解析Linux中的文件基本權(quán)限

1、文件的權(quán)限
1.1 文件的基本權(quán)限
rwx分別對應(yīng)文件的讀權(quán)限、寫權(quán)限和可執(zhí)行權(quán)限，然而，對于目錄來說，這三種權(quán)限有不同的含義。目錄的讀權(quán)限允許讀取目錄中文件和子目錄的列表，目錄的寫權(quán)限允許在目錄中創(chuàng)建或刪除文件或目錄，目錄的可執(zhí)行權(quán)限指明是否可以訪問目錄中的文件和子目錄。
1.2 setuid、setgid和sticky bit
實際上，除了最基本的讀、寫和執(zhí)行權(quán)限之外，Linux中還有setuid、setgid和sticky bit等三種權(quán)限。下面分別解釋這三種權(quán)限。
1.2.1 setuid權(quán)限
setuid可以設(shè)置使文件在執(zhí)行階段具有文件所有者的權(quán)限。setuid屬性出往往用用戶權(quán)限的第三個字符表示：如果用戶權(quán)限的第三個字符是s，則表示該文件的屬主對該文件有可執(zhí)行權(quán)限的同時，該文件還有setuid權(quán)限;如果用戶權(quán)限的第三個字符是S，則表示該文件的屬主對該文件沒有可執(zhí)行權(quán)限，但是該文件有setuid權(quán)限(實際上，從下文也可一看出，這種情況，沒有可執(zhí)行權(quán)限只有setuid權(quán)限無任何意義)。setuid權(quán)限允許用戶以其文件擁有者的權(quán)限來執(zhí)行可執(zhí)行文件，即使這個可執(zhí)行文件是由其他用戶運行的。從下面的例子中可以看出setuid權(quán)限的意思。
Linux中的密碼通常是保存在"/etc/paswd"和"/etc/shadow"文件中，這兩個文件對系統(tǒng)安全至關(guān)重要，因此只有Root用戶才能對其執(zhí)行讀寫操作。以管理員的身份登陸系統(tǒng)，在Linux提示符下執(zhí)行"ls /etc/passwd /etc/shadow"命令，在返回信息中可以看到普通用戶對上述這兩個文件并沒有寫權(quán)限，因此從文件屬性的角度看，普通用戶在更改自身密碼時，是無法將密碼信息寫入到上述文件中的，哪么用戶是怎樣成功的更改密碼的呢?實際上，問題的關(guān)鍵不在于密碼文件本身，而在于密碼更改命令"passwd"。在提示符下執(zhí)行命令"ls /usr/bin/passwd"，在返回信息中的文件所有者執(zhí)行權(quán)限位上顯示"s"字樣，表示"passwd"命令具setuid權(quán)限，其所有者為root，這樣普通用戶在執(zhí)行"passwd"命令時，實際上以有效用戶root的身份來執(zhí)行的，并具有了相應(yīng)的權(quán)限(包括讀寫passwd和shadow文件的權(quán)限)，從而將新的密碼寫入到"/etc/passwd"和"/etc/shadow"文件中，當(dāng)命令執(zhí)行完畢，該用戶的身份立即消失。這樣，通過setuid權(quán)限，普通用戶在執(zhí)行passwd程序時，也能獲得passwd程序?qū)僦?root)一樣的權(quán)限(也可以對文件passwd和shadow進行讀寫)。這樣，普通用戶也可以通過passwd工具來修改自身密碼。
1.2.2 setgid權(quán)限
setgid權(quán)限的含義和setuid類似，它允許用戶以其擁有者所在的組的權(quán)限來執(zhí)行可執(zhí)行文件。setgid屬性往往用用戶組權(quán)限的第三個字符表示：如果用戶權(quán)限的第三個字符是s，則表示該文件的屬主對該文件有可執(zhí)行權(quán)限的同時，該文件還有setgid權(quán)限;如果用戶組權(quán)限的第三個字符是S，則表示該文件的屬主對該文件沒有可執(zhí)行權(quán)限，但是該文件有setgid權(quán)限(實際上，從下文也可一看出，這種情況，沒有可執(zhí)行權(quán)限只有setuid權(quán)限無任何意義)。setgid權(quán)限允許用戶以其文件擁有者所在組的權(quán)限來執(zhí)行可執(zhí)行文件，即使這個可執(zhí)行文件是由其他用戶運行的。
1.2.3 sticky bit
sticky-bit之后，盡管其他用戶有寫權(quán)限， 也必須由屬主執(zhí)行刪除、移動等操作。對一個目錄設(shè)置了sticky-bit之后，存放在該目錄的文件僅準許其屬主執(zhí)行刪除、 移動等操作。
