Linux檔案許可權詳解

hzczichao發表於2010-07-02
一、檔案和目錄許可權概述
透過設定許可權可以從以下三種訪問方式限制訪問許可權:只允許使用者自己訪問;允許一個預先指定的使用者組中的使用者訪問;允許系統中的任何使用者訪問。同時,使用者能夠控制一個給定的檔案或目錄的訪問程度。一個檔案活目錄可能有讀、寫及執行許可權。當建立一個檔案時,系統會自動地賦予檔案所有者讀和寫的許可權,這樣可以允許所有者能夠顯示檔案內容和修改檔案。檔案所有者可以將這些許可權改變為任何他想指定的許可權。一個檔案也許只有讀許可權,禁止任何修改。檔案也可能只有執行許可權,允許它想一個程式一樣執行。
[@more@]

三種不同的使用者型別能夠訪問一個目錄或者檔案:所有著、使用者組或其他使用者。所有者就是建立檔案的使用者,使用者是所有使用者所建立的檔案的所有者,使用者可以允許所在的使用者組能訪問使用者的檔案。通常,使用者都組合成使用者組,例如,某一類或某一專案中的所有使用者都能夠被系統管理員歸為一個使用者組,一個使用者能夠授予所在使用者組的其他成員的檔案訪問許可權。最後,使用者也將自己的檔案向系統內的所有使用者開放,在這種情況下,系統內的所有使用者都能夠訪問使用者的目錄或檔案。在這種意義上,系統內的其他所有使用者就是other使用者類。

每一個使用者都有它自身的讀、寫和執行許可權。第一套許可權控制訪問自己的檔案許可權,即所有者許可權。第二套許可權控制使用者組訪問其中一個使用者的檔案的許可權。第三套許可權控制其他所有使用者訪問一個使用者的檔案的許可權,這三套許可權賦予使用者不同型別(即所有者、使用者組和其他使用者)的讀、寫及執行許可權就構成了一個有9種型別的許可權組。

我們可以用-l引數的ls命令顯示檔案的詳細資訊,其中包括許可權。如下所示:

yekai@kebao:/media/sda5/軟體壓縮/Linux$ ls -lh
總用量 191M
-rwxrwx--- 1 root plugdev 18M 2007-02-28 18:05 ActionCube_v0.92.tar.bz2
-rwxrwx--- 1 root plugdev 60M 2007-04-30 22:52 nexuiz-223.zip
-rwxrwx--- 1 root plugdev 7.4M 2007-04-25 02:16 stardict-oxford-gb-2.4.2.tar.bz2
-rwxrwx--- 1 root plugdev 102M 2007-05-01 18:22 tremulous-1.1.0-installer.x86.run
-rwxrwx--- 1 root plugdev 4.9M 2007-04-30 14:32 wqy-bitmapfont-0.8.1-7_all.deb.bin

當執行ls -l 或 ls -al 命令後顯示的結果中,最前面的第2~10個字元是用來表示許可權。第一個字元一般用來區分檔案和目錄:

d:表示是一個目錄,事實上在ext2fs中,目錄是一個特殊的檔案。

-:表示這是一個普通的檔案。

l: 表示這是一個符號連結檔案,實際上它指向另一個檔案。

b、c:分別表示區塊裝置和其他的外圍裝置,是特殊型別的檔案。

s、p:這些檔案關係到系統的資料結構和管道,通常很少見到。

下面詳細介紹一下許可權的種類和設定許可權的方法。

二、一般許可權
第2~10個字元當中的每3個為一組,左邊三個字元表示所有者許可權,中間3個字元表示與所有者同一組的使用者的許可權,右邊3個字元是其他使用者的許可權。這三個一組共9個字元,代表的意義如下:
r(Read,讀取):對檔案而言,具有讀取檔案內容的許可權;對目錄來說,具有瀏覽目錄的許可權。
w(Write,寫入):對檔案而言,具有新增、修改檔案內容的許可權;對目錄來說,具有刪除、移動目錄內檔案的許可權。
x(eXecute,執行):對檔案而言,具有執行檔案的許可權;對目錄了來說該使用者具有進入目錄的許可權。

