文件权限
1.文件权限:是指对文件的访问权限,包括对文件的读、写、删除、执行。Linux 是一个多用户操作系统,因此 Linux 将一个文件或目录与一个用户和组联系起来。
2.看一个例子
drwxr-xr-x 15 root root 4220 Oct 9 15:20 dev/
与文件权限相关联的是第一、第三、第四个域。第一个域限制了文件的访问权限,第三个域是文件的所有者,第四个域是文件的所属组。在这个例子中,文件的访问权限是 drwxr-xr-x,文件的所有者是 root,所属的组是 root。对于文件和目录,都有这三个权限限制。
3.对于第一个域 d|rwx|r-x|r-x
| d | rwx | r-x | r-x |
|---|---|---|---|
| 文件类型 | owner权限标志 | group权限标志 | other权限标志 |
4.文件类型
| 文件标志 | 文件类型 | 例子 |
|---|---|---|
| - | 普通文件 | 数据文件、纯文本文件、程序 |
| d | 目录 | /dev |
| b | 块设备 | /dev/sda1 |
| c | 字符设备 | /dev/tty1 |
| s | 套接字 | /dev/log |
| p | 命名管道 | 执行命令 sudo find / -type p |
| l | 符号链接 | /dev/rtc -> rtc0 |
5.用户权限
对每个文件或目录都有 4 类不同的用户。每类用户各有一组读、写和执行(搜索)文件的访问权限,这 4 类用户是:
root:系统特权用户类,既 UID = 0 的用户
owner:拥有文件的用户
group:拥有文件的用户组
other:不属于上面 3 类的所有其他用户
root,自动拥有了对所有文件的所有权限,所以没有必要明确指定他们的权限。其他三类用户则需要授权或撤消权限。因此对owner,group,other三类用户,一共9个权限位与之对应,分为3组,每组3个,分别用 r、w、x 来表示,对于例子”drwxr-xr-x”中的rwx|r-x|r-x分别对应 owner、group、other。
6.读,写,执行,r,w,x权限
| 字符形式 | 数字代号 | 文件 | 目录 |
|---|---|---|---|
| r | 4 | 查看文件内容 cat,vi,tail,head,more,less | 列出目录的内容 ls(+x) |
| w | 2 | 修改文件内容 echo a>>a.txt | 创建,删除目录下的文件和子目录mkdir,rm,touch,mv |
| x | 1 | 执行文件 ./a.sh(+r) | 进入目录 cd |
- |0 |没有权限| 没有权限
用户有目录的w权限,则可以创建、删除或修改目录下的任何文件或子目录,即使该文件或子目录属于其他用户。所以说,
(1)根目录/下一般权限设置
drwxr-xr-x 2 root root 4096 Apr 22 2016 root/
group和other只有r和x权限,不能在创建,删除文件
(2)用户目录/home下面一般权限设置
drwxr-xr-x 17 user user 4096 Nov 3 17:53 user/
这个目录下,是用户的目录,owner为文件所属用户user,group为文件所属用户组user,所以本用户owner(rwx)拥有对主目录的所有权限,同时other用户(r-x)只有r和x权限
(3)临时目录/tmp一般权限设置
drwxrwxrwt 13 root root 4096 Nov 3 17:55 tmp/
临时目录是用来临时暂存一些文件的,所以所有用户都具有r,w,x权限,’t’后面会说明意义
(4)所以,自己用户的数据,最好保存在自己的主目录下面。不要什么情况下都去sudo,这样是很危险的
7.修改权限
- 修改文件所有权
- root:root {file or directory}
修改文件或目录的所有者和所属组
chgrp root {file or directory}
修改文件或目录的所属组
作为该文件或者目录的owner用户的普通用户不能将文件或目录的所有权交与他人,只有 root 有这一权限。但是此owner用户有权改变文件或目录的所属组。
- 修改文件访问权限
