Linux中一切皆文件
1.使用者与群组
在我的理解,当你登录了一个Linux系统,那么用户就可以分为四类,你自己,你认识的人,陌生人,超级用户.
系统中组的概念,
linux中的组,就像大学里的社团,有两个特征:
组里面的人都是熟人,所以可以对文件进行一些共享.
根据兴趣,目的的不同,一个人可以同时加入多个组.
2.文件权限
2.1 文件的基本权限
2.1.1查看文件基本权限
# ls -l /root total 80 -rw-------. 1 root root 1411 Oct 26 2013 anaconda-ks.cfg drwxr-xr-x 2 root root 4096 Apr 12 08:46 Desktop ...以下省略
输出说明:
第一个栏位是 文件类型和权限
第二个栏位是 有多少个文件名,指向这个i-node号
第三个栏位是 这个文件的所有者是谁
第四个栏位是 这个文件相关连的组是哪个
第五个栏位是 文件的大小,单位是byte
第六个栏位是 这个文件内容,最后一次修改是什么时候
第七个栏位是 这个文件的名字
--------------------------------------------------
重点是第一个栏位
drwxr-xr-x
一共十个子栏位
第一个代表的是文件的类型 比较常见的有
- 表示普通文件 比如ASCII码文件 binary文件 data文件(如/var/log/wtmp)
d 表示目录
l 代表链接文件
c 设备文件的一种,表示字符设备,如键盘,鼠标
b 设备文件的一种,表示块设备,如磁盘
s sockets文件,多用于网络服务
p pipe文件 也叫FIFO(first-in-first-out),用来避免多个进程同时读取一个文件时产生错误
----------------------------------------------------------------------------------
后面九个栏位,每三个一组,从左往右,分别代表 文件的所有者的权限 文件关联组的权限 系统中其他用户的权限
rwx 代表的权限分别是
r read
w write
x execute
--------------
2.1.1.1 x权限在目录和文件上的区别
对于x权限,可执行文件与目录是有区别的.
目录也是一种特殊的文件,他里面其实记录了文件名与i-node号的对应关系,类似下面的形式
i-node number file name --------------------------------------- 130564 install.log.syslog 137308 anaconda-ks.cfg ...以下省略
如果一个用户,对目录只有r权限,没有x权限.那么,意味着:
他不能将该目录做为工作目录
只能读取目录本身的内容.而不能读取目录的扩展内容.下面来看个例子:
使用测试机的/root目录来做这个测试 查看当前目录权限如下,可以看到,其他用户对这个文件夹是没有任何权限的 # ll -d /root dr-xr-x---. 21 root root 4096 Jul 3 08:17 /root 现在来为该目录添加其他用户可读权限 # chmod o+r /root # ll -d /root dr-xr-xr--. 21 root root 4096 Jul 3 08:17 /root 切换到普通用户,并尝试进入/root目录,因权限问题,被拒绝了. # su - yue $ id uid=500(yue) gid=500(yue) groups=500(yue) $ cd /root -bash: cd: /root: Permission denied 再尝试用ls来读取目录内容,可以看到,虽然报了很多权限错误, 但因为yue对这个目录有读权限,系统还是把目录里面的文件和目录给列出来了 $ ls /root ls: cannot access /root/RootDirectorySort.sh: Permission denied ls: cannot access /root/Desktop: Permission denied ...以下省略 anaconda-ks.cfg Documents etc.tar.gz install.log.syslog ks.cfg Music Public ...以下省略 下面我们再用ls -l来看一下目录里文件的具体权限,可以看到,全是一些?号. 因为文件的属性是记录在i-node中的,因为yue没有x权限, 所以没有权限从i-node中读取相应的信息. $ ls -l /root ls: cannot access /root/RootDirectorySort.sh: Permission denied ls: cannot access /root/Desktop: Permission denied ...以下省略 total 0 -????????? ? ? ? ? ? anaconda-ks.cfg d????????? ? ? ? ? ? Desktop ...以下省略
下面我们给其他用户赋上x权限,再来看一下.可以看到,一切问题都不存在了. # chmod o+x /root # su - yue $ cd /root $ pwd /root $ ls anaconda-ks.cfg Documents etc.tar.gz install.log.syslog ks.cfg Music Public ...以下省略 $ ls -l total 8180 -rw-------. 1 root root 1307 Nov 7 2013 anaconda-ks.cfg drwxr-xr-x 2 root root 4096 Dec 4 2013 Desktop ...以下省略
