Linux文件权限与目录配置

第六章 总结

Linux最优秀的地方就是：它的多用户、多任务环境。而为了让各个用户具有较保密的文件数据，因此文件的权限管理变得很重要。Linux一般将文件可存取访问的身份分为3个类别，分别是owner，group，others，且3种身份各有read，write，execute等权限。

用户与用户组

文件所有者

用户与用户组的功能可是相当健全而且很好用的一个安全防护。Linux是多用户，多任务的系统，因此可能常常会有多人同时使用这台主机来进行工作的情况发生，为了考虑每个人的隐私权以及每个人喜好的工作环境，文件所有者的角色显得相当重要。

用户组最有用的功能之一：当团队开发资源时很有用。每组的组成员之间必须能够互相修改对方的数据，但是其他组的成员则不能看到本组自己的文件内容。每个账号都可以有多个用户组的支持。多个用户虽然在同一用户组内，但是可以设置“权限”，好让某些用户个人的信息不被用户组的拥有者查询，以保留“私人空间”。而设置用户组共享，可以让大家共同分享。

其他人：任何一个文件都有User，Group，Others3种身份的个别权限。

Linux系统中的身份是root，所以要小心。那个root可能是“万能的天神”。

Linux用户身份与用户组记录的文件

²  系统上的账号与一般身份用户及root相关信息存储在/etc/passwd这个文件中；

²  个人的密码则是记录在/etc/shadow文件中；

²  Linux所有的组名都记录在/etc/group中。

这三个文件可以说是Linux系统里面的账号，密码，用户组信息的集中地，不要随便删除这三个文件。

Linux文件属性

查看文件的命令：ls –al（显示内容依次为权限，连接，所有者，用户组，文件容量，修改日期，文件名）

ls命令显示的内容如下：

第一列代表这个文件的类型和权限。

第一个字符代表这个文件是“目录，文件或链接文件等”。

²  若是[d]则是目录

²  若是[-]则是文件

²  若是[l]则表示为链接文件

²  若是[b]则表示设备文件里面的可供存储的接口设备

²  若是[c]则表示设备里面的串行端口设备，如键盘、鼠标（一次性读取设备）

接下来3个为一组，且均为rwx的3个参数组合。其中[r]代表可读，[w]代表可写，[x]代表可执行。如果没有权限，则为[-]。

²  第一组为文件所有者的权限

²  第二组为同用户组的权限

²  第三组为其他非本用户组的权限

第二列表示有多少文件名连接到此节点（i-node）

每个文件都会将它的权限与属性记录到文件系统的i-node中，不过使用的目录树确实使用文件名来记录，每个文件名就会连接到一个i-node。这个属性记录的就是有多少不同的文件名连接到相同的一个i-node号码。