-:表示不具有該項許可權。
下面舉例說明:
-rwx------: 檔案所有者對檔案具有讀取、寫入和執行的許可權。
-rwxr―r--: 檔案所有者具有讀、寫與執行的許可權,其他使用者則具有讀取的許可權。
-rw-rw-r-x: 檔案所有者與同組使用者對檔案具有讀寫的許可權,而其他使用者僅具有讀取和執行的許可權。
drwx--x--x: 目錄所有者具有讀寫與進入目錄的許可權,其他使用者近能進入該目錄,卻無法讀取任何資料。
Drwx------: 除了目錄所有者具有完整的許可權之外,其他使用者對該目錄完全沒有任何許可權。

每個使用者都擁有自己的專屬目錄,通常集中放置在/home目錄下,這些專屬目錄的預設許可權為rwx------:

表示目錄所有者本身具有所有許可權,其他使用者無法進入該目錄。執行mkdir命令所建立的目錄,其預設許可權為rwxr-xr-x,使用者可以根據需要修改目錄的許可權。

此外,預設的許可權可用umask命令修改,用法非常簡單,只需執行umask 777 命令,便代表遮蔽所有的許可權,因而之後建立的檔案或目錄,其許可權都變成000,依次類推。通常root帳號搭配umask命令的數值為022、027和 077,普通使用者則是採用002,這樣所產生的許可權依次為755、750、700、775。有關許可權的數字表示法,後面將會詳細說明。

使用者登入系統時,使用者環境就會自動執行rmask命令來決定檔案、目錄的預設許可權。

三、特殊許可權
其實檔案與目錄設定不止這些,還有所謂的特殊許可權。由於特殊許可權會擁有一些“特權”,因而使用者若無特殊需求,不應該啟用這些許可權,避免安全方面出現嚴重漏洞,造成駭客入侵,甚至摧毀系統!!!

s或S(SUID,Set UID):可執行的檔案搭配這個許可權,便能得到特權,任意存取該檔案的所有者能使用的全部系統資源。請注意具備SUID許可權的檔案,駭客經常利用這種許可權,以SUID配上root帳號擁有者,無聲無息地在系統中開扇後門,供日後進出使用。

s或S(SGID,Set GID):設定在檔案上面,其效果與SUID相同,只不過將檔案所有者換成使用者組,該檔案就可以任意存取整個使用者組所能使用的系統資源。

T或T(Sticky):/tmp和 /var/tmp目錄供所有使用者暫時存取檔案,亦即每位使用者皆擁有完整的許可權進入該目錄,去瀏覽、刪除和移動檔案。

因為SUID、SGID、Sticky佔用x的位置來表示,所以在表示上會有大小寫之分。加入同時開啟執行許可權和SUID、SGID、Sticky,則許可權表示字元是小寫的:

-rwsr-sr-t 1 root root 4096 6月 23 08:17 conf

如果關閉執行許可權,則表示字元會變成大寫:

-rwSr-Sr-T 1 root root 4096 6月 23 08:17 conf

四、使用檔案管理器來改變檔案或目錄的許可權:
如果使用者要改變一個檔案目錄的許可權,右擊要改變許可權的檔案或者目錄,在彈出的快捷選單中選擇“屬性”,系統將開啟屬性對話方塊

