第六章  文件系统权限

学习目标:

能够解析Linux文件系统权限的工作机制

掌握实用命令工具修改文件权限和属主

掌握特权位和粘贴位权限,用户权限掩码

6.1 了解基本的文件系统权限

r  读权限: 对于文件,代表用户可以读取文件的内容

对于目录,代表用户可以对目录里的内容进行列表

w  写权限: 对于文件,代表用户可以修改文件的内容

对于目录,代表用户可以在目录里创建,删除文件,修改文件名字等

x  执行权限: 对于文件,如果这个文件本身是可执行文件(脚本,命令,程序),代表用户可以执行(运行)文件

对于目录,代表用户可以进入到该目录

一个用户要对目录有基本的正常访问操作,必须具备r和x权限

用户对资源来说,有三种角色:

User(u): 主人(文件所有者)

Group(g): 所属组的成员

Other(O): 其他人

首选判断用户是否为文件的所有者,如果是,就按所有者的权限进行访问

如果不是文件的所有者,就继续判断是否为文件的所有组成员,如果是,就按组的权限去访问

如果不是文件的所有组的成员,最终用户就是文件的其他的人,按其他人的权限去访问.

rwx,   rwx,    r-x

User   Group   Other

6.2  使用命令工具修改文件权限和属主

考试必考

相关命令: chmod,chown,chgrp

使用数字描述权限

--- 000 0

--x 001 1

-w- 010 2

-wx 011 3

r-- 100 4

r-x 101 5

rw- 110 6

rwx 111 7

rwxr-xr-x  ==> 755

rw-r--r--  ==> 644

r--------  ==> 400

rw-r--r--  ==> 644

rwxrwxrwx  ==> 777

实验: 在server上lab permissions setup

要求 ateam组的成员可以访问/home/ateam-text目录,并且可以在目录下创建,删除文件. 在目录下,andy创建的文件可以让alice修改

相关用户的密码为password

root # mkdir /home/ateam-text

root # chown :ateam /home/ateam-text

root # chmod g=rwx /home/ateam-text

andy $ touch /home/ateam-text/andy-file1

andy $ chmod o=rw /home/ateam-text/andy-file1

andy $ touch /home/ateam-text/andy-file2

andy $ chown :ateam  /home/ateam-text/andy-file2

andy $ chmod g=rw /home/ateam-text/andy-file2

6.3 掌握特权位和粘贴位权限,用户权限掩码

考试必考

u+s,g+s,o+t

umask

setuid = u+s = 4

文件的执行有效身份为文件的拥有者,而不是执行者的身份

setgid = g+s = 2

文件的有效执行组身份为文件的拥有组,而不是执行者的组身份 

目录里新建的文件的拥有组会自动继承目录的拥有组身份

sticky = o+t = 1

对目录有写权限的用户仅仅可以删除目录里属于自己的文件,不能删除其他用户的文件  tom传的文件mary不可删除,管理员不受限制

umask

用于设置默认权限的.

默认新建文件,最大权限为666

默认新建目录,最大权限是777

相关文件/etc/bashrc,/etc/profile,~/.bashrc,~/.bash_profile

[root@localhost ~]# umask

0022

练习:在server上lab permissions setup

系统会自动建立了三个用户,分别为curly,larry,moe,这些用户都是stooges组的成员,帐号密码都为password

要求以上用户和组可以在/home/stooges目录里访问,创建,删除文件. 其他用户一律不允许访问该目录. 在该目录下新建的文件会自动属于stooges组拥有

所有普通用户新建的文件或目录不能被非组成员(其他人)访问.

