其他。
例如,如果我們想將“讀取”、“寫入”和“執行”分配給文件的屬主,但僅將“讀取”和“執行”分配給組成員和所有其他用戶,則我們應使用 755(八進制格式)。這是屬主的所有權限位(4+2+1),但組和其他權限的所有權限位只有 4 和 1(4+1)。
細分為:4+2+1=7,4+1=5 和 4+1=5。
如果我們想將“讀取”和“寫入”分配給文件的屬主,而只將“讀取”分配給組的成員和所有其他用戶,則可以如下使用 chmod:
$ chmod 644 foo_file
在下面的示例中,我們在不同的分組中使用符號表示法。注意字母 u、g 和 o 分別代表“用戶”(屬主)、“組”和“其他”。我們將 u、g 和 o 與 +、- 或 = 結合使用來添加、刪除或設置權限位。
要將“執行”位添加到所有權權限集中:
$ chmod u+x foo_file
要從組成員中刪除“讀取”、“寫入”和“執行”:
$ chmod g-rwx foo_file
要將所有其他用戶的所有權設置為“讀取”和“寫入”:
$ chmod o=rw
除了標準權限外,還有一些特殊的權限位,它們具有一些別的用處。
當在文件上設置 suid 時,將以文件的屬主的身份而不是運行該文件的用戶身份執行操作。一個好的例子是 passwd 命令。它需要設置 suid 位,以便更改密碼的操作具有 root 權限。
$ ls -l /bin/passwd-rwsr-xr-x. 1 root root 27832 Jun 10 2014 /bin/passwd
設置 suid 位的示例:
$ chmod u+s /bin/foo_file_name
sgid 位與 suid 位類似,操作是在目錄的組所有權下完成的,而不是以運行命令的用戶身份。
一個使用 sgid 的例子是,如果多個用戶正在同一個目錄中工作,并且目錄中創建的每個文件都需要具有相同的組權限。下面的示例創建一個名為 collab_dir 的目錄,設置 sgid 位,并將組所有權更改為 webdev。
$ mkdir collab_dir$ chmod g+s collab_dir$ chown :webdev collab_dir
現在,在該目錄中創建的任何文件都將具有 webdev 的組所有權,而不是創建該文件的用戶的組。
$ cd collab_dir$ touch file-sgid$ ls -lah file-sgid-rw-r--r--. 1 root webdev 0 Jun 12 06:04 file-sgid
粘滯位表示,只有文件所有者才能刪除該文件,即使組權限允許該文件可以刪除。通常,在 /tmp 這樣的通用或協作目錄上,此設置最有意義。在下面的示例中,“所有其他人”權限集的“執行”列中的 t 表示已應用粘滯位。
$ ls -ld /tmpdrwxrwxrwt. 8 root root 4096 Jun 12 06:07 /tmp/
請記住,這不會阻止某個人編輯該文件,它只是阻止他們刪除該目錄的內容(LCTT 譯注:即刪除目錄下文件)。
我們將粘滯位設置為:
$ chmod o+t foo_dir
你可以自己嘗試在目錄上設置粘滯位并賦予其完整的組權限,以便多個屬于同一組的用戶可以在目錄上進行讀取、寫入和執行。
接著,以每個用戶的身份創建文件,然后嘗試以另一個用戶的身份刪除它們。
如果一切配置正確,則一個用戶應該不能從另一用戶那里刪除文件。
請注意,這些位中的每個位也可以用八進制格式設置:SUID = 4、SGID = 2 和 粘滯位 = 1。(LCTT 譯注:這里是四位八進制數字)
$ chmod 4744$ chmod 2644$ chmod 1755
如果要設置特殊位時看到大寫的 S 或 T 而不是小寫的字符(如我們之前所見),那是因為不存在(對應的)底層的執行位。為了說明這一點,下面的示例創建一個設置了粘滯位的文件。然后,我們可以添加和刪除執行位以演示大小寫更改。
$ touch file cap-ST-demo$ chmod 1755 cap-ST-demo$ ls -l cap-ST-demo-rwxr-xr-t. 1 root root 0 Jun 12 06:16 cap-ST-demo $ chmod o-x cap-X-demo$ ls -l cap-X-demo-rwxr-xr-T. 1 root root 0 Jun 12 06:16 cap-ST-demo
至此,我們使用小寫的 x 設置了執行位,而無需詢問任何問題即可對其進行設置。我們還有另一種選擇:使用大寫的 X 而不是小寫的,它將僅在權限組中某個位置已經有執行位時才設置執行位。這可能是一個很難解釋的概念,但是下面的演示將幫助說明它。請注意,在嘗試將執行位添加到組特權之后,該位沒有被設置上。
$ touch cap-X-file$ ls -l cap-X-file-rw-r--r--. 1 root root 0 Jun 12 06:31 cap-X-file$ chmod g+X cap-X-file$ ls -l cap-X-file-rw-r--r--. 1 root root 0 Jun 12 06:31 cap-X-file
在這個類似的例子中,我們首先使用小寫的 x 將執行位添加到組權限,然后使用大寫的 X 為所有其他用戶添加權限。這次,大寫的 X設置了該權限。
$ touch cap-X-file$ ls -l cap-X-file-rw-r--r--. 1 root root 0 Jun 12 06:31 cap-X-file$ chmod g+x cap-X-file$ ls -l cap-X-file-rw-r-xr--. 1 root root 0 Jun 12 06:31 cap-X-file$ chmod o+X cap-X-filels -l cap-X-file-rw-r-xr-x. 1 root root 0 Jun 12 06:31 cap-X-file
umask 會屏蔽(或“阻止”)默認權限集中的位,以定義文件或目錄的權限。例如,umask輸出中的 2 表示它至少在默認情況下阻止了文件的“寫入”位。
使用不帶任何參數的 umask 命令可以使我們看到當前的 umask 設置。共有四列:第一列為特殊的suid、sgid 或粘滯位而保留,其余三列代表屬主、組和其他人的權限。
$ umask0022
為了理解這意味著什么,我們可以用 -S 標志來執行 umask(如下所示)以解釋屏蔽位的結果。例如,由于第三列中的值為 2,因此將“寫入”位從組和其他部分中屏蔽掉了;只能為它們分配“讀取”和“執行”。
$ umask -Su=rwx,g=rx,o=rx
要查看文件和目錄的默認權限集是什么,讓我們將 umask 設置為全零。這意味著我們在創建文件時不會掩蓋任何位。
$ umask 000$ umask -Su=rwx,g=rwx,o=rwx $ touch file-umask-000$ ls -l file-umask-000-rw-rw-rw-. 1 root root 0 Jul 17 22:03 file-umask-000
現在,當我們創建文件時,我們看到所有部分的默認權限分別為“讀取”(4)和“寫入”(2),相當于八進制表示 666。
我們可以對目錄執行相同的操作,并看到其默認權限為 777。我們需要在目錄上使用“執行”位,以便可以遍歷它們。
$ mkdir dir-umask-000$ ls -ld dir-umask-000drwxrwxrwx. 2 root root 4096 Jul 17 22:03 dir-umask-000/
看完了這篇文章,相信你對“Linux文件系統權限的示例分析”有了一定的了解,如果想了解更多相關知識,歡迎關注億速云行業資訊頻道,感謝各位的閱讀!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
