管理Linux文件權限和所有權 (1)

　　為了最有效地利用本系列中的文章，您應該具有基本的 Linux 知識，并需要準備一個 Linux 系統，用于練習本文介紹的命令。有時候不同版本的程序輸出格式不同，因此您所得到的結果未必總是與這里所示的清單和圖相同。
　　用戶和組
　　現在，您了解了 Linux 是一個多用戶的系統，每個用戶屬于一個主要 組，也可能是附加組。也可以作為一個用戶登錄，然后使用 su 或者 sudo -s 命令變為另一個用戶。Linux 的文件所有權和訪問授權是與用戶 id 和組密切相關的，所以我們要復習一下基本的用戶和組信息。
　　我是誰？
　　如果沒有切換到其他用戶，您的 id 就是登錄時的。如果切換到其他用戶，在本文的大多數例子中，您的提示中就會包括您的用戶 id。如果您的提示沒有包括用戶 id，可以使用 whoami 命令來檢查您當前有效的 id。清單 1 顯示了一些例子，說明了提示字符串（來自 PS1 環境變量）與本文中的其他例子不同。在提示字符串中包含您的 id 是一個有用的功能。
　　清單 1. 決定有效的用戶 id
　　/home/ian$ whoami
　　tom
　　/home/ian$ exit
　　exit
　　$ whoami
　　ian
　　我在什么組中？
　　類似的，您可以使用 groups 命令找出您在什么組中。使用 id 命令，您可以找出用戶和組信息。添加一個用戶 id 參數到 groups 或者 id 來查看該用戶 id 的信息，而并非當前用戶 id。查看 清單 2 中的示例。請注意，沒有用戶 id，id 命令也會顯示 SELinux 上下文和基本 id 信息。
　　清單 2. 決策組成員
　　[ian@echidna ~]$ id
　　uid=1000(ian) gid=1000(ian) groups=1000(ian),505(development),8093(editor)
　　context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
　　[ian@echidna ~]$ id ian
　　uid=1000(ian) gid=1000(ian) groups=1000(ian),8093(editor),505(development)
　　[ian@echidna ~]$ groups
　　ian development editor
　　[ian@echidna ~]$ id tom
　　uid=1012(tom) gid=1012(tom) groups=1012(tom),505(development)
　　[ian@echidna ~]$ groups tom
　　tom : tom development
　　[ian@echidna ~]$ su tom
　　Password:
　　[tom@echidna ian]$ groups
　　tom development
　　[tom@echidna ian]$ groups ian
　　ian : ian editor development
　　文件的所有權和權限
　　如果每個用戶都有 id 并且是主要組的成員，那么 Linux 系統上的每個文件都有一個所有者和與其相關的組。
　　普通文件
　　使用 ls -l 命令顯示所有者和組。
　　清單 3. 決定文件所有權
　　[ian@echidna ~]$ ls -l /bin/bash .bashrc helloworld.C
　　-rw-r--r--. 1 ian  ian            124 Mar 31  2010 .bashrc
　　-rwxr-xr-x. 1 root root        943360 May 21  2010 /bin/bash
　　-rw-rw-r--. 1 ian  development    116 Nov 30 10:21 helloworld.C
　　在這個特殊的例子中，用戶 ian 的 .bashrc 文件由他自己所有，并且屬于 ian 的主要組。類似的，/bin/bash 由用戶 root 所有，并且位于組 root。但是，helloworld.C 由用戶 ian 所有，但是屬于組 development。用戶名和組名來自不同的名稱空間，所以給定的名稱可能同時是用戶名和組名。事實上，很多版本默認為每個新用戶創建一個匹配的組。
　　Linux 權限模型每個文件系統對象有 3 種類型。這些權限就是讀（r），寫（w）和執行（x）。寫權限包括修改和刪除對象的能力。此外，這些權限被分別指定給文件所有者、文件組成員和其他人。
　　回到清單 3 第一列，注意，它包括一個 11 個字符的字符串。這第 11 個字符是最近才添加的。我們稍后再討論。第一個字母描述了對象的類型（- 在這個例子中表示普通文件），剩下的 9 個字母每三個字母為一組。第一組表示文件所有者的讀、寫和執行權限。- 表示相應的權限沒有被授予。因此，用戶 ian 就可以讀和寫 .bashrc 文件，但是不能執行它；而 root 可以讀、寫 和 執行 /bin/bash 文件。第二組表示文件組的讀、寫和執行權限。development 組的成員能夠讀或者寫 ian 的 helloworld.C 文件，而其他人只能讀。類似的，root 組中的成員和其他人能夠讀或者執行 /bin/bash 文件。