==================================================================================================================================================================

上课笔记:

6.1了解基本的文件系统权限

[student@localhost Desktop]$ file /usr/bin/touch

/usr/bin/touch: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked (uses shared libs), for GNU/Linux 2.6.32, BuildID[sha1]=0xb8a26c6e357429bbb3ba545feaa789c2d36758fc, stripped

用户对资源来说有三种 :

用户(文件所有者

所属于的组(group)

other(其他人)

user group other 

首先判断文件是否是所有者,如果不是则判断是否所属的组,如果不是,则判定为other

看权限   ls -ld /tmp/test

student用户: sudo cho

修改权限的命令:chmod 777 /tmp/test

6.2 使用命令工具修改文件权限和属主

[student@localhost ~]$ cp /etc/hosts ./

[student@localhost ~]$ ls

Desktop    Downloads  Music     Public     Videos

Documents  hosts      Pictures  Templates

[student@localhost ~]$ ls -l

total 4

drwxr-xr-x. 2 student student   6 Jan  5  2015 Desktop

drwxr-xr-x. 2 student student   6 Jan  5  2015 Documents

drwxr-xr-x. 2 student student   6 Jan  5  2015 Downloads

-rw-r--r--. 1 student student 231 May 29 20:27 hosts

drwxr-xr-x. 2 student student   6 Jan  5  2015 Music

drwxr-xr-x. 2 student student   6 Jan  5  2015 Pictures

drwxr-xr-x. 2 student student   6 Jan  5  2015 Public

drwxr-xr-x. 2 student student   6 Jan  5  2015 Templates

drwxr-xr-x. 2 student student   6 Jan  5  2015 Videos

[student@localhost ~]$ chmod u+x,g+w,o-r ./hosts

[student@localhost ~]$ ls -l hosts

-rwxrw----. 1 student student 231 May 29 20:27 hosts

[student@localhost ~]$ 

[student@localhost ~]$ chmod go=rw ./hosts  不管以前是什么 ,执行后g和o都是rw

[student@localhost ~]$ chmod u-x,go=r ./hosts

[student@localhost ~]$ ls -l hosts

-rw-r--r--. 1 student student 231 May 29 20:27 hosts

dent@localhost ~]$ 

[student@localhost ~]$ mkdir test

[student@localhost ~]$ ls

Desktop    Downloads  Music     Public     test

Documents  hosts      Pictures  Templates  Videos

[student@localhost ~]$ cp /etc/passwd ./test/

[student@localhost ~]$ cd test

[student@localhost test]$ ls

passwd

[student@localhost test]$ ls -l

total 4

-rw-r--r--. 1 student student 2210 May 29 20:30 passwd

[student@localhost test]$ cd ..

[student@localhost ~]$ ls

Desktop    Downloads  Music     Public     test

Documents  hosts      Pictures  Templates  Videos

[student@localhost ~]$ ls ./test/

passwd

[student@localhost ~]$ ls ./test/ -l

total 4

-rw-r--r--. 1 student student 2210 May 29 20:30 passwd

[student@localhost ~]$ ls -ld ./test/

drwxrwxr-x. 2 student student 19 May 29 20:30 ./test/

[student@localhost ~]$ chmod g-w,o=---

chmod: missing operand after ‘g-w,o=---’

Try 'chmod --help' for more information.

[student@localhost ~]$ chmod g-w,o=--- ./test

[student@localhost ~]$ ls -ld ./test

drwxr-x---. 2 student student 19 May 29 20:30 ./test

[student@localhost ~]$ 

[student@localhost ~]$ chmod -R o=--- ./test

[student@localhost ~]$ ls -l ./test/passwd

-rw-r-----. 1 student student 2210 May 29 20:30 ./test/passwd

[student@localhost ~]$ cd home

bash: cd: home: No such file or directory

[student@localhost ~]$ ls

Desktop    Downloads  Music     Public     test

Documents  hosts      Pictures  Templates  Videos

[student@localhost ~]$ mkdri test

bash: mkdri: command not found...

