Linux中一切皆文件

1.使用者与群组

在我的理解,当你登录了一个Linux系统,那么用户就可以分为四类,你自己,你认识的人,陌生人,超级用户.

系统中组的概念,

linux中的组,就像大学里的社团,有两个特征:
组里面的人都是熟人,所以可以对文件进行一些共享.
根据兴趣,目的的不同,一个人可以同时加入多个组.


2.文件权限

2.1 文件的基本权限

2.1.1查看文件基本权限

# ls -l /root
total 80
-rw-------. 1 root root  1411 Oct 26  2013 anaconda-ks.cfg
drwxr-xr-x  2 root root  4096 Apr 12 08:46 Desktop
...以下省略

输出说明:

第一个栏位是 文件类型和权限
第二个栏位是 有多少个文件名,指向这个i-node号
第三个栏位是 这个文件的所有者是谁
第四个栏位是 这个文件相关连的组是哪个
第五个栏位是 文件的大小,单位是byte
第六个栏位是 这个文件内容,最后一次修改是什么时候
第七个栏位是 这个文件的名字

--------------------------------------------------

重点是第一个栏位

drwxr-xr-x

一共十个子栏位
第一个代表的是文件的类型 比较常见的有
- 表示普通文件 比如ASCII码文件 binary文件 data文件(如/var/log/wtmp)
d 表示目录 

l 代表链接文件

c 设备文件的一种,表示字符设备,如键盘,鼠标
b 设备文件的一种,表示块设备,如磁盘
s sockets文件,多用于网络服务 

p pipe文件 也叫FIFO(first-in-first-out),用来避免多个进程同时读取一个文件时产生错误 

----------------------------------------------------------------------------------

后面九个栏位,每三个一组,从左往右,分别代表 文件的所有者的权限 文件关联组的权限 系统中其他用户的权限

rwx 代表的权限分别是 

r read 

w write

x execute 

--------------

2.1.1.1 x权限在目录和文件上的区别

对于x权限,可执行文件与目录是有区别的.

目录也是一种特殊的文件,他里面其实记录了文件名与i-node号的对应关系,类似下面的形式

i-node number                file name
---------------------------------------
130564                        install.log.syslog   
137308                        anaconda-ks.cfg       
...以下省略

如果一个用户,对目录只有r权限,没有x权限.那么,意味着:

    他不能将该目录做为工作目录

    只能读取目录本身的内容.而不能读取目录的扩展内容.下面来看个例子:

使用测试机的/root目录来做这个测试
查看当前目录权限如下,可以看到,其他用户对这个文件夹是没有任何权限的
# ll -d /root
dr-xr-x---. 21 root root 4096 Jul  3 08:17 /root
现在来为该目录添加其他用户可读权限
# chmod o+r /root
# ll -d /root
dr-xr-xr--. 21 root root 4096 Jul  3 08:17 /root
切换到普通用户,并尝试进入/root目录,因权限问题,被拒绝了.
# su - yue
$ id 
uid=500(yue) gid=500(yue) groups=500(yue)
$ cd /root
-bash: cd: /root: Permission denied
再尝试用ls来读取目录内容,可以看到,虽然报了很多权限错误,
但因为yue对这个目录有读权限,系统还是把目录里面的文件和目录给列出来了
$ ls /root
ls: cannot access /root/RootDirectorySort.sh: Permission denied
ls: cannot access /root/Desktop: Permission denied
...以下省略
anaconda-ks.cfg  Documents  etc.tar.gz   install.log.syslog  ks.cfg   Music     Public   
...以下省略
下面我们再用ls -l来看一下目录里文件的具体权限,可以看到,全是一些?号.
因为文件的属性是记录在i-node中的,因为yue没有x权限,
所以没有权限从i-node中读取相应的信息.
$ ls -l /root
ls: cannot access /root/RootDirectorySort.sh: Permission denied
ls: cannot access /root/Desktop: Permission denied
...以下省略
total 0
-????????? ? ? ? ?            ? anaconda-ks.cfg
d????????? ? ? ? ?            ? Desktop
...以下省略
下面我们给其他用户赋上x权限,再来看一下.可以看到,一切问题都不存在了.
# chmod o+x /root
# su - yue
$ cd /root
$ pwd
/root
$ ls
anaconda-ks.cfg  Documents  etc.tar.gz   install.log.syslog  ks.cfg   Music     Public   
...以下省略
$ ls -l
total 8180
-rw-------. 1 root root    1307 Nov  7  2013 anaconda-ks.cfg
drwxr-xr-x  2 root root    4096 Dec  4  2013 Desktop
...以下省略