　　目錄
　　目錄和常規文件一樣使用相同的權限標識，但是它們的翻譯不同。目錄的讀權限允許用戶使用該權限列出目錄內容。寫權限意味著用戶使用該權限能夠在目錄中創建或者刪除文件。執行權限允許用戶輸入目錄并訪問任意子目錄。沒有執行權限，目錄下的文件系統對象就是不可訪問的。沒有讀權限，目錄下的文件系統對象在目錄清單下就是不可見的，但是如果知道磁盤上對象的完整路徑，這些對象仍是可訪問的。清單 4 是說明這些問題的非常人工的例子。
　　清單 4. 權限和目錄
　　[ian@echidna ~]$ ls -l /home
　　total 32
　　drwxr-x---. 38 editor   editor      12288 Nov 30 10:49 editor
　　drwxr-x---.  4 greg     development  4096 Nov 30 12:44 greg
　　drwx------. 21 gretchen gretchen     4096 Nov 30 11:26 gretchen
　　drwxr-xr-x. 41 ian      ian          4096 Nov 30 10:51 ian
　　drwx------. 21 ianadmin ianadmin     4096 May 28  2010 ianadmin
　　d-wx--x--x. 21 tom      tom          4096 Nov 30 11:30 tom
　　[ian@echidna ~]$ ls -a ~greg/.ba*
　　/home/greg/.bash_history  /home/greg/.bash_profile
　　/home/greg/.bash_logout   /home/greg/.bashrc
　　[ian@echidna ~]$ ls -a ~gretchen
　　ls: cannot open directory /home/gretchen: Permission denied
　　[ian@echidna ~]$ ls -a ~tom
　　ls: cannot open directory /home/tom: Permission denied
　　[ian@echidna ~]$ head -n 3 ~tom/.bashrc
　　# .bashrc
　　# Source global definitions
　　長清單的第一個字母表示對象的類型（d 表示目錄）。用戶 greg 的主目錄有 development 組成員的讀和寫權限，因此用戶 tom 和 ian 能夠列出目錄。用戶 gretchen 的主目錄沒有 gretchen 組或者其他用戶的讀和執行權限，所以用戶 ian 不能訪問它。用戶 tom 的主目錄有執行權限，但是沒有讀權限，所以用戶 ian 不能列出內容，但是如果知道對象存在，就可以訪問目錄下的對象。
　　其他文件系統對象
　　ls -l 的輸出可能包含文件系統對象，而不是文件和目錄，如清單中第一個字母所示。在后面的文章中我們還會見到更多，但是現在，只是說明可能的對象類型。
　　表 1. 文件系統對象類型
　　代碼 對象類型
　　- 常規文件
　　d 目錄
　　l 符號鏈接
　　c 字符特殊設備
　　b 模塊特殊設備
　　p FIFO
　　s 套接字
　　第 11 個字符
　　來自 ls 命令中長清單的第 11 個字符是最近才出現的，所以部分版本仍只顯示頭 10 個字符。在其他情況下，第 11 個字符是一個空格，所以您可能沒有注意到。這個字符表示是否有替換的訪問方法應用到文件。當跟隨文件模式位的字符是空格時，就表示沒有替換訪問方法。當是一個可打印字符時，就有替換方法。這個方法可能是例子的訪問控制清單。GNU ls 使用一個 ‘.’（點）來表示文件只有一個 SELinux 安全上下文。有其他替換訪問方法的文件用 ‘+’（加號）表示。
　　變更權限
　　添加權限
　　假設您創建一個 “Hello world” 的 shell 腳本。當您第一次創建腳本時，它通常是不可執行的。使用 chmod 命令和 +x 選項添加執行權限，如清單 5 所示。
　　清單 5. 創建可執行的 shell 腳本
　　[ian@echidna ~]$ echo 'echo "Hello world!"'>hello.sh
　　[ian@echidna ~]$ ls -l hello.sh
　　-rw-rw-r--. 1 ian ian 20 Nov 30 13:05 hello.sh
　　[ian@echidna ~]$ ./hello.sh
　　bash: ./hello.sh: Permission denied
　　[ian@echidna ~]$ chmod +x hello.sh
　　[ian@echidna ~]$ ./hello.sh
　　Hello world!
