unix下文件的安全与权限

当创建一个文件的时候，系统保存了有关该文件的全部信息，包括：
" 文件的位置。
" 文件类型。
" 文件长度。
" 哪位用户拥有该文件，哪些用户可以访问该文件。
" i节点。
" 文件的修改时间。
" 文件的权限位。

让我们用touch命令创建一个文件：

1. $ touch temp

创建了一个空文件，现在用ls -l命令查看该目录下文件的属性（我这里用中文版)：
如下：

[root@Linux_chenwy temp]# ls -l总用量 36-rw-r--r--    1 root     root        34890 10月 19 20:17 httpd.conf-rw-r--r--    1 root     root            0 10月 19 20:16 temp

1. 总用量 36：是ls所列出的入口占用空间的字节数(以K为单位)。
   
2. 1该文件硬链接的数目。
   
3. root：文件属主。
   
4. root：文件属组（一般是文件属主所在的缺省组。）
   
5. 34890：字节来表示的文件长度，记住，不是K字节！
   
6. 10月 19 20:17：件的更新时间。
   
7. temp or httd.conf ：件名。

用stat可以查看一个文件的比较详细的信息

文件类型

前面提到的第一条横杠，表示该文件是普通文件型
文件类型有七种，它可以从ls -l命令所列出的结果的第一位看出.

七种类型：

1. d 目录。
   
2. l 符号链接(指向另一个文件)。
   
3. s 套接字文件。
   
4. b 块设备文件。
   
5. c 字符设备文件。
   
6. p 命名管道文件。
   
7. - 普通文件，或者更准确地说，不属于以上几种类型的文件。

文件的权限位中中每一组字符中含有三个权限位：

1. r 读权限
   
2. w 写/更改权限
   
3. x 执行该脚本或程序的权限

如：

r-- --- --- 文文件属主可读，但不能写或执行r-- r-- --- 文文件属主和属组用户(一般来说，是文件属主所在的缺省组)可读r-- r-- r- - 文任何用户都可读，但不能写或执行rwx r-- r- - 文文件属主可读、写、执行，属组用户和其他用户只可读rwx r-x --- 文文件属主可读、写、执行，属组用户可读、执rwx r-x r- x 文文件属主可读、写、执行，属组用户和其他用户可读、执行rw- rw- --- 文文件属主和属组用户可读、写rw- rw- r- - 文文件属主和属组用户可读、写，其他用户可读rw- rw- --- 文文件属主和属组用户及其他用户读可以读、写，慎用这种权限设置，因为任何用户都可以写入该文件

使用chmod来改变权限位

这一命令有符号模式和绝对模式。

符号模式

chmod命令的一般格式为：

chmod [who] operator [permission] filename

w h o的含义是：

u 文件属主权限。g 属组用户权限。o 其他用户权限。a 所有用户(文件属主、属组用户及其他用户)。

 

o p e r a t o r的含义：+ 增加权限。- 取消权限。= 设定权限。

p e r m i s s i o n的含义：

1. r 读权限。
   
2. w 写权限。
   
3. x 执行权限。
   
4. s 文件属主和组set-ID。
   
5. t 粘性位*。
   
6. l 给文件加锁，使其他用户无法访问。
   
7. u,g,o 针对文件属主、属组用户及其他用户的操作。
   
8. 
   
9. *在列文件或目录时，有时会遇到“ t”位。“t”代表了粘性位。如果在一个目录上出现“t”位，这就意味着该目录中的文件只有其属主才可以删除，即使某个属组用户具有和属主同等的权限。不过有的系统在这一规则上并不十分严格。
   
10. 
    