2.1.1.2 谨慎赋予目录w权限
特别强调一下目录的w权限.对于目录赋予w权限时要特别的小心,下面我们通过一个例子来说明:
还是在/root目录,我们用root来新建一个文件,test.txt # touch test.txt 可以看到,文件对于其他人来说,只有可读权限. # ll test.txt -rw-r--r-- 1 root root 0 Jul 9 11:10 test.txt 下面我们来给/root目录的其它用户,加上w权限 # chmod o+w /root # ls -ld /rootdr-xr-xrwx. 21 root root 4096 Jul 9 11:10 /root # su - yue $ cd /root 可以看到,yue 对于test.txt文件确实没有写权限. $ ll test.txt -rw-r--r-- 1 root root 0 Jul 10 16:54 test.txt $ echo "test" >> test.txt -bash: test.txt: Permission denied 但是... 因为yue用户对目录有w权限,所以,一个普通用户,竟然把root创建的文件给删了. 所以,在给目录赋权时,千万要注意w权限 $ rm -rf test.txt $ ls /root/test.txt ls: cannot access /root/test.txt: No such file or directory
还有不要在生产机上做测试,在测试机上面做了修改,最好也修改回来
2.1.2 文件与目录的默认权限
当你新建一个文件或目录时,你并没有指定具体的权限.但当你查看新建的文件或目录时,发现其实都会被系统赋予一个默认的权限.
这个默认权限,就是通过初始权限与umask值计算出来的.那文件与目录的初始权限是多少呢.
大家都知道,目录与文件是有区别的,体现在权限上时,
对一个文件来说,通常用不到的权限是x权限.所以文件的初始权限就是
rw-rw-rw- 转换成数字权限就是666
对于一个目录来说,x权限往往是必须的.所以目录的初始权限就是
rwxrwxrwx 转换成数字就是777
我们再来看一下系统预设的umask值是多少
# umask 0022
那么文件与目录的 默认权限 = 初始权限 - umask
文件的默认权限就是 666-0022=0644 转换成字符形式 就是 rw-r--r-- 目录的默认权限就是 777-0022=0755 转换成字符形式 就是 rwxr-xr-x
下面我们就分别建立一个文件和目录,看看是不是这个样子的
# mkdir /tmp/dir_umask # ll -d /tmp/dir_umask drwxr-xr-x. 2 root root 4096 Jul 11 11:12 /tmp/dir_umask
# touch /tmp/dir_umask/file_umask # ll /tmp/dir_umask/file_umask -rw-r--r--. 1 root root 0 Jul 11 11:16 /tmp/dir_umask/file_umask
可以看到确实与我们计算的是一致的
如果要临时更改这个值 可以使用
umask 新的值
如我想将umask更改成222 就可以使用以下命令
# umask 222 # umask 0222
另外,普通用户与root用户的预设umask还是有一点区别的.
# su - yue $ umask 0002
2.1.3 文件基本权限的增,删,改
文件基本权限的增,删,改都是通过chmod命令来进行的.
基本使用方法如下,我就不举例子了,想了解,可以man或Google
syntax: chmod [option] rules file... -R :recursive 递归 rule可以有两种方式来表达 字符方式: chmod | u | +(添加) | r | file_name | | g | -(去除) | w | | | o | =(设定) | x | | | a | | | | 数字方式: r | 100 | 4 w | 010 | 2 x | 001 | 1
2.2 文件的acl权限
我们来设想这样一种场景,我们一个团队,合作编写一个shell脚本.如设置脚本的权限?
要实现这个场景,可以把团队里面的所有的人加到一个组里,然后把这个shell脚本的关联组设置为这个组,并把权限改为rwx即可.
那现在boss很关心我们的进度,他想来看看这个脚本写到什么情况了.但主机上还有其他项目组的人,肯定不能让他们来阅读我们开发的shell,这个时候,如何设置脚本的权限呢?
所以说,传统的UGO权限是有限制的.这样,我们就引入了ACLs(access control lists)的概念.
2.2.1 文件系统对acl的支持
acl是一个附加功能.能否实现,需要依赖于文件系统的支持.
该功能是在文件系统挂载时指定的.下面我们来看一下,如何查看当前文件系统是否支持acl
# mount /dev/mapper/vg_centos2-lv_root on / type ext4 (rw) ...以下省略 # dumpe2fs -h /dev/mapper/vg_centos2-lv_root ...省略 Default mount options: user_xattr acl ...省略
一般情况下(ext4),默认acl支持都是加载的.但如果遇到二般情况,文件系统加载时没有指定acl.我们可以能过
以下的两种方法:
在命令行,直接使用命令挂载.