第三列表示这个文件（或目录）的所有者账号

第四列表示这个文件的所属用户组

第五列为这个文件的容量大小，默认单位为B

第六列为这个文件的创建文件日期或者是最近的修改日期

第七列为该文件名

比较特殊的是，如果文件名之前多个“.”，则代表这个文件为隐藏文件。

这七个字段的意义很重要。务必清除知道每个字段代表的意义，尤其是第一个字段的9个权限，那是整个Linux文件权限的重点之一。

Linux文件权限的重要性

数据的安全性，系统的保护功能；团队开发软件或数据共享的功能；避免未将权限设置的危害。

在修改Linux的文件与目录的属性之前，一定要先高清楚，什么数据是可变的，什么是不可变的。

更改文件属性和权限

²  Chgrp：改变文件所属用户组

注意：要被改变的组名必须要在/etc/group文件内才行，否则就会显示错误。

Chgrp [-R] dirname/filename …

选项与参数：

-R：进行递归的持续更改，也即连同子目录下的文件、目录都更新称为这个用户组之意。常常用在更改某一目录内所有文件情况。

Chgrp users install.log 将install.log的用户组改为user

²  Chown：改变文件所有者

注意：用户必须是已经存在于系统中的账户，也就是/etc/passed这个文件中有记录的用户名称才能改变。

Chown的用户提多的，它还可以顺便直接修改用户组的名称。此外，如果要连目录下的所有子目录或文件都同时更改文件所有者的话，直接加上-R参数。

Chown [-R] 账户名称文件或目录

Chown [-R] 账户名称：组名文件或目录

参数-R：进行递归的持续更改，连同子目录下的所有文件都更改

Chown bin install.log 将install.log的所有者改为bin这个账户

Chown root：root install.log 将install.log的所有者与用户组改为root

Chown .sshd install.log 单纯修改install.log文件的用户组为sshd

²  Chmod：改变文件的权限。

文件权限的改变使用的是chmod这个命令，但是权限的设置方法有两种，分别可以使用数字或者是符号来进行权限的更改。

Chmod [-R] xyz 文件或目录

参数：xyz：就是刚刚提到的数字类型的权限属性，为rwx属性数值的相加

-R：进行递归的持续更改，即连同子目录下的所有文件都会更改。

数字类型权限：

r：4

w：2

x：1

符号类型权限

使用u，g，o代表user，group，others3种身份。

Chmod

    U     

+（加入）

-（除去）

=（设置）

R

W

X

文件或目录

G

O

A

Chmod u=rwx,go=rx .bashrc 注意：u=rwx,go=rx是连在一起，中间没有任何空格

Chmod a+w .bashrc 所有用户添加些权限

Chmod a-x .bashrc 所有用户去除可执行权限

在+和-的状态下，只要是没有指定到的选项，则该权限不会被变动。

复制文件命令

Cp 源文件 目标文件

目录和文件的意义

²  权限对文件的重要性

文件类型：一般文本文件，数据库内容文件，二进制可执行文件

R：可读取此文件的实际内容

W：可编辑、新增或是修改该文件的内容（但不含删除文件）

X：可以被系统执行的权限（Linux下文件是否能被执行则是由具有“x“这个权限来决定，而根文件名是没有绝对关系。

对于文件的r，w，x是针对文件的内容而言，与文件名的存在与否没有关系。因为文件记录的是实际的数据。

²  权限对目录的重要性

文件是存放实际数据的所在，目录主要的内容是记录文件名列表，文件名与目录有强烈的关联。

R：表示文件具有读取目录结构列表的权限，可以查询该目录下的文件名数据

W：这个可写入的权限对目录来说是很强大的。因为它表示具有更改该目录结构列表的权限具体包括：

n  创建新的文件与目录

n  删除已经存在的文件与目录（不论该文件的权限为何）

n  将已存在的文件或目录进行重命名

n  转移该目录内的文件、目录位置

X：目录不可以被执行，目录X代表的是用户能否进入该目录成为工作目录的用户，所谓的工作目录就是你目前所在的目录。变换目录的命令是cd。

能不能进入某一个目录，只与该目录的x权限有关。此外，工作目录对于命令的执行是非常重要的，如果在某目录下不具有x权限，则无法切换到该目录下，也就无法执行该目录下的任何命令，即使具有该目录的r权限。

注意：要开放目录给任何人浏览时，应该至少也要给予r及x的权限，但w权限不可随便给。

新建目录使用：mkdir命令

新建空文件使用：touch命令

Cd /tmp  切换目录

Mkdir testing    新建新目录

Chmod 744 testing    更改权限

Touch testing/testing      新建空的文件

Chmod 600 testing/testing     更改权限

Ls –ald testing testing/testing       查看

切换用户使用su 用户名命令

Chmodyzhang testing 修改权限，让yzhang具有testing目录

特别注意：x在目录当中是与“能够进入该目录”有关，至于那个w则具有相当重要的权限，因为它可以让用户删除、更新、新建文件或目录，是个很重要的参数。

Linux文件种类与扩展名

在Linux中，任何设备都是文件，就连数据通信的接口也有专门的文件负责。

文件种类

²  普通文件：[-]标识的文件

²  纯文本文件（ASCII）：内容可以直接读到的数据，如数字，字母等。使用cat命令可以读出文件内容。

²  二进制文件（binary）：可执行文件（scripts，文字批处理文件不算）

²  数据格式文件（data）：有些程序在运行过程中会读取某些特定格式的文件，那些特定格式的文件可以被称为数据文件。使用cat读取，会出现乱码，它属于一种特殊格式的文件。

目录（directory）

第一个属性为[d]

连接文件（link）

    类似于windows中的快捷方式，第一个属性为[-l]

设备与设备文件（device）

    块设备文件：就是一些存储数据，以提供系统随机访问的接口设备，如硬盘，软盘等。可以随机地在硬盘的不同块读写，这种设备就是成组设备。第一个属性为[-b]。

    字符设备文件：串行端口的接口设备，如键盘，鼠标等。这些设备的特征是“一次性读取”的，不能够截断输出。其第一个属性为[-c]。

套接字（sockets）

    数据接口文件，这种类型的文件通常被用在网络上的数据连接。可以启动一个程序来监听客户端的请求，而客户端就可以通过socket进行数据的通信。第一个属性为[-s].