sticky bit出現(xiàn)在其他用戶權(quán)限中的執(zhí)行權(quán)限(x)位置，使用t或T表示。t表示既有可執(zhí)行權(quán)限，又設(shè)置了sticky bit，T表示只設(shè)置了sticky bit而沒有設(shè)置可執(zhí)行權(quán)限。
2、管理文件權(quán)限
2.1 設(shè)置基本權(quán)限
2.1.1 用助記符的方式設(shè)置文件基本權(quán)限
可以采用"chmod u=rwx g=rw o=r filename"來設(shè)置文件的權(quán)限。其中u代表用戶的權(quán)限，g代表用戶所帶組的權(quán)限，o代表其它用戶的權(quán)限。如果要添加權(quán)限可以"chmod a+x filename"(給所有的用戶添加可執(zhí)行權(quán)限)，"chmod o+x filename"給其他用戶增加可執(zhí)行權(quán)限。如果要刪除相應(yīng)的權(quán)限，可以"chmod a-x filename"(刪除所有用戶的可執(zhí)行權(quán)限)。
2.1.2 用八進制數(shù)的方式設(shè)置文件的基本權(quán)限
也可以采用八進制數(shù)的形式。讀、寫和執(zhí)行權(quán)限都有與之對應(yīng)的唯一的8進制數(shù)：r(4)，w(2)，x(1)。我們可以將權(quán)限序列的八進制值相加來獲得所需的權(quán)限組合：rwx(4+2+1=7)，rw-(4+2=6)，r-x(4+1=5)等。因此，用8進制設(shè)置權(quán)限的命令為"chmod 765 filename"。
2.2 設(shè)置setuid，setgid和sticky bit
2.2.1 用助記符的方式
chmod u +s temp -- 為temp文件加上setuid標志
chmod g +s tempdir -- 為tempdir目錄加上setgid標志
chmod o +t temp -- 為temp文件加上sticky標志
2.2.2 采用八進制方式
對一般文件通過三組八進制數(shù)字來置標志， 如 666， 777， 644等. 如果設(shè)置這些特殊標志， 則在這組數(shù)字之外外加一組八進制數(shù)字. 如 4666， 2777等. 這一組八進制數(shù)字三位的意義如下：
abc
a - setuid位， 如果該位為1， 則表示設(shè)置setuid 4xxx
b - setgid位， 如果該位為1， 則表示設(shè)置setgid 2xxx
c - sticky位， 如果該位為1， 則表示設(shè)置sticky 1xxx
設(shè)置完這些標志后， 可以用 ls -l 來查看. 如果有這些標志， 則會在原來的執(zhí)行標志位置上顯示. 如
rwsrw-r-- 表示有setuid標志
rwxrwsrw- 表示有setgid標志
rwxrw-rwt 表示有sticky標志
對于setuid，setgid和sticky bit，如果表示這寫權(quán)限的位上本來有x， 則這些特殊標志顯示為小寫字母 (s， s， t);若無執(zhí)行權(quán)限則顯示為大寫字母(S， S， T)。
3、其它
文件的權(quán)限是為了使用的安全性和方便性而設(shè)置的，了解這寫權(quán)限的含義能是我們更加方便的使用Linux，防制由于文件權(quán)限管理不善而帶來的安全問題。實際上，在設(shè)置文件的權(quán)限時，應(yīng)該慎重考慮，尤其是在使用setuid、setgid和sticky bit等權(quán)限的時候。
騰佑科技是一家互聯(lián)網(wǎng)業(yè)務(wù)平臺服務(wù)提供商,是知識和技術(shù)密集型的高新技術(shù)企業(yè).公司主要向客戶提供內(nèi)容分發(fā)與加速、服務(wù)器托管、服務(wù)器租用等互聯(lián)網(wǎng)業(yè)務(wù)平臺解決方案,是國內(nèi)最早開展IDC和CDN業(yè)務(wù)的廠商之一。
騰佑科技作為國內(nèi)頂級互聯(lián)網(wǎng)基礎(chǔ)應(yīng)用服務(wù)提供商，有自己的自主機房和產(chǎn)權(quán)，擁有雙線服務(wù)器，擁有大型的機房三座，順應(yīng)時代發(fā)展和客戶需求，在服務(wù)器托管和服務(wù)器租用方面，具備多項優(yōu)勢，特別適用于對網(wǎng)站運行質(zhì)量有較高要求的用戶。而且有自己成熟的虛擬化技術(shù)，推出了綠谷云云主機平臺，經(jīng)過一部分客戶的試用，贏得了一致好評。歡迎廣大客戶前來選購。
由mubashirfilms.com提供