现有一个lv,/dev/VolGroup/lv_acl,已建好ext2文件系统,现把它挂载到/tmp/acltest下. 先不指定参数看一下. # mount /dev/VolGroup/lv_acl /tmp/acltest/ # mount /dev/mapper/VolGroup-lv_root on / type ext4 (rw) ...省略 /dev/sr0 on /media type iso9660 (ro) /dev/mapper/VolGroup-lv_acl on /tmp/acltest type ext2 (rw) # ll -d /tmp/acltest/ drwxr-xr-x 3 root root 1024 Jul 11 10:28 /tmp/acltest/ # setfacl -m u:yue:rwx /tmp/acltest/ setfacl: /tmp/acltest/: Operation not supported 我们卸载,再一次,挂载过程中,手工指定acl支持. # mount -o acl /dev/VolGroup/lv_acl /tmp/acltest/ 使用mount命令观察一下 # mount /dev/mapper/VolGroup-lv_root on / type ext4 (rw) ...以下省略 /dev/sr0 on /media type iso9660 (ro) /dev/mapper/VolGroup-lv_acl on /tmp/acltest type ext2 (rw,acl) 实际指定一个acl权限,可以看到,ok了. # setfacl -m u:yue:rwx /tmp/acltest/ # getfacl /tmp/acltest/ getfacl: Removing leading '/' from absolute path names # file: tmp/acltest/ # owner: root # group: root user::rwx user:yue:rwx group::r-x mask::rwx other::r-x
在/etc/fstab文件中,指定acl支持
把刚才挂载的文件系统卸载 # umount /tmp/acltest/ 将挂载信息写到/etc/fstab中 # echo "/dev/VolGroup/lv_acl /tmp/acltest ext2 defaults,acl 1 2" >>/etc/fstab 使用mount -a 将/etc/fstab中没有挂载的文件系统全部挂载 # mount -a # mount /dev/mapper/VolGroup-lv_root on / type ext4 (rw) ...省略 /dev/sr0 on /media type iso9660 (ro) /dev/mapper/VolGroup-lv_acl on /tmp/acltest type ext2 (rw,acl)
2.2.2 acl权限的查看
最简单用法如下,其它的用法请自行Google或man
getfacl file
2.2.3 acl权限的增,改,删
acl权限可以针对每一个用户,每一个组来进行设定.也可以设置普通权限的other位的权限
acl权限的增,删,改都使用setfacl命令,只是使用的参数不一样而己
增加,更改都使用-m 选项
setfacl -m rule file
rule可以有以下几种常见的格式.
针对单个用户的:
u:uid:permission
针对单个组:
g:uid:permission
针对并普通权限的other位
o:permission
如果要删除,使用-x选项
setfacl -x rule file
下面来说说,acl里面,两个比较特殊的东西
2.2.2.1 effective right mask
还是通过一个例子来说明.
我有三个用户,yue yue2 yue3 其中两个用户在同一个组gacl yue3和root在同一个组,在root组
# id yue uid=500(yue) gid=500(yue) groups=500(yue),501(gacl) # id yue2 uid=501(yue2) gid=502(yue2) groups=502(yue2),501(gacl) # id yue3 uid=502(yue3) gid=503(yue3) groups=503(yue3),0(root)
我新建一个文件acltest2.sh,设置如下权限
# touch acltest2.sh # ll acltest2.sh -rw-r--r-- 1 root root 0 Jul 11 15:29 acltest2.sh # chmod 674 acltest2.sh # setfacl -m u:yue:rwx,g:gacl:rwx acltest2.sh
看看现在的权限,从权限上看,yue,yue2,yue3都对 acltest2.sh文件有写权限.
# getfacl acltest2.sh # file: acltest2.sh # owner: root # group: root user::rw- user:yue:rwx group::rwx group:gacl:rwx mask::rwx other::r--
实际来测试一下
# su - yue $ echo "I'm yue" >>/tmp/acltest/acltest2.sh $ exit logout # su - yue2 $ echo "I'm yue2" >>/tmp/acltest/acltest2.sh $ exit logout # su - yue3 $ # id yue3 $ echo "I'm yue3" >>/tmp/acltest/acltest2.sh $ exit logout # cat acltest2.sh I'm yue I'm yue2 I'm yue3
确实可写.下面来将mask做个更改
# setfacl -m m:r acltest2.sh
然后重复上面的操作.