管道（FIFO，pipe）

    FIFO也是一种特殊的文件类型，它主要目的在解决多个程序同时访问一个文件所造成的错误问题。FIFO是First in First out缩写，第一个属性为[p]。

Linux扩展名

基本上，Linux的文件是没有所谓的“扩展名”。一个Linux文件能不能被执行，与它的第一列的10个属性有关，与文件名根本一点关系也没有。在Linux中，只要文件的权限汇总有x的话，就代表这个文件可以被执行。但是能否成功执行，需要看文件的内容。

为了便于识别，linux中常用以下几种扩展名：

²  *.sh：脚本或批处理文件，因为批处理文件为使用shell写成的，故扩展名为.sh

²  *Z，*.tar，*.tar.gz，*.zip，*,tgz：经过打包的压缩文件。

²  *.html，*.php：网页相关文件，分别代表HTML语法和PHP语法的网页文件。.html的文件可使用网络浏览器来直接开启，至于.php文件，可以通过客户端的浏览器来服务端浏览，以得到运算后的网页结果。

基本上Linux系统上的文件名真的只是让你了解该文件可能的用途而已，真正的执行与否仍然需要权限的规范才行。

Linux文件长度

Linux下面，使用默认的Ext2/Ext3文件系统时，针对文件的文件名长度限制为：

²  单一文件或目录的最大容许文件名为255个字符

²  包含完整路径名称及目录(/)的完整文件名为4096个字符

Linux文件名限制

²  由于Linux在文字界面下的一些命令操作关系，一般来说，在设置Linux下面的文件名时，最好避免一些特殊字符如：* ? < > ; ! [ ] | \ ‘ “ ` ( ) { }

²  因为这些符号在命令行界面下具有特殊含义。文件名的开头为小数点”.“时，代表这个文件为隐藏文件。同时由于命令执行当中，常常使用-option之类的参数，所以最好避免文件开头为-或+好来命令。

Linux目录配置

Linux目录配置标准：FHS

FHS的重点在于规范每个特定的目录下应该要放置什么样子的数据而已。FHS根据过去的经验一直在持续改版，FHS依据文件的系统使用的频繁与否与是否允许用户随意改动，将目录定义成以下四种交互作用的形态。具体如下表：

 

可分享的（shareable）

不可分享的（unshareable）

不变的（static）

/usr（软件放置处）

/etc（配置文件）

/opt（第三方软件）

/boot（开机与内核文件）

可变动的（variable）

/var/mail（用户邮件信箱）

/var/run（程序相关）

/var/spool/news（新闻组）

/var/lock（程序现骨干）

目录的四种类型：

²  可分享的：可以分享给其他系统挂载使用的目录，所以包括执行文件与用户的邮件等数据，是能够分享给网络上其他主机挂载用的目录。

²  不可分享的：自己机器上面运行的设备文件或者是与程序有关的socket文件等，由于仅与自身机器有关，所以当然就不适合分享给其他主机了。

²  不变的：有些数据是不会经常变动的，跟随着distribution而不变动。如函数库、文件说明文件、系统管理员所管理的主机服务配置文件等。

²  可变动的：经常改变的数据，如登录文件，新闻组等。

FHS针对目录树，架构了三层目录：

²  /(root，根目录)：与开机系统有关

²  /usr(UNIX software resource)：与软件安装/执行有关

²  /var（variable）：与系统运作过程有关。

三层目录，是有意义的。每层目录下面应该放置的目录也都有特定的规定。

根目录（/）的意义与内容

根目录是整个系统最重要的一个目录，因为不但所有的目录都是由根目录衍生出来的，同时根目录也与开机、还原、系统修复等操作有关。由于系统开机时需要特定的开机软件、内核文件、开机所需程序、函数库等文件数据，若系统出现错误时，根目录也必须要包含有能够修复文件系统的程序才行。建议根目录不要放非常大的分区，来减小发生错误的机会。

FHS标准建议：根目录（/）所在分区应该越小越好，且应用程序所安装的软件最好不要与根目录放在同一分区内，保持根目录越小越好。如此不但性能较好，根目录所在的文件系统也较不容易发生问题。