2.1.1.2 谨慎赋予目录w权限

特别强调一下目录的w权限.对于目录赋予w权限时要特别的小心,下面我们通过一个例子来说明:

还是在/root目录,我们用root来新建一个文件,test.txt
# touch test.txt
可以看到,文件对于其他人来说,只有可读权限.
# ll test.txt 
-rw-r--r-- 1 root root 0 Jul  9 11:10 test.txt
下面我们来给/root目录的其它用户,加上w权限
# chmod o+w /root
# ls -ld /rootdr-xr-xrwx. 21 root root 4096 Jul  9 11:10 /root
# su - yue
$ cd /root
可以看到,yue 对于test.txt文件确实没有写权限.
$ ll test.txt
-rw-r--r-- 1 root root 0 Jul 10 16:54 test.txt
$ echo "test" >> test.txt 
-bash: test.txt: Permission denied
但是...
因为yue用户对目录有w权限,所以,一个普通用户,竟然把root创建的文件给删了.
所以,在给目录赋权时,千万要注意w权限
$ rm -rf test.txt 
$ ls /root/test.txt
ls: cannot access /root/test.txt: No such file or directory

还有不要在生产机上做测试,在测试机上面做了修改,最好也修改回来


2.1.2 文件与目录的默认权限

当你新建一个文件或目录时,你并没有指定具体的权限.但当你查看新建的文件或目录时,发现其实都会被系统赋予一个默认的权限.

这个默认权限,就是通过初始权限与umask值计算出来的.那文件与目录的初始权限是多少呢.

大家都知道,目录与文件是有区别的,体现在权限上时,

对一个文件来说,通常用不到的权限是x权限.所以文件的初始权限就是

rw-rw-rw- 转换成数字权限就是666


对于一个目录来说,x权限往往是必须的.所以目录的初始权限就是

rwxrwxrwx 转换成数字就是777



我们再来看一下系统预设的umask值是多少

# umask
0022



那么文件与目录的 默认权限 = 初始权限 - umask

文件的默认权限就是 666-0022=0644 转换成字符形式 就是 rw-r--r--
目录的默认权限就是 777-0022=0755 转换成字符形式 就是 rwxr-xr-x



下面我们就分别建立一个文件和目录,看看是不是这个样子的

# mkdir /tmp/dir_umask
# ll -d /tmp/dir_umask
drwxr-xr-x. 2 root root 4096 Jul 11 11:12 /tmp/dir_umask



# touch /tmp/dir_umask/file_umask
# ll /tmp/dir_umask/file_umask 
-rw-r--r--. 1 root root 0 Jul 11 11:16 /tmp/dir_umask/file_umask


可以看到确实与我们计算的是一致的


如果要临时更改这个值 可以使用

umask 新的值

如我想将umask更改成222 就可以使用以下命令

# umask 222
# umask
0222



另外,普通用户与root用户的预设umask还是有一点区别的.

# su - yue
$ umask
0002



2.1.3 文件基本权限的增,删,改

文件基本权限的增,删,改都是通过chmod命令来进行的.

基本使用方法如下,我就不举例子了,想了解,可以man或Google

syntax:
chmod [option] rules file...
-R :recursive 递归
rule可以有两种方式来表达
字符方式:
chmod    |    u    |    +(添加)    |    r    |    file_name    |
         |    g    |    -(去除)    |    w    |                 |     
         |    o    |    =(设定)    |    x    |                 |
         |    a    |               |         |                 |
数字方式:
r    |    100    |    4
w    |    010    |    2
x    |    001    |    1




2.2 文件的acl权限

我们来设想这样一种场景,我们一个团队,合作编写一个shell脚本.如设置脚本的权限?

要实现这个场景,可以把团队里面的所有的人加到一个组里,然后把这个shell脚本的关联组设置为这个组,并把权限改为rwx即可.

那现在boss很关心我们的进度,他想来看看这个脚本写到什么情况了.但主机上还有其他项目组的人,肯定不能让他们来阅读我们开发的shell,这个时候,如何设置脚本的权限呢?

所以说,传统的UGO权限是有限制的.这样,我们就引入了ACLs(access control lists)的概念.

2.2.1 文件系统对acl的支持

acl是一个附加功能.能否实现,需要依赖于文件系统的支持.

该功能是在文件系统挂载时指定的.下面我们来看一下,如何查看当前文件系统是否支持acl

# mount
/dev/mapper/vg_centos2-lv_root on / type ext4 (rw)
...以下省略
# dumpe2fs -h /dev/mapper/vg_centos2-lv_root
...省略
Default mount options:    user_xattr acl
...省略

一般情况下(ext4),默认acl支持都是加载的.但如果遇到二般情况,文件系统加载时没有指定acl.我们可以能过

以下的两种方法:

在命令行,直接使用命令挂载.

