*nix与Windows文件权限控制差异

Unix操作系统在文件权限控制上，跟Windows操作系统上还是有比较大的差异。简单的来说，Unix的文件权限控制要比Windows操作系统复杂的多。虽然其维护起来具有一定的难度，但是这也保证了Unix操作系统的文件控制要比Windows操作系统的文件控制安全的多。下面笔者就对两个操作系统在文件权限控制上的差异做一些分析。如果有说得不对的地方，还请大家多多批评改正。

　　如下图，无论是微软操作系统还是Unix操作系统，其权限控制的基本模型就如下图所示。不过他们在具体的实现上有很大的差异。

　　差异一：文件执行权限上的差异分析。

　　假设现在有用户A，其在Unix操作系统上建立了一个文件text。通常情况下，这个用户A就是文件text的所有者。所有权这对文件具有完全控制的权限，即具有读、写、执行的权限。而在Windos操作系统下，则没有控制的这么严格。在Windows下其权限只有读、写的控制，而没有细化到执行的权限。这就是两个操作系统在文件权限控制上的一个重要差异。Unix在对文件专门进行了执行权限的控制，这对于Unix操作系统的安全性具有很大的帮助。如现在有一个程序开发小组，其成员包括用户A与用户B。他们在开发一个磁盘清理的程序。为了安全起见，这个脚本文件当然不能够随意执行。不然的话很可能会造成磁盘文件意外删除的。为此用户A就可以控制，用户B可以查看或者编辑这个脚本文件，但是不能够执行。要测试的话，必须有用户A来进行。这就可以保障这个脚本文件不会被未经授权的用户执行。但是在Windows系统下就没有这方面的控制。

　　差异二：相同的组不同的用户具有不同的权限。

　　在Unix系统中，即使相同组的用户，默认情况下其对于文件的权限也是不同的。如现在一个组其有用户A与用户B。现在用户A创建了一个test文件。默认情况下用户A与用户B对这个文件具有不同的权限。如用户A对这个文件具有读、写、执行的权限。但是用户B对这个文件则只有读写的权限。但是在Windows系统下，则这方面不是这么控制的。在默认情况下，Windows操作系统下同一个组的用户往往具有相同的权限。

　　在Unix系统中，默认情况下组具有文件的读、写权限。文件所有者自有一组组权限，它优先于用户组的组权限。当用户放弃了文件的所有权之后(如把文件的所有权转移给了其他用户)，则其就会自动继承用户组的组权限。如果现在这个组中的用户A已经创建了一个文件text。那么后来加入到这个组中的用户，也对这个文件具有读写的权限。不过要注意，没有执行权限。也就是说，通常情况下只有root帐户与文件的所有权者对文件具有执行权限。其他的用户都不具有这个权限。当然文件的所有者人与root帐户可以把这个文件执行权限赋予给其他人。这里要注意，只有文件的所有权人与root帐户才可以更改文件的权限，其他用户都不可以。这也是笔者下面要谈到的两个系统的第三个差异。

　　差异三：谁可以更改文件的权限。

　　在Windows操作系统中，往往只要对这个文件具有写权限的人就可以这个文件的权限。如用户A创建了一个文件。同时他允许用户B对这个文件具有完全控制权限。那么这个用户B就可以修改用户的权限，如用户B可以让其他组的用户也可以修改这个文件。显然这会给文件带来一定的安全隐患。

　　在Unix操作系统上，这个权限控制就相对安全一点。因为通常情况下，只有文件的所有权人与root帐户才能够修改文件的权限。如现在用户A创建了一个text文件。默认情况下用户A具有这个文件的读写执行的全部权限。而同一个组的用户具有这个文件的读写权限。注意即使用户B具有文件test的写权限，其仍然不能够变更这个文件的权限。如把这个文件的读权限赋予给其他没有这个读权限的用户。或者说把其他用户的写权限取消掉等等，都是不行的。即使用户A给了用户B读、写、执行等文件的全部权限，用户B也不能够更改这个文件的权限，或者把权限赋予给其他用户。简单的说，无论其他用户是否对文件具有完全控制权限，只有root 用户与文件的所有权者才能够更改文件的权限。这是Unix系统的一个强制限制。

　　另外需要说明的是，在Unix系统下文件权限包括三方面的内容，即所有权者权限、同组其他成员的权限、组用户的权限。默认情况下，所有权者对文件具有读写二个权限。同组其他成员与组用户都有读写文件的权限。不同的Unix版本在这方面可能也有所差异。如有的Unix版本的操作系统，组用户与其他成员的权限只有读，而没有写。也就是说，后面有用户加入到这个组，则这用户对原有的文件也只有读的权限。也就是说，文件或者目录创建之后，系统会自动赋予他们一组默认的权限。这组默认的权限是由一个叫做权限屏蔽字的参数所确定的。如笔者现在使用的一个Unix系统，一个文件的默认设置中所有的用户都具有读取的权限，但是只有文件的所有权人才具有文件的写入权限。系统工程师可以根据自己的实际需要更改这个默认设置。如他希望同组的其他用户也具有文件写入的权限。为此系统工程师就需要使用chmod命令来改变这个默认设置。

　　如果要更改文件的权限，Unix操作系统提供了两种方式，分别为相对模式与绝对模式。相对模式是在原有的权限基础上进行修改，chmod权限修改命令只修改命令行中指定的权限，而其他权限将保持不变。而绝对模式则是直接设置文件的最终权限。而在Wincows系统中，则只能够通过相对模式来更改文件权限(虽然Windows系统中没有这个相对模式的概念)。在绝对模式中，分别利用三个八进制数字表示三个权限。如4表示读权限、2表示写权限、1表示执行权限。如果系统工程师需要为文件设置不同的权限，只需要进行简单的加减计算即可。如需要给某个用户某个文件的读写执行权限，则就是对他们相加即4+2+1=7即可。这个权限设计很容易记忆，很很容易实现。故笔者在Unix系统中，基本上都是采用绝对模式来更改文件的权限。利用相对模式还需要先了解原有的权限情况，然后再进行配置，反而操作起来麻烦一点。

　　差异四：Unix文件权限控制的漏洞。

　　虽然Unix提供了比较复杂的权限控制体系，但是人无完人，其还是存在比较大的漏洞。如现在用户A创建了一个文件text。其设置只有其自己对这个文件具有读写权限，其他用户都没有对这个文件具有写权限。那么这个文件能否被其他用户删除呢?答案是可以的。因为文件权限不仅跟文件本身的权限相关，还跟目录的权限有关。如果这个目录允许用户B具有修改的权限，那么用户B即使不具有用户A创建的文件test的人和权限，其也可以删除这个文件。为此，如果用户B懊恼用户A不给其看文件中的内容，那么其一气之下就把这个文件给删除了。那么不是会给用户A造成不必要的损失吗?其实这种情况不仅Unix系统存在，在Windows操作系统下也存在。

　　如在Windows下，用户A把某个文件设置为只读，而且还为这个文件设置了密码。但是只要其他用户对这个目录具有修改的权利，那么其他用户还是可以在文件所有权者不知情的情况下删除这个文件。即使其有只读与文件密码保护，也照删不误。故要做到文件真正的安全，还需要文件权限与目录权限配合使用才行。