- 753 {file or directory}
r=4,w=2,x=1;
7=owner=rwx
5=group=r-x
3=other=-wx
chmod a+r,u+w,u+x,g+w {file or directory}
a=owner+group+other
u= owner
g=group
o=other
特殊权限
- SUID 即Set User ID,当s这个标志出现在文件所有者的x权限上时,如/usr/bin/passwd这个文件的权限状态:“-rwsr-xr-x”,此时就被称为SUID。
注意:
- SUID权限仅对二进制程序(binary program)有效
- 执行者对于该程序需要具有x的可执行权限
- 本权限仅在执行该程序的过程中有效(run-time)
- 执行者将具有该程序拥有者(owner)的权限
SUID的目的,让本来没有相应权限的用户运行这个程序时,可以访问他没有权限访问的资源。
例子:passwd执行的过程
系统中的用户密码是保存在/etc/shadow中的,而这个文件的权限(ubuntu)
-rw-r----- 1 root shadow 1180 Oct 27 09:27 /etc/shadow
我们知道,除了root用户能修改密码外,用户自己同样也能修改密码,为什么没有写入权限,还能修改密码,就是因为这个SUID功能。
下面就是passwd这个命令的执行过程
1、因为/usr/bin/passwd的权限对任何的用户都是可以执行的,所以系统中每个用户都可以执行此命令
2、而/usr/bin/passwd这个文件的权限是属于root的
3、当某个用户执行/usr/bin/passwd命令的时候,就拥有了root的权限
4、于是某个用户就可以借助root用户的权限,来修改了/etc/shadow文件了
5、最后,把密码修改成功。
这个SUID只能运行在二进制的程序上(系统中的一些命令),不能用在脚本上(script),因为脚本还是把很多的程序集合到一起来执行,而不是脚本自身在执行。同样,这个SUID也不能放到目录上,放上也是无效的。
2.SGID 即Set Group ID,我们前面讲过,当s这个标志出现在文件所有者的x权限上时,则就被称为SUID。那么把这个s放到文件的所属用户组x位置上的话,就是SGID。
注意:
1、SGID对二进制程序有用;
2、程序执行者对于该程序来说,需具备x的权限;
3、SGID主要用在目录上;
例子: /usr/bin/wall命令
SGID和SUID一样,只是SGID是获得该程序所属用户组的权限。如果用户在此目录下具有w权限的话,若使用者在此目录下建立新文件,则新文件的群组与此目录的群组相同。
3.Sticky Bit
这个就是针对other来设置的了,和上面两个一样,只是功能不同而已。
SBIT(Sticky Bit)目前只针对目录有效,
作用: 当用户在该目录下建立文件或目录时,仅有自己与 root才有权力删除。
最具有代表的就是/tmp目录,任何人都可以在/tmp内增加、修改文件(因为权限全是rwx),但仅有该文件/目录建立者与 root能够删除自己的目录或文件。
这个SBIT对文件不起作用。
4.SUID/SGID/SBIT权限设置
我们前面说的rwx差不多,也有两种方式,一种是以字符,一种是以数字
chmod u+s {binary program}
> SUID 等同于
chmod u+4xxx {binary program}
4 为 SUID = u+s
2 为 SGID = g+s
1 为 SBIT = o+t
当然数字也可以相加,但是必须是符合上面的对文件和目录的限制才会起作用,“-”就是去除某个权限
注意
某些情况下会出现大写的S和T
如果你本来是小的s和t,但是此时去掉了文件或者目录的执行权限,那么
这时候的小s和小t就变成了大S和大T了,因为如果没有了x权限,根据我们上面讲的内容,这个特 殊的权限就相当于一个空的权限,没有意义。也就是说,如果你看到特殊权限位置上变成了大写的了,那么,就说明,这里的权限已经不起作用了。
作者:glowd
原文:https://blog.csdn.net/zengqiang1/article/details/53020853
版权声明:本文为博主原创文章,转载请附上博文链接!