Similar command is: 'mkdir'

[student@localhost ~]$ ls

Desktop    Downloads  Music     Public     test

Documents  hosts      Pictures  Templates  Videos

[student@localhost ~]$ mkdir  test

mkdir: cannot create directory ‘test’: File exists

[student@localhost ~]$ ls

Desktop    Downloads  Music     Public     test

Documents  hosts      Pictures  Templates  Videos

改用户和组命令

[root@localhost student]# chown daemon:root /home/student/hosts 同时改拥有者和组

[root@localhost student]# ls -l

total 4

drwxr-xr-x. 2 student student   6 Jan  5  2015 Desktop

drwxr-xr-x. 2 student student   6 Jan  5  2015 Documents

drwxr-xr-x. 2 student student   6 Jan  5  2015 Downloads

-rw-r--r--. 1 daemon  root    231 May 29 20:27 hosts

drwxr-xr-x. 2 student student   6 Jan  5  2015 Music

drwxr-xr-x. 2 student student   6 Jan  5  2015 Pictures

drwxr-xr-x. 2 student student   6 Jan  5  2015 Public

drwxr-xr-x. 2 student student   6 Jan  5  2015 Templates

drwxr-x---. 2 student student  19 May 29 20:30 test

drwxr-xr-x. 2 student student   6 Jan  5  2015 Videos

[root@localhost student]# 

[root@localhost student]# chown bin /home/student/hosts   改拥有者

[root@localhost student]# ls -l /home/student/hosts 

-rw-r--r--. 1 bin root 231 May 29 20:27 /home/student/hosts

[root@localhost student]# ls -lh /home/student/hosts 

[root@localhost student]# chown :daemon /home/student/hosts   改组

[root@localhost student]# ls -lh /home/student/hosts 

-rw-r--r--. 1 bin daemon 231 May 29 20:27 /home/student/hosts

[root@localhost student]# chgrp root /home/student/hosts 改组 

数字表示权限

--- 000 0

--x 001 1

-w- 010 2

-wx 011 3

r-- 100 4

r-x 101 5

rw- 110 6

rwx 111 7

读 写 执 基础数是   4   2   1 ,三者组合。

[root@localhost test]# chmod 755 /home/student/hosts 

[root@localhost test]# ls -lh !$

ls -lh /home/student/hosts

-rwxr-xr-x. 1 bin root 231 May 29 20:27 /home/student/hosts

[root@localhost test]# chmod 600 /home/student/hosts 

[root@localhost test]# ls -lh !$

ls -lh /home/student/hosts

-rw-------. 1 bin root 231 May 29 20:27 /home/student/hosts

[root@localhost test]# chmod 664 /home/student/hosts 

[root@localhost test]# ls -lh /home/student/hosts

-rw-rw-r--. 1 bin root 231 May 29 20:27 /home/student/hosts

实验: 在server上lab permissions setup

要求 ateam组的成员可以访问/home/ateam-text目录,并且可以在目录下创建,删除文件. 在目录下,andy创建的文件可以让alice修改

相关用户的密码为password

root # mkdir /home/ateam-text

root # chown :ateam /home/ateam-text

root # chmod g=rwx /home/ateam-text

andy $ touch /home/ateam-text/andy-file1

andy $ chmod o=rw /home/ateam-text/andy-file1  改这个文件的其他权限

andy $ touch /home/ateam-text/andy-file2

[root@localhost ateam-text]# chgrp student ./tom-file2  把这个改成其他的所属组

如上 student用户登陆可以修改 tom创建的两个文件。

总结:如上,A用户的目录或文件,有两种方式可以让其他用户获取修改的权限,一种是修改o的权限,一种是修改文件所属的组。

6.3 掌握特权位和粘贴位权限,用户权限掩码

[student@localhost /]$ ls -lh /usr/bin/passwd

-rwsr-xr-x. 1 root root 28K Jan 30  2014 /usr/bin/passwd

[student@localhost /]$ ls -lh /bin/touch

-rwxr-xr-x. 1 root root 61K Jan 25  2014 /bin/touch

[student@localhost /]$ 

如上,特权位s

[root@localhost ~]# chmod u-s /usr/bin/passwd  将其减掉后变成了w

设定特权位 chmod 4775 /usr/bin/passwd

好处:在执行命令的有效身份是文件的拥有者root,所以任何人在执行这个文件时的权限 不是任何人,而是拥有者的权限。

组位加特权位:

[root@localhost ~]# chmod g+s /usr/bin/cat  运行组身份

[root@localhost ~]# chmod u+s /usr/bin/cat  运行者身份

umask

用于设置默认权限的.