# su - yue $ echo "I'm yue" >>/tmp/acltest/acltest2.sh -bash: /tmp/acltest/acltest2.sh: Permission denied $ exit logout # su - yue2 $ echo "I'm yue2" >>/tmp/acltest/acltest2.sh -bash: /tmp/acltest/acltest2.sh: Permission denied $ exit logout # su - yue3 $ echo "I'm yue3" >>/tmp/acltest/acltest2.sh -bash: /tmp/acltest/acltest2.sh: Permission denied
额.全都不能写了,来看一下当前的权限
# getfacl acltest2.sh # file: acltest2.sh # owner: root # group: root user::rw- user:yue:rwx #effective:r-- group::rwx #effective:r-- group:gacl:rwx #effective:r-- mask::r-- other::r--
这下知道mask的意思了吧,你给多少权限没有用,关键要看mask,mask有的才生效.
影响范围,除了acl添加的以外,还包括了普通权限中的group位的权限
2.2.2.2 default acl
通过setfacl -m d:rule directory来设置
目标:这个只能作用于目录
时效:当一个已存在的目录,设置了default acl.只对设置了acl权限之后新建的文件或目录有效
效果:如果一个目录设置了default acl,那么目录里面没有设置acl的文件,默认会使用目录的default acl.
我理解的就是 如果你没有想法,就听我的.如果你有,就照你自己的想法办
还是看个例子吧
新建一个文件acltest3.sh
# touch acltest3.sh
然后将工作目录设置上default acl权限
# setfacl -m d:u:yue:rwx /tmp/acltest/ # getfacl /tmp/acltest/ getfacl: Removing leading '/' from absolute path names # file: tmp/acltest/ # owner: root # group: root user::rwx user:yue:rwx group::r-x mask::rwx other::r-x default:user::rwx default:user:yue:rwx default:group::r-x default:mask::rwx default:other::r-x
看看acltest4.sh的权限
# touch acltest4.sh # getfacl acltest4.sh # file: acltest4.sh # owner: root # group: root user::rw- user:yue:rwx #effective:rw- group::r-x #effective:r-- mask::rw- other::r--
看看在赋权之前建的acltest3.sh的权限
# getfacl acltest3.sh # file: acltest3.sh # owner: root # group: root user::rw- group::r-- other::r--
完全不受影响
2.2.3 特殊权限
2.2.3.1 set UID
适用范围: 只适用于binary file
使用前提: 用户对这个binary file有x权限
使用效果: 在这个binary执行过程中,用户将临时获取文件所有者的身份
实例:
[root@CentOS1 ~]# ls -l /usr/bin/passwd -rwsr-xr-x. 1 root root 25980 Feb 22 2012 /usr/bin/passwd
普通用户可能通过这个命令,将设定的密码,写入到只有root可读写的/etc/shadow文件中
2.2.3.2 set GID
作用于binary file时与SUID类似
实例:
[root@CentOS2 ~]# ls -l /usr/bin/locate -rwx--s--x 1 root slocate 35612 Aug 24 2010 /usr/bin/locate [root@CentOS2 ~]# ls -l /var/lib/mlocate/mlocate.db -rw-r----- 1 root slocate 1454406 Nov 11 03:21 /var/lib/mlocate/mlocate.db
作用于目录时,使用者在进入这个目录后,effective group会自动切换成目录的关联群组,当然使用前提是,用户要对这个目录至少要有r-x权限
2.3.3.3 SBIT
sticky bit
适用范围: 只适用于目录
使用前提: 用户对这个目录有rwx权限
使用效果: 用户在这个目录下新建的文件,只有用户本人和root能够删除
实例:
[root@CentOS2 ~]# ls -ld /tmp drwxrwxrwt. 3 root root 4096 Jan 14 16:04 /tmp
设置权限,使用chmod 在常见的三权限前,再加上一位
权限代号
SUID 4
SGID 2
SBIT 1
2.2.4 隐藏权限
隐藏权限的观察
lsattr [option] file... [root@CentOS1 ~]# lsattr /root -------------e- /root/RootDirectorySort.sh -------------e- /root/Public -------------e- /root/inxi.sh -------------e- /root/Music -------------e- /root/script -------------e- /root/anaconda-ks.cfg ...
可以使用chattr来更改这个权限
chattr [options] file...
比较常用的两个选项
a 只能新增内容
i 文件将不能被修改,例如:不能被删除,也不能被重命名,也不能被创建链接,文件内容也不能被更改.