众所周知,Linux之所以更加安全,其根源在于对文件权限有着非常严格的控制。本文将简单介绍一下Linux的文件权限及其相关操作。
一、相关概念
1.1 权限简介
执行“ls -l”命令后就可以查看某一个目录文件的目录项以及对应的权限,如下图所示:
示例内容
对于上图中的结果而言,每列均代表不同的含义。
(1)第一列由10个字符组成,首个字符用于表示该文件的类型。对于该字符而言,每个字符对应的含义如下所示:
|
第一个字符 |
目录 |
|
d |
目录 |
|
- |
普通文件 |
|
l |
链接文件 |
|
b |
块文件 |
|
c |
字符文件 |
|
s |
socket文件 |
|
p |
管道文件 |
接下来的属性中,每3个字符为一组,每组分别代表不同的含义。其中,第2~4个字符代表该文件所有者(user)的权限,第5~7个字符代表该文件所属组(group)的权限,第8~10个字符代表其他用户(others)能够拥有的权限。
对于每组而言,都由rwx这三个字符组合。其中,r表示读权限,位于首个字符;w表示写权限,位于第二个字符;x表示执行权限,位于最后一个字符。若无对应的权限,则对应位置处会用 " - " 代替。
(2)第二列表示"连接数”。若文件为非目录文件,则连接数为1。若该文件为目录文件,则其连接数是该目录中所有直接子目录的总个数 2,假如目录A中包含目录B和C,则目录A的连接数为4。
(3)第三列表示该文件所属的用户
(4)第四列代表该文件所属的用户组。
(5)第五列表示该文件的大小。
(6)第六列到第八列表示文件的创建时间或最近修改时间,每列依次表示为:月份、日期和时刻。
(7)第九列为文件名。
1.2 隐藏属性
查看文件的隐藏属性需要使用lsattr命令,默认情况下,文件的隐藏属性不会进行设置。下面给出对应的例子:
从上述结果中可知,第一列是13个小短横,其中每一个小横线都是一个属性,如果当前位置上设置了该属性就会显示相对应的字符。
如果要设置文件的隐藏属性,需要使用chattr命令。这里介绍几个常用的隐藏属性,第一种就是 a 属性。拥有这种属性的文件只能在尾部增加数据而不能被删除。比如下面的例子:
还有一种比较常用的属性,也就是 i 属性。当一个文件被设置了i属性后,将无法进行写入、重命名、删除等操作,即便该用户是root用户也依然不会被允许。这种属性常用于系统或者关键服务中相关配置文件的设置,可以在一定程度上提升系统的安全性。
|
参数 |
作用 |
|
i |
禁止对文件进行修改;如果设置该属性的文件是目录,则仅能修改其子文件的内容,而不能新建或删除文件 |
|
a |
仅允许追加内容,而无法覆盖或删除对应的内容 |
|
S |
文件内容变更后会立即同步到硬盘(Sync) |
|
s |
彻底从硬盘中删除,不可进行恢复(将原文件所在地硬盘区域用0进行填充) |
|
A |
不能再修改该文件或目录的最后访问时间 |
|
b |
不能再修改该文件或目录的最后存取时间 |
|
d |
使用dump命令备份时忽略该文本或目录 |
|
D |
检查压缩文件中的错误 |
如果需要了解更多的隐藏属性,可以使用man chattr来查询。
1.3 默认权限和遮罩值
所有的文件在创建时都被系统分配默认的权限,下面给出一个例子。
首先使用root用户登录系统,并执行如下命令:
touch root_file1 root_file2
mkdir root_dir1 root_dir2
接着使用如下命令来查看创建文件的默认权限:
ls -ld root_*
执行结果如下所示:
从上面可以得知,创建的root_file1、root_file2文件的权限都是644;而创建的root_dir1、root_dir2目录的权限都是755。此时好像可以得出一个结论:文件的权限默认是644,目录的默认权限是755。
为了验证这个结论是否正确,我们需要切换另一个普通用户再次进行尝试,执行的命令如下所示:
touch u_file1 u_file2
mkdir u_dir1 u_dir2
接着使用如下命令来查看创建文件的默认权限:
ls -ld u_*
执行结果如下所示:
这里创建的u1_file1、u1_file2文件的权限都是664;而创建的u1_dir1、u1_dir2目录的权限都是775。
此时就会产生一个疑问,这个默认权限是从何而来的?为何root用户和普通用户的默认权限会有所不同?
此时就需要引入umask概念,中文翻译为:遮罩。在Linux下,目录创建后的默认权限的值是“被umask遮罩777后的权限”;而对于文件而言,其创建后的默认权限是“umask遮罩666后的权限”。系统在/etc/profile文件中,设置了不同用户的遮罩值。因此,我们使用cat命令查看/etc/profile如下所示:
从上面可以看出,UID大于199的用户设置的umask值为002,相反,小于199的用户则设置为022。也就是说,umask值对于root用户来说是022,对于普通用户则是002。不同用户设置不同的遮罩值,这导致root用户和普通用户创建出来的文件和目录默认权限也有所不同。
那么如何使用遮罩计算权限呢?