　　[ian@echidna ~]$ ls -l hello.sh
　　-rwxrwxr-x. 1 ian ian 20 Nov 30 13:05 hello.sh
　　您可以按類似的方法使用 +r 來設置讀權限，使用 +w 設置寫權限。事實上，您可以聯合使用 r、w 和 x。例如，使用 chmod +rwx 將會設置文件的所有讀、寫和執行權限。chmod 會添加尚未設置的權限。
　　可選性
　　您在上面的例子中可能已經注意到，執行權限被設置給所有者、組 和 其他。為了更具可選性，您可以給模式描述加前綴 u 來設置用戶權限，g 來設置組權限，還有 o 為其他人設置。需要指出的是 a 設置所有用戶的權限，這就相當于忽略它。清單 6 顯示了如何添加用戶和組寫和執行權限到 shell 腳本的其他副本。
　　清單 6. 有選擇性地添加權限
　　[ian@echidna ~]$ echo 'echo "Hello world!"'>hello2.sh
　　[ian@echidna ~]$ chmod ug+xw hello2.sh
　　[ian@echidna ~]$ ls -l hello2.sh
　　-rwxrwxr--. 1 ian ian 20 Nov 30 13:08 hello2.sh
　　刪除權限
　　有時您需要刪除權限，而不單單是添加。簡單地將 + 改變為 -，就能刪除任何已設置的指定權限。清單 7 顯示了如何刪除兩個 shell 腳本上的其他用戶的所有權限。
　　清單 7. 刪除權限
　　[ian@echidna ~]$ ls -l hello*.sh
　　-rwxrwxr--. 1 ian ian 20 Nov 30 13:08 hello2.sh
　　-rwxrwxr-x. 1 ian ian 20 Nov 30 13:05 hello.sh
　　[ian@echidna ~]$ chmod o-xrw hello*.sh
　　[ian@echidna ~]$ ls -l hello*.sh
　　-rwxrwx---. 1 ian ian 20 Nov 30 13:08 hello2.sh
　　-rwxrwx---. 1 ian ian 20 Nov 30 13:05 hello.sh
　　請注意，您可以一次改變一個或者多個文件的權限。正如在 topic 103 的文章中看到其他命令一樣，您甚至可以使用 -R（或者 --recursive）選項在目錄和文件上進行遞歸操作。
　　設置權限
　　現在已經可以添加或者刪除權限了，您可能會想，怎樣才能只設置一些特殊權限。使用 = 替換 + 或者 - 來完成這個動作。要在上述腳本中設置權限，這樣其他用戶就沒有訪問權利，您可以使用 chmod o= hello* 替換我們用于刪除權限的命令。
　　如果您想對用戶、組合或其他設置不同的權限，您可以通過逗號分隔不同的表達；例如，ug=rwx,o=rx，或者您可以使用稍后提到的數字權限。
　　八進制權限
　　目前為止，您都是使用符號（ugoa 和 rxw）來指定權限。每組中有三個可能的權限。您還可以使用八進制取代符號設置權限。按這種方法設置的權限使用高達 4 位八進制數字。討論屬性時，我們會查看第 1 個數字。第 2 個數字定義了用戶權限，第 3 個是組權限，第 4 個是其他權限。這三個數字中的每一個都通過添加所需的權限設置來構建：讀（4），寫（2）和執行（1）。在 清單 5 中的 hello.sh 例子中，創建的腳本有權限 -rw-r--r--，相當于八進制 644。設置每個人的執行權限將模式改為 755。
　　當您想要一次設置所有權限，而不給予每個組相同權限時，設置使用數字權限非常方便。使用 表 2 作為一個方便的八進制權限參考。
　　表 2. 數字權限
　　符號 八進制
　　rwx 7
　　rw- 6
　　r-x 5
　　r-- 4
　　-wx 3
　　-w- 2
　　--x 1
　　--- 0
　　suid 和 sgid
　　Linux 權限模型有兩個特殊的訪問模式，名為 suid（設置用戶 id）和 sgid（設置組 id）。當可執行的程序設置為 suid 訪問模式，它就會開始運行，好像是由文件所有者啟動而不是由真正啟動它的用戶啟動。類似的，設置為 sgid 訪問模式，程序就會運行，好像啟動用戶屬于文件組，而不屬于他所有的組。可以單獨或者同時設置兩個訪問模式。
　　清單 8 顯示了可執行的 passwd 由 root 所有：
　　清單 8. /usr/bin/

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]