现有一个lv,/dev/VolGroup/lv_acl,已建好ext2文件系统,现把它挂载到/tmp/acltest下.
先不指定参数看一下.
# mount /dev/VolGroup/lv_acl /tmp/acltest/

# mount
/dev/mapper/VolGroup-lv_root on / type ext4 (rw)
...省略
/dev/sr0 on /media type iso9660 (ro)
/dev/mapper/VolGroup-lv_acl on /tmp/acltest type ext2 (rw)

# ll -d /tmp/acltest/
drwxr-xr-x 3 root root 1024 Jul 11 10:28 /tmp/acltest/

# setfacl -m u:yue:rwx /tmp/acltest/
setfacl: /tmp/acltest/: Operation not supported

我们卸载,再一次,挂载过程中,手工指定acl支持.
# mount -o acl /dev/VolGroup/lv_acl /tmp/acltest/

使用mount命令观察一下
# mount
/dev/mapper/VolGroup-lv_root on / type ext4 (rw)
...以下省略
/dev/sr0 on /media type iso9660 (ro)
/dev/mapper/VolGroup-lv_acl on /tmp/acltest type ext2 (rw,acl)

实际指定一个acl权限,可以看到,ok了.
# setfacl -m u:yue:rwx /tmp/acltest/
# getfacl /tmp/acltest/
getfacl: Removing leading '/' from absolute path names
# file: tmp/acltest/
# owner: root
# group: root
user::rwx
user:yue:rwx
group::r-x
mask::rwx
other::r-x

在/etc/fstab文件中,指定acl支持

把刚才挂载的文件系统卸载
# umount /tmp/acltest/
将挂载信息写到/etc/fstab中
# echo "/dev/VolGroup/lv_acl    /tmp/acltest    ext2    defaults,acl    1 2" >>/etc/fstab
使用mount -a 将/etc/fstab中没有挂载的文件系统全部挂载
# mount -a
# mount
/dev/mapper/VolGroup-lv_root on / type ext4 (rw)
...省略
/dev/sr0 on /media type iso9660 (ro)
/dev/mapper/VolGroup-lv_acl on /tmp/acltest type ext2 (rw,acl)

2.2.2 acl权限的查看

最简单用法如下,其它的用法请自行Google或man

getfacl file

2.2.3 acl权限的增,改,删

acl权限可以针对每一个用户,每一个组来进行设定.也可以设置普通权限的other位的权限

acl权限的增,删,改都使用setfacl命令,只是使用的参数不一样而己

增加,更改都使用-m 选项

setfacl -m rule file

rule可以有以下几种常见的格式.

针对单个用户的:

u:uid:permission

针对单个组:

g:uid:permission

针对并普通权限的other位

o:permission



如果要删除,使用-x选项

setfacl -x rule file


下面来说说,acl里面,两个比较特殊的东西

2.2.2.1 effective right mask

还是通过一个例子来说明.

我有三个用户,yue yue2 yue3 其中两个用户在同一个组gacl yue3和root在同一个组,在root组

# id yue
uid=500(yue) gid=500(yue) groups=500(yue),501(gacl)
# id yue2
uid=501(yue2) gid=502(yue2) groups=502(yue2),501(gacl)
# id yue3
uid=502(yue3) gid=503(yue3) groups=503(yue3),0(root)

我新建一个文件acltest2.sh,设置如下权限

# touch acltest2.sh
# ll acltest2.sh
-rw-r--r--  1 root root     0 Jul 11 15:29 acltest2.sh
# chmod 674 acltest2.sh
# setfacl -m u:yue:rwx,g:gacl:rwx acltest2.sh

看看现在的权限,从权限上看,yue,yue2,yue3都对 acltest2.sh文件有写权限.

# getfacl acltest2.sh 
# file: acltest2.sh
# owner: root
# group: root
user::rw-
user:yue:rwx
group::rwx
group:gacl:rwx
mask::rwx
other::r--

实际来测试一下

# su - yue
$ echo "I'm yue" >>/tmp/acltest/acltest2.sh 
$ exit
logout

# su - yue2
$ echo "I'm yue2" >>/tmp/acltest/acltest2.sh
$ exit
logout

# su - yue3
$ # id yue3
$ echo "I'm yue3" >>/tmp/acltest/acltest2.sh
$ exit
logout

# cat acltest2.sh 
I'm yue
I'm yue2
I'm yue3


确实可写.下面来将mask做个更改

# setfacl -m m:r acltest2.sh

然后重复上面的操作.