11. 如果在文件列表时看到“ t”，那么这就意味着该脚本或程序在执行时会被放在交换区(虚存)。

1,t 权限是粘着位，例：TMP目录下，任何人都有读写执行权限，但是不是任何人对里边的可写权限的文件就可以删除呢，当然不是了，这个就是粘着位的做用，只有所有者才有权删除自已的文件，当然，ROOT除外
2,关于文件安全的另一种权限，
i权限 也就是不可修改权限  例：chattr u+i aaa 则aaa文件就不可修改，无论任何人，如果删除就用u-i就好了
a权限 也就是只追加权限， 对于日志系统很好用，这个权限让目标文件只能追加，不能删除，而且不能通过编辑器追加。方法和i权限一样加
如果想要看某个文件是不是有这个权限，用lsattr filename就行了

1. chmod a-x temp //rw- rw- rw- 收回所有用户的执行权限
   
2. chmod og-w temp //rw- r-- r- - 收回属组用户和其他用户的写权限
   
3. chmod g+w temp //rw- rw- r- - 赋予属组用户写权限
   
4. chmod u+x temp //rwx rw- r- - 赋予文件属主执行权限
   
5. chmod go+x temp //rwx rwx r- x 赋予属组用户和其他用户执行权限

chmod命令绝对模式的一般形式为：

chmod [mode] file

其中m o d e是一个八进制数。
在绝对模式中，权限部分有着不同的含义。每一个权限位用一个八进制数来代表，如

0 4 0 0 文件属主可读0 2 0 0 文件属主可写0 1 0 0 文件属主可执行0 0 4 0 属组用户可读0 0 2 0 属组用户可写0 0 1 0 属组用户可执行0 0 0 4 其他用户可读0 0 0 2 其他用户可写0 0 0 1 其他用户可执行

在设定权限的时候，只需按照上面查出与文件属主、属组用户和其他用户所具有的权限相对应的数字，并把它们加起来，就是相应的权限表示。
可以看出，文件属主、属组用户和其他用户分别所能够具有的最大权限值就是7。

再来看看前面举的例子：

1. -rwxr--r--  1   root            0 10月 19 20:16 temp

相应的权限是：

1. rwx-：0400 + 0200 +0100 (文件属主可读、写、执行) = 0 7 0 0
   
2. r--：0 0 4 0 (属组用户可读) = 0 0 4 0
   
3. r--：0 0 4 0 (属组用户可读) = 0 0 4 0
   
4. 0 7 4 4

有一个计算八进制权限表示的更好办法，如下：

1. 文件属主：r w x：4 + 2 + 1
   
2. 属组用户：r w x：4 + 2 + 1
   
3. 其他用户：r w x：4 + 2 + 1

这上面这相，更容易地计算出相应的权限值，只要分别针对文件属主、属组用户和其他用户把相应权限下面的数字加在一起就可以了。

temp文件具有这样的权限：

1. r w x     r - - r - -
   
2. 4+2+1  4     4

把相应权限位所对应的值加在一起，就是7 4 4。

如：

1. chmod 666 rw- rw- rw- 赋予所有用户读和写的权限
   
2. chmod 644 rw- r-- r- - 赋予所有文件属主读和写的权限，所有其他用户读权限
   
3. chmod 744 rwx r-- r- - 赋予文件属主读、写和执行的权限，所有其他用户读的权限
   
4. chmod 664 rw- rw- r- - 赋予文件属主和属组用户读和写的权限，其他用户读权限
   
5. chmod 700 rwx --- --- 赋予文件属主读、写和执行的权限
   
6. chmod 444 r-- r-- r- - 赋予所有用户读权限

如果希望一次设置目录下所有文件的权限，可以用：

1. $chmod 664*
   
2. $ls -l
   
3. -rw-r--r--  1   root            0 10月 19 20:16 test1

复制代码

这将使文件属主和属组用户都具有读和写的权限，其他用户只具有读权限。

还可以通过使用- R选项连同子目录下的文件一起设置：

1. chmod -R 664 /temp/*

这样就可以一次将/ temp目录下的所有文件连同各个子目录下的文件的权限全部设置为文件属主和属组用户可读和写，其他用户只读。使用- R选项一定要谨慎，只有在需要改变目录树下全部文件权限时才可以使用。

系统默认情况下建立文件与目录的权限是：
#vi /etc/bashrc 可以看到一般用户是002  root用户是022
说明：一般用户默认建立文件权限是666-002=664   建立目录权限是777-002=775

root默认建立文件的权限就是666-022=644   建立的目录权限就是777-022=755