777可以表示为:rwxrwxrwx,如果遮罩值是022,用字符串表示为:----w--w-,那么前者第五位和第八位的w被遮罩掉,权限变为rwxr-xr-x,用数字表示就是755。如果遮罩值是002,用字符串表示为:-------w-,那么第八位的w被遮罩掉,权限变为rwxrwxr-x,用数字表示就是775。
666用字符串表示为:rw-Rw-rw-,如果遮罩值是022,用字符串表示为:----w--w-,那么前者第五位和第八位的w被遮罩掉,权限变为rw-r--r--,用数字表示就是644。如果遮罩值是002,用字符串表示为:-------w-,那么第八位的w被遮罩掉,权限变为rw-rw-r--,用数字表示就是664。
二、相关操作
对于文件的权限的操作有三种,分别是:改变权限、改变文件拥有者和改变文件拥有组。
2.1 改变文件权限
改变文件权限对应命令为:chmod。在Linux下,每个文件都会定义对应的文件创建者(user)、拥有组(group)以及其他用户(others)的权限,用字母u(user)、g(group)、o(other)来分别代表拥有者、拥有组和其他人,而对应的具体权限则使用rwx的组合来定义。如果是增加权限,则使用 号;如果是删除权限,则使用-号;如果是设置为某个权限,则使用=号。
如果要给用户组或其他人添加或删除相关权限,只需要将上面的u相应地更换成g或o即可。但是正如大家看到的,这种方式在同一时刻只能给文件拥有者、文件拥有组或是其他所有人设置权限,如果要想同时为所有用户设置权限就需要使用数字表示法。需要说明的是,r为4,w为2,x为1。如果权限是rwx,则用数字7表示;如果权限是r-x,则用数字5表示。假设想设置一个文件的权限是:拥有者的权限是读、写、执行(rwx),拥有组的权限是读、执行(r-x),其他人的权限是只读(r--),那么可以使用命令chmod 754 somefile来进行设置。
下面给出对应的例子。
[root@localhost src]# ll
总用量 0
-rw-r--r--. 1 root root 0 5月 20 17:54 test.txt
# 为test.txt所属的用户增加执行权限
[root@localhost src]# chmod u x test.txt
[root@localhost src]# ll
总用量 0
-rwxr--r--. 1 root root 0 5月 20 17:54 test.txt
# 为test.txt所属用户组增加写入权限
[root@localhost src]# chmod g w test.txt
[root@localhost src]# ll
总用量 0
-rwxrw-r--. 1 root root 0 5月 20 17:54 test.txt
# 为test.txt文件设置权限:776表示所属用户和所属用户组有读取、写入和执行权限,而其他用户只有读取和写入权限
[root@localhost src]# chmod 776 test.txt
[root@localhost src]# ll
总用量 0
-rwxrwxrw-. 1 root root 0 5月 20 17:54 test.txt
此外,如果需要修改的对象是一个目录而非文件,并且需要对该目录下所有的文件、子目录、以及子目录下所有的文件和目录都进权限设置,此时需要使用-R参数,也就是chmod -R 754 somedir。
2.2 改变文件拥有者
更改文件拥有者的命令为:chown,该命令也具备更改文件拥有组的功能。默认情况下,当前登录系统的用户即为新创建文件或目录的拥有者。下面给出对应的示例:
[root@localhost src]# ll
总用量 0
-rwxrwxrw-. 1 root root 0 5月 20 17:54 test.txt
# 将test.txt的文件拥有者修改为user1
[root@localhost src]# chown user1:user2 test.txt
[root@localhost src]# ll
总用量 0
# 此时发现文件的拥有者已经变为了user1
-rwxrwxrw-. 1 user1 user2 0 5月 20 17:54 test.txt
需要说明的一点,如果修改的对象不是一个文件而是一个目录时,且需要对该目录下所有的文件、子目录以及子目录下所有的文件和目录都需要进行修改时,就需要使用-R参数。
2.3 改变文件拥有组
改变文件拥有者使用的命令为:chgrp,下面给出对应的例子:
[root@localhost src]# ll
总用量 0
-rwxrwxrw-. 1 user1 user2 0 5月 20 17:54 test.txt
# 将test.txt的所属组修改为user1用户组
[root@localhost src]# chgrp user1 test.txt
[root@localhost src]# ll
总用量 0
-rwxrwxrw-. 1 user1 user1 0 5月 20 17:54 test.txt
到此,关于Linux文件权限的接收就已经完毕,希望对大家有所帮助。
,