默认新建文件,最大权限为666   用它来减去umask的值,查看源文件可知,一般和管理员的默认umask是不同的。

默认新建目录,最大权限是777  用它来减去umask的值

相关文件/etc/bashrc,/etc/profile,~/.bashrc,~/.bash_profile

[root@localhost ~]# umask

0022

[root@localhost ~]# umask

0022

[root@localhost ~]# ^C

[root@localhost ~]# mkdir 1  

[root@localhost ~]# ls -l

total 12

drwxr-xr-x. 2 root root    6 May 29 22:55 1

-rw-------. 1 root root 8619 May  7  2014 anaconda-ks.cfg

drwxr-xr-x. 2 root root    6 Dec 30  2014 Desktop

drwxr-xr-x. 2 root root    6 Dec 30  2014 Documents

drwxr-xr-x. 2 root root    6 Dec 30  2014 Downloads

drwxr-xr-x. 2 root root    6 Dec 30  2014 Music

drwxr-xr-x. 2 root root    6 Dec 30  2014 Pictures

drwxr-xr-x. 2 root root    6 Dec 30  2014 Public

drwxr-xr-x. 2 root root    6 Dec 30  2014 Templates

drwxr-xr-x. 2 root root    6 Dec 30  2014 Videos

[root@localhost ~]# umask 0777    改UMASK

[root@localhost ~]# mkdir 2

[root@localhost ~]# ls -l 2

total 0

[root@localhost ~]# ls -l

total 12

drwxr-xr-x. 2 root root    6 May 29 22:55 1

d---------. 2 root root    6 May 29 22:56 2

-rw-------. 1 root root 8619 May  7  2014 anaconda-ks.cfg

drwxr-xr-x. 2 root root    6 Dec 30  2014 Desktop

drwxr-xr-x. 2 root root    6 Dec 30  2014 Documents

drwxr-xr-x. 2 root root    6 Dec 30  2014 Downloads

drwxr-xr-x. 2 root root    6 Dec 30  2014 Music

drwxr-xr-x. 2 root root    6 Dec 30  2014 Pictures

drwxr-xr-x. 2 root root    6 Dec 30  2014 Public

drwxr-xr-x. 2 root root    6 Dec 30  2014 Templates

drwxr-xr-x. 2 root root    6 Dec 30  2014 Videos

[root@localhost ~]# umsdk 0002

bash: umsdk: command not found...

[root@localhost ~]# umask 0002  改UMASK

[root@localhost ~]# mkdir 3

[root@localhost ~]# ls -l

total 12

drwxr-xr-x. 2 root root    6 May 29 22:55 1

d---------. 2 root root    6 May 29 22:56 2

drwxrwxr-x. 2 root root    6 May 29 22:56 3

-rw-------. 1 root root 8619 May  7  2014 anaconda-ks.cfg

drwxr-xr-x. 2 root root    6 Dec 30  2014 Desktop

drwxr-xr-x. 2 root root    6 Dec 30  2014 Documents

drwxr-xr-x. 2 root root    6 Dec 30  2014 Downloads

drwxr-xr-x. 2 root root    6 Dec 30  2014 Music

drwxr-xr-x. 2 root root    6 Dec 30  2014 Pictures

drwxr-xr-x. 2 root root    6 Dec 30  2014 Public

drwxr-xr-x. 2 root root    6 Dec 30  2014 Templates

drwxr-xr-x. 2 root root    6 Dec 30  2014 Videos

[root@localhost ~]# 

用umask来干预用户创建的用户目录和文件,只对当前命令生效

普通是0002,管理员是0022,

系统会自动建立了三个用户,分别为curly,larry,moe,这些用户都是stooges组的成员,帐号密码都为password

要求以上用户和组可以在/home/stooges目录里访问,创建,删除文件. 其他用户一律不允许访问该目录. 在该目录下新建的文件会自动属于stooges组拥有

所有普通用户新建的文件或目录不能被非组成员(其他人)访问.