UNIX环境编程学习笔记（8）——文件I/O之校验当前登录用户对文件的访问权限

通过前面一篇随笔(文件访问权限与进程访问控制),我们知道内核校验文件的访问权限使用的是进程的有效用户 ID 和有效组 ID。但有时我们需要知道当前登录用户对某个文件访问权限。虽然说进程的有效用户 ID 和有效组 ID 通常分别等于当前登录用户 ID 和用户所在组 ID。例如,一个进程可能因设置用户 ID 以另一个用户权限运行,它仍可能想验证当前实际登录的用户是否能否访问一个给定的文件。

access 函数提供了按照实际用户 ID 和实际组 ID 进行访问权限测试的功能。其校验步骤跟之前说的内核校验步骤一致,只是将“有效”改成了“实际”。

#include <unistd.h>

int access(const char *pathname, int mode);

返回值:若成功则返回0,若出错则返回-1.

其中,mode 是表 1 中所列常量的按位或。

表 1: access 函数的 mode 常量,取自 <unistd.h>mode说明R_OK测试读权限W_OK测试写权限X_OK测试执行权限F_OK测试文件是否存在

 

 

例子：

下面程序测试当前登录用户对命令行第一个参数是否具有读权限,然后以只读的方式打开该文件。

#include <stdlib.h>#include <stdio.h>#include <fcntl.h>#include <unistd.h>#include <string.h>#include <errno.h>int   main(int argc, char *argv[]){    if (argc != 2) {        printf("usage: accessdemo <pathname>");        exit(-1);    }    if (access(argv[1], R_OK) < 0) {        printf("access error for %s: %s\n", argv[1], strerror(errno));    } else {        printf("read access OK\n");    }    if (open(argv[1], O_RDONLY) < 0) {        printf("open error for %s: %s\n", argv[1], strerror(errno));    } else {        printf("open for reading OK\n");    }    exit(0);}

编译该程序,生成 accessdemo,然后运行该程序,

 1 lienhua34:demo$ gcc -o accessdemo accessdemo.c 2 lienhua34:demo$ ls -l accessdemo 3 -rwxrwxr-x 1 lienhua34 lienhua34 7400 9月 1 21:29 accessdemo 4 lienhua34:demo$ ./accessdemo accessdemo 5 read access OK 6 open for reading OK 7 lienhua34:demo$ ls -l /etc/shadow 8 -rw-r----- 1 root shadow 1143 4月 6 19:27 /etc/shadow 9 lienhua34:demo$ ./accessdemo /etc/shadow10 access error for /etc/shadow: Permission denied11 open error for /etc/shadow: Permission denied12 lienhua34:demo$ su13 # chown root accessdemo14 # chmod u+s accessdemo15 # ls -l accessdemo16 -rwsrwxr-x 1 root lienhua34 7400 9月 1 21:29 accessdemo17 # exit18 exit19 lienhua34:demo$ ./accessdemo /etc/shadow20 access error for /etc/shadow: Permission denied21 open for reading OK

我们来分析一下上面的运行命令序列及其结果。

1. 起先,文件 accessdemo 的所有者是 lienhua34(当前登录用户),运行./accessdemo acessdemo 时,进程的实际用户和有效用户都是lienhua34,则 access 函数和 open 函数都能够成功。（第1到6行）

2. 文件/etc/shadow 的所有者是 root,且其只允许 root 用户读取。此时运行./accessdemo /etc/shadow,进程的实际用户的有效用户都是 lienhua34,则 access 函数和 open 函数都失败了。（第7到11行）

3. 切换后超级用户 root,将文件 accessdemo 的所有者修改为超级用户root(运行命令chown root accessdemo,并设置文件 accessdemo 的设置用户 ID 位(运行命令chmod u+s accessdemo)。（第12到18行）

4. 切换后当前登录用户 lienhua34,此时运行./accessdemo /etc/shadow,进程的实际用户为 lienhua34,但有效用户为超级用户 root(因文件accessdemo 的所有者为 root 且设置了设置用户 ID 位)。此时 access函数校验当前登录用户 lienhua34 对文件/etc/shadow 读权限失败,但open 函数却能够打开文件/etc/shadow(内核用进程的有效用户 ID进行访问权限校验)。（第19到21行）

(done)