# su - yue
$ echo "I'm yue" >>/tmp/acltest/acltest2.sh 
-bash: /tmp/acltest/acltest2.sh: Permission denied
$ exit
logout

# su - yue2
$ echo "I'm yue2" >>/tmp/acltest/acltest2.sh
-bash: /tmp/acltest/acltest2.sh: Permission denied
$ exit
logout

# su - yue3
$ echo "I'm yue3" >>/tmp/acltest/acltest2.sh
-bash: /tmp/acltest/acltest2.sh: Permission denied

额.全都不能写了,来看一下当前的权限

# getfacl acltest2.sh 
# file: acltest2.sh
# owner: root
# group: root
user::rw-
user:yue:rwx #effective:r--
group::rwx #effective:r--
group:gacl:rwx #effective:r--
mask::r--
other::r--

这下知道mask的意思了吧,你给多少权限没有用,关键要看mask,mask有的才生效.

影响范围,除了acl添加的以外,还包括了普通权限中的group位的权限


2.2.2.2 default acl

通过setfacl -m d:rule directory来设置

目标:这个只能作用于目录

时效:当一个已存在的目录,设置了default acl.只对设置了acl权限之后新建的文件或目录有效

效果:如果一个目录设置了default acl,那么目录里面没有设置acl的文件,默认会使用目录的default acl.

我理解的就是 如果你没有想法,就听我的.如果你有,就照你自己的想法办

还是看个例子吧

新建一个文件acltest3.sh

# touch acltest3.sh


然后将工作目录设置上default acl权限

# setfacl -m d:u:yue:rwx /tmp/acltest/
# getfacl /tmp/acltest/
getfacl: Removing leading '/' from absolute path names
# file: tmp/acltest/
# owner: root
# group: root
user::rwx
user:yue:rwx
group::r-x
mask::rwx
other::r-x
default:user::rwx
default:user:yue:rwx
default:group::r-x
default:mask::rwx
default:other::r-x


看看acltest4.sh的权限

# touch acltest4.sh
# getfacl acltest4.sh 
# file: acltest4.sh
# owner: root
# group: root
user::rw-
user:yue:rwx #effective:rw-
group::r-x #effective:r--
mask::rw-
other::r--


看看在赋权之前建的acltest3.sh的权限

# getfacl acltest3.sh
# file: acltest3.sh
# owner: root
# group: root
user::rw-
group::r--
other::r--

 完全不受影响


2.2.3 特殊权限

2.2.3.1 set UID

适用范围: 只适用于binary file

使用前提: 用户对这个binary file有x权限

使用效果: 在这个binary执行过程中,用户将临时获取文件所有者的身份

实例: 

[root@CentOS1 ~]# ls -l /usr/bin/passwd
-rwsr-xr-x. 1 root root 25980 Feb 22 2012 /usr/bin/passwd

普通用户可能通过这个命令,将设定的密码,写入到只有root可读写的/etc/shadow文件中


2.2.3.2 set GID

作用于binary file时与SUID类似

实例:

[root@CentOS2 ~]# ls -l /usr/bin/locate
-rwx--s--x 1 root slocate 35612 Aug 24 2010 /usr/bin/locate

[root@CentOS2 ~]# ls -l /var/lib/mlocate/mlocate.db
-rw-r----- 1 root slocate 1454406 Nov 11 03:21 /var/lib/mlocate/mlocate.db


作用于目录时,使用者在进入这个目录后,effective group会自动切换成目录的关联群组,当然使用前提是,用户要对这个目录至少要有r-x权限


2.3.3.3 SBIT

sticky bit

适用范围: 只适用于目录

使用前提: 用户对这个目录有rwx权限

使用效果: 用户在这个目录下新建的文件,只有用户本人和root能够删除

实例:

[root@CentOS2 ~]# ls -ld /tmp
drwxrwxrwt. 3 root root 4096 Jan 14 16:04 /tmp


设置权限,使用chmod 在常见的三权限前,再加上一位

权限代号

SUID    4

SGID    2

SBIT    1


2.2.4 隐藏权限

隐藏权限的观察

lsattr [option] file...

[root@CentOS1 ~]# lsattr /root
-------------e- /root/RootDirectorySort.sh
-------------e- /root/Public
-------------e- /root/inxi.sh
-------------e- /root/Music
-------------e- /root/script
-------------e- /root/anaconda-ks.cfg
...


可以使用chattr来更改这个权限

chattr [options] file...

比较常用的两个选项

a 只能新增内容

i 文件将不能被修改,例如:不能被删除,也不能被重命名,也不能被创建链接,文件内容也不能被更改.