在Linux中�����,Linux文件權(quán)限一共分為三種。本文將向讀者展示如何正確配置Linux文件權(quán)限��。
三種特殊權(quán)限簡介
SUID
當一個設(shè)置了SUID 位的可執(zhí)行文件被執(zhí)行時,該文件將以所有者的身份運行���,也就是說無論誰來執(zhí)行這個文件��,他都有文件所有者的特權(quán)�����。
如果所有者是 root 的話�����,那么執(zhí)行人就有超級用戶的特權(quán)了��。
SGID
當一個設(shè)置了SGID 位的可執(zhí)行文件運行時�����,該文件將具有所屬組的特權(quán)���, 任意存取整個組所能使用的系統(tǒng)資源。
若一個目錄設(shè)置了SGID��,則所有被復(fù)制到這個目錄下的文件�, 其所屬的組都會被重設(shè)為和這個目錄一樣���,除非在復(fù)制文件時加上-p (preserve,保留文件屬性)的參數(shù)����,才能保留原來所屬的群組設(shè)置。
sticky-bit
對一個文件設(shè)置了sticky-bit之后�����,盡管其他用戶有寫權(quán)限���, 也必須由屬主執(zhí)行刪除��、移動等操作����。
對一個目錄設(shè)置了sticky-bit之后�����,存放在該目錄的文件僅準許其屬主執(zhí)行刪除��、 移動等操作��。
特殊權(quán)限的數(shù)值表示
三種特殊權(quán)限可以用單獨的一位8進制數(shù)值表示
SUID����、SGID和sticky-bit的數(shù)值表示
SUID SGID sticky 二進制 八進制 說明
- - - 000 0 不設(shè)置特殊權(quán)限
- - t 001 1 只設(shè)置sticky
- s - 010 2 只設(shè)置SGID
- s t 011 3 只設(shè)置SGID和sticky
s - - 100 4 只設(shè)置SUID
s - t 101 5 只設(shè)置SUID和sticky
s s - 110 6 只設(shè)置SUID和SGID
s s t 111 7 設(shè)置三種特殊權(quán)限
我們知道了文件的權(quán)限可以用三個八進制數(shù)字表示。其實文件的權(quán)限應(yīng)該用四個八進制來表示��,不過用 ls -l 命令時�,只顯示三個罷了。那個沒有顯示的八進制數(shù)字其實是第一個���,它用來設(shè)定一些特殊權(quán)限����。這個八進制數(shù)字的三個位是:
SUID SGID sticky-bit
它們的含義是:
SUID
當設(shè)置了SUID 位的文件被執(zhí)行時����,該文件將以所有者的身份運行,也就是說無論誰來執(zhí)行這個文件���,他都有文件所有者的特權(quán)���。如果所有者是 root 的話,那么執(zhí)行人就有超級用戶的特權(quán)了��。這時該位將變成一個安全漏洞,因此不要輕易設(shè)置該位����。
SGID
與上面的內(nèi)容類似。文件運行時���,運行者將具有所屬組的特權(quán)���。
sticky-bit
sticky 位要求操作系統(tǒng)既是在可執(zhí)行程序退出后,仍要在內(nèi)存中保留該程序的映象����。這樣做是為了節(jié)省大型程序的啟動時間。但是會占用系統(tǒng)資源����。因此設(shè)置該位,不如把程序?qū)懞谩?/p>
set uid �����;set gid����;sticky bit區(qū)別
每一個文件有所有者及組編號��,set uid ����;set gid可以改變用戶對文件具有的權(quán)限:寫和執(zhí)行.
setuid: 在執(zhí)行時具有文件所有者的權(quán)限.
setgid: 設(shè)置目錄. 一個目錄被標上setgid位,此目錄下創(chuàng)建的文件繼承該目錄的屬性.
sticky bit: 該位可以理解為防刪除位. 設(shè)置sticky bit位后��,就算用戶對目錄具有寫權(quán)限��,但也只能添加文件而不能刪除文件���。
如何設(shè)置:
操作這些標志與操作文件權(quán)限的命令是一樣的, 都是 chmod. 有兩種方法來操作,
1) chmod u+s temp -- 為temp文件加上setuid標志. (setuid 只對文件有效,U=用戶)
chmod g+s tempdir -- 為tempdir目錄加上setgid標志 (setgid 只對目錄有效���,g=組名)
chmod o+t temp -- 為temp文件加上sticky標志 (sticky只對文件有效)
2) 采用八進制方式. 這一組八進制數(shù)字三位的意義如下,
abc
a - setuid位, 如果該位為1, 則表示設(shè)置setuid
b - setgid位, 如果該位為1, 則表示設(shè)置setgid
c - sticky位, 如果該位為1, 則表示設(shè)置sticky
設(shè)置后, 可以用 ls -l 來查看. 如果本來在該位上有x, 則這些特殊標志顯示為小寫字母 (s, s, t). 否則, 顯示為大寫字母 (S, S, T)
如:
rwsrw-r-- 表示有setuid標志 (rwxrw-r--:rwsrw-r--)
rwxrwsrw- 表示有setgid標志 (rwxrwxrw-:rwxrwsrw-)
rwxrw-rwt 表示有sticky標志 (rwxrw-rwx:rwxrw-rwt)
理解文件權(quán)限
所謂的文件權(quán)限�����,是指對文件的訪問權(quán)限�����,包括對文件的讀�、寫、刪除��、執(zhí)行����。Linux 是一個多用戶操作系統(tǒng),它允許多個用戶同時登錄和工作���。因此 Linux 將一個文件或目錄與一個用戶和組聯(lián)系起來��。請看下面的例子:
drwxr-xr-x 5 root root 1024 Sep 13 03:27 Desktop
與文件權(quán)限相關(guān)聯(lián)的是第一����、第三�����、第四個域����。第三個域是文件的所有者,第四個域是文件的所屬組��,而第一個域則限制了文件的訪問權(quán)限����。在這個例子中�,
文件的所有者是 root���,所屬的組是 root�,文件的訪問權(quán)限是
drwxr-xr-x�����。對于文件和目錄講����,每個文件和目錄都有一組權(quán)限標志和它們結(jié)合在一起��,在上例中就是第一個域中的內(nèi)容����。下面來仔細分析這個域中各個
符號的意義:
該域由 10 個字符組成,可以把它們分為四組�,具體含義分別是:
d rwx r-x r-x
文件類型 所有者權(quán)限標志 組權(quán)限標志 其他用戶權(quán)限標志
其中:
文件類型:第一個字符。由于 Linux 系統(tǒng)對與設(shè)備�����、目錄、文件都當作是文件來處理��,因此該字符表明此文件的類型�,字符與對應(yīng)的意義如下表: 文件標志
文件類型
例子
-
普通文件
數(shù)據(jù)文件、
ASCII 純文本文件���、程序
d
目錄
/bin
b
塊設(shè)備
/dev/hda(第一個 IDE 硬盤)
c
字符設(shè)備
/dev/ttyS1(與 DOS 種的串口 2 等同)
s
套接字
/dev/log
p
命名管道
/dev/initctl(與“|”等同)
l
符號鏈接
/dev/modem->/dev/ttyS1
權(quán)限標志:
對每個文件或目錄都有 4 類不同的用戶�����。每類用戶各有一組讀��、寫和執(zhí)行(搜索)文件的訪問權(quán)限�����,這 4 類用戶是:
root:系統(tǒng)特權(quán)用戶類�����,既 UID = 0 的用戶�����。
owner:擁有文件的用戶��。
group:共享文件的組訪問權(quán)限的用戶類的用戶組名稱�。
world:不屬于上面 3 類的所有其他用戶。
作為
root����,他們自動擁有了所有文件和目錄的全面的讀、寫和搜索的權(quán)限���,所以沒有必要明確指定他們的權(quán)限����。其他三類用戶則可以在耽擱文件或者目錄的基礎(chǔ)上別
授權(quán)或撤消權(quán)限�����。因此對另外三類用戶�����,一共 9 個權(quán)限位與之對應(yīng)�,分為 3 組��,每組 3 個��,分別用 r、w����、x 來表示,分別對應(yīng)
owner�����、group�����、world�����。
權(quán)限位對于文件和目錄的含義有些許不同�。每組 3
個字符對應(yīng)的含義從左至右的順序,對于文件來說是:讀文件的內(nèi)容(r)��、寫數(shù)據(jù)到文件(w)����、做為命令執(zhí)行該文件(x)。對于目錄來說是:讀包含在目錄中
的文件名稱(r)����、寫信息到目錄中去(增加和刪除索引點的連接)���、搜索目錄(能用該目錄名稱作為路徑名去訪問它所包含的文件或子目錄)。具體來說就是:
1. 有只讀權(quán)限的用戶不能用 cd 進入該目錄�����;還必須有執(zhí)行權(quán)限才能進入����。
2. 有執(zhí)行權(quán)限的用戶只有在知道文件名并擁有該文件的讀權(quán)限的情況下才可以訪問目錄下的文件。
3. 必須有讀和執(zhí)行權(quán)限才可以使用 ls 列出目錄清單����,或使用 cd 進入目錄。
4. 如用戶有目錄的寫權(quán)限��,則可以創(chuàng)建����、刪除或修改目錄下的任何文件或子目錄��,既是該文件或子目錄屬于其他用戶�����。
修改文件權(quán)限
首先講修改文件的所有權(quán),使用 chown 和 chgrp 命令:
chown new_user file or directory:修改文件或目錄的所有者��。
chgrp new_group file or directory:修改文件或目錄的所屬組��。
這里需要注意的是:普通用戶不能將文件或目錄的所有權(quán)交與他人�,只有 root 有這一權(quán)限。但是普通用戶有權(quán)改變文件或目錄的所屬組�。
由于每類用戶的權(quán)限都是由 rwx
三位組成,因此可以用三個八進制數(shù)字表示文件的訪問權(quán)��。一個八進制數(shù)字可以用三個二進制數(shù)字表示����,那么與其對應(yīng),權(quán)值為 4 的位對應(yīng) r�����,權(quán)值為 2
的位對應(yīng) w��,權(quán)值為 1 的位對應(yīng) x��。對于一類用戶���,將這三位與其對應(yīng)的權(quán)值相乘求和���,就可以得出對該類用戶的訪問權(quán)限�。
改變文件訪問權(quán)限的命令是 chmod����,格式是:
chmod permission file_name
比如 chmod 764 a.txt,它表示對于文件的所有者,具有對該文件讀����、寫、執(zhí)行的權(quán)限����。對于文件所屬組的用戶,擁有讀��、寫的權(quán)限�����。對于其他用戶��,只有讀權(quán)限��。
這里需要注意的是:文件的創(chuàng)建者是唯一可以修改該文件訪問權(quán)限的普通用戶���,另外一個可以修改文件訪問權(quán)限的用戶是 root�。
還有一種表示方法�����,就是用字符串來設(shè)定文件訪問權(quán)限��。其中讀用 r 表示����,寫用 w 表示,執(zhí)行用 x 表示���;所有者用 u 表示����,組用戶用 g 表示����,其他用戶用 o 表示,所有用戶用 a 表示。