根目录的子目录应放置内容如下：

目录

应放置文件内容

/bin

系统有很多放置执行文件的目录，但/bin比较特殊。因为/bin放置的是单用户维护模式下还能够被操作的命令。在/bin下面的命令可以被

root与一般账户所使用，主要有cat，chmod，chown，date，mv，mkdir，cp，bash等常用的命令。

/boot

这个目录主要在放置开机会使用到的文件，包括Linux内核文件以及开机菜单与开机所需配置文件等。Linux Kernel常用的文件名为vmlinuz，

如果使用的是grub这个引导装载程序，则还会存在/boot/grub/这个目录。

/dev                

在Linux系统上，任何设备与接口设备都是以文件的形式存在于这个目录当中的。你只要通过访问这个目录下面的某个文件，就等于访问

某个设备。比较重要的文件有/dev/null，/dev/zero，/dev/tty，/dev/lp*，/dev/hd*，/dev/sd*等。

/etc

系统主要的配置文件几乎都放置在这个目录内，如人员的账户密码文件、各种服务的起始文件等。一般来说，这个目录下的各文件属性都

可以让一般用户查阅的，但是只有root有权修改。FHS建议：不要放置可执行文件（binary）在这个目录中。比较重要的文件有/etc/inittab，/etc/init.d/，/etc/modprobe.conf，/etc/X11/，/etc/fstab，/etc/sysconfig/等。另外，其下重要的目录有：

²  /etc/init.d/：所有服务的默认启动脚本都是放在这里的，如要启动或者关闭iptables的话：/etc/init.d/iptables start，/ect/init.d/iptables stop

²  /etc/xinet.d/：这就是所谓的super daemon管理的各项服务的配置文件目录

²  /etc/x11/：与X Window有关的各种配置文件都在这里，尤其是xorg.conf这个XServer的配置文件

 

/home

这是系统默认的用户主文件夹。在你创建一个一般用户账号时，默认的用户主文件加都会规范到这里来。比较重要的是，主文件夹有两种代号：

~：代表当前这个用户的主文件夹

~dmtsai：则代表dmtsai的主文件夹

/lib

系统的函数库非常多，而lib放置的则是在开机时会用到的函数库，以及在/bin或/sbin下面的命令会调用的函数库而已。函数库：可以将

其想成是外挂，某些命令必须要在这些外挂才能顺利的完成程序的执行之意。尤其重要的是/lib/modules/这个目录，因为该目录会放置内

核相关的模块（驱动程序）

/media

Media媒体，只要放置的是可删除的设备。包括软盘、光盘、DVD等设备都暂时挂载于此。常见的文件名为/media/floppy，/media/cdrom等

/mnt

如果想要暂时挂载某些额外的设备，一般建议可以放置到这个目录中。早期，这个目录用途与/media相同，有了/mdeia后，这个目录就

用来暂时挂载用了

/opt

这是给第三方软件放置的目录。第三方软件：可以自行安装在Linux系统中的软件，如KDE桌面管理系统。不过以前Linux建议安装软

件在/usr/local目录下。

/root

系统管理员（root）的主文件夹。如果用户进入单用户维护模式而仅挂载根目录时，该目录就拥有root的主文件夹。希望root的主文件

夹与根目录防止在同一个分区中

/sbin

Linux下有非常多的命令是用来设置系统环境的，这些命令只有root才能够利用来设置系统。其他用户最多只能用来查询而已。放再/sbin下

面的为开机过程中所需要的，里面包括了开机、修复、还原系统所需要的命令。至于这些服务器软件程序，一般则放置到/usr/sbin/当中。

而本机自行安装的软件所产生的系统执行文件，则放置到/usr/local/sbin/当中。常见的命令包括：fdisk，fsck，ifconfig，init，mkfs等

/srv

Srv可以视为service缩写，是一些网络服务启动后，这些服务所需要取用的数据目录。常见服务为www，ftp等。www服务需要的网页数

据就放置在/srv/www/里面

/tmp

这是让一般用户或者正在执行的程序暂时存放文件的地方。这个目录是任何人都能访问的，需定期清理。重要数据不可放置在此目录。

因为FHS甚至建议，在开机时，应该讲/tmp下的数据都删除

Linux中重要的目录

目录

应放置文件

/lost+found                         

这个目录是使用标准的ext2/ext3文件系统格式才会产生的一个目录，目的在于当文件系统发生错误时，将一些丢失的片段放置到这个目录下。这个目录通常会在分区的最顶层存在，如安装一块硬盘与/disk中，那在这个系统下就会自动产生一个这样的目录/disk/lost+found

/proc

这个目录本身是一个虚拟文件系统它放置的数据都是内存当中。如系统内核、进程、外部设备的状态及网络状态等。因为这个目录下的数据都在内存当中，所以本身不占用任何硬盘空间。比较重要的文件：/proc/cpuinfo，/proc/dma，/proc/interrupts，/proc/