在“屬性”對話方塊中,單擊“許可權”標籤,就會開啟“許可權”選項卡。

在這裡你可以修改檔案或者目錄的所有者、組群和其他使用者的許可權,而且可以設定特殊許可權

對於特殊許可權,最好不要設定,不然會帶來很嚴重的安全問題。

當然,在這裡你也可以改變檔案和目錄的所有者和所屬組。

五、使用chmod和數字改變檔案或目錄的訪問許可權

檔案和目錄的許可權表示,是用rwx這三個字元來代表所有者、使用者組和其他使用者的許可權。有時候,字元似乎過於麻煩,因此還有另外一種方法是以數字來表示許可權,而且僅需三個數字。

r: 對應數值4

w: 對應數值2

x:對應數值1

-:對應數值0

數字設定的關鍵是mode的取值,一開始許多初學者會被搞糊塗,其實很簡單,我們將rwx看成二進位制數,如果有則有1表示,沒有則有0表示,那麼rwx r-x r- -則可以表示成為:



111 101 100

再將其每三位轉換成為一個十進位制數,就是754。

例如,我們想讓a.txt這個檔案的許可權為:

自己 同組使用者 其他使用者

可讀 是 是 是

可寫 是 是

可執行

那麼,我們先根據上表得到許可權串為:rw-rw-r--,那麼轉換成二進位制數就是110 110 100,再每三位轉換成為一個十進位制數,就得到664,因此我 們執行命令:

[root@localhost ~]# chmod 664 a.txt

按照上面的規則,rwx合起來就是4+2+1=7,一個rwxrwxrwx許可權全開放的檔案,數值表示為777;而完全不開放許可權的檔案“---------”其數字表示為000。下面舉幾個例子:

-rwx------:等於數字表示700。

-rwxr―r--:等於數字表示744。

-rw-rw-r-x:等於數字表示665。

drwx―x―x:等於數字表示711。

drwx------:等於數字表示700。

在文字模式下,可執行chmod命令去改變檔案和目錄的許可權。我們先執行ls -l 看看目錄內的情況:


[root@localhost ~]# ls -l

總用量 368

-rw-r--r-- 1 root root 12172 8月 15 23:18 conkyrc.sample

drwxr-xr-x 2 root root 48 9月 4 16:32 Desktop

-r--r--r-- 1 root root 331844 10月 22 21:08 libfreetype.so.6

drwxr-xr-x 2 root root 48 8月 12 22:25 MyMusic

-rwxr-xr-x 1 root root 9776 11月 5 08:08 net.eth0

-rwxr-xr-x 1 root root 9776 11月 5 08:08 net.eth1

-rwxr-xr-x 1 root root 512 11月 5 08:08 net.lo

drwxr-xr-x 2 root root 48 9月 6 13:06 vmware

可以看到當然檔案conkyrc.sample檔案的許可權是644,然後把這個檔案的許可權改成777。執行下面命令

[root@localhost ~]# chmod 777 conkyrc.sample

然後ls -l看一下執行後的結果:

[root@localhost ~]# ls -l

總用量 368

-rwxrwxrwx 1 root root 12172 8月 15 23:18 conkyrc.sample

drwxr-xr-x 2 root root 48 9月 4 16:32 Desktop

-r--r--r-- 1 root root 331844 10月 22 21:08 libfreetype.so.6

drwxr-xr-x 2 root root 48 8月 12 22:25 MyMusic

-rwxr-xr-x 1 root root 9776 11月 5 08:08 net.eth0

-rwxr-xr-x 1 root root 9776 11月 5 08:08 net.eth1

-rwxr-xr-x 1 root root 512 11月 5 08:08 net.lo

drwxr-xr-x 2 root root 48 9月 6 13:06 vmware

可以看到conkyrc.sample檔案的許可權已經修改為rwxrwxrwx

如果要加上特殊許可權,就必須使用4位數字才能表示。特殊許可權的對應數值為:

s或 S (SUID):對應數值4。

s或 S (SGID):對應數值2。

t或 T :對應數值1。

用同樣的方法修改檔案許可權就可以了

例如:

[root@localhost ~]# chmod 7600 conkyrc.sample

[root@localhost ~]# ls -l

總用量 368

-rwS--S--T 1 root root 12172 8月 15 23:18 conkyrc.sample

drwxr-xr-x 2 root root 48 9月 4 16:32 Desktop

-r--r--r-- 1 root root 331844 10月 22 21:08 libfreetype.so.6

drwxr-xr-x 2 root root 48 8月 12 22:25 MyMusic

-rwxr-xr-x 1 root root 9776 11月 5 08:08 net.eth0

-rwxr-xr-x 1 root root 9776 11月 5 08:08 net.eth1

-rwxr-xr-x 1 root root 512 11月 5 08:08 net.lo

drwxr-xr-x 2 root root 48 9月 6 13:06 vmware

加入想一次修改某個目錄下所有檔案的許可權,包括子目錄中的檔案許可權也要修改,要使用引數-R表示啟動遞迴處理。

例如:

[root@localhost ~]# chmod 777 /home/user 注:僅把/home/user目錄的許可權設定為rwxrwxrwx

[root@localhost ~]# chmod -R 777 /home/user 注:表示將整個/home/user目錄與其中的檔案和子目錄的許可權都設定為rwxrwxrwx

六、使用命令chown改變目錄或檔案的所有權

檔案與目錄不僅可以改變許可權,其所有權及所屬使用者組也能修改,和設定許可權類似,使用者可以透過圖形介面來設定,或執行chown命令來修改。

我們先執行ls -l看看目錄情況:

[root@localhost ~]# ls -l

總用量 368

-rwxrwxrwx 1 root root 12172 8月 15 23:18 conkyrc.sample

drwxr-xr-x 2 root root 48 9月 4 16:32 Desktop

-r--r--r-- 1 root root 331844 10月 22 21:08 libfreetype.so.6

drwxr-xr-x 2 root root 48 8月 12 22:25 MyMusic

-rwxr-xr-x 1 root root 9776 11月 5 08:08 net.eth0

-rwxr-xr-x 1 root root 9776 11月 5 08:08 net.eth1

-rwxr-xr-x 1 root root 512 11月 5 08:08 net.lo

drwxr-xr-x 2 root root 48 9月 6 13:06 vmware

可以看到conkyrc.sample檔案的所屬使用者組為root,所有者為root。

執行下面命令,把conkyrc.sample檔案的所有權轉移到使用者user:

[root@localhost ~]# chown user conkyrc.sample

[root@localhost ~]# ls -l

總用量 368

-rwxrwxrwx 1 user root 12172 8月 15 23:18 conkyrc.sample

drwxr-xr-x 2 root root 48 9月 4 16:32 Desktop

-r--r--r-- 1 root root 331844 10月 22 21:08 libfreetype.so.6

drwxr-xr-x 2 root root 48 8月 12 22:25 MyMusic

-rwxr-xr-x 1 root root 9776 11月 5 08:08 net.eth0

-rwxr-xr-x 1 root root 9776 11月 5 08:08 net.eth1

-rwxr-xr-x 1 root root 512 11月 5 08:08 net.lo

drwxr-xr-x 2 root root 48 9月 6 13:06 vmware

要改變所屬組,可使用下面命令:

[root@localhost ~]# chown :users conkyrc.sample

[root@localhost ~]# ls -l

總用量 368

-rwxrwxrwx 1 user users 12172 8月 15 23:18 conkyrc.sample

drwxr-xr-x 2 root root 48 9月 4 16:32 Desktop

-r--r--r-- 1 root root 331844 10月 22 21:08 libfreetype.so.6

drwxr-xr-x 2 root root 48 8月 12 22:25 MyMusic

-rwxr-xr-x 1 root root 9776 11月 5 08:08 net.eth0

-rwxr-xr-x 1 root root 9776 11月 5 08:08 net.eth1

-rwxr-xr-x 1 root root 512 11月 5 08:08 net.lo

drwxr-xr-x 2 root root 48 9月 6 13:06 vmware

要修改目錄的許可權,使用-R引數就可以了,方法和前面一樣。

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/23595918/viewspace-1034838/,如需轉載,請註明出處,否則將追究法律責任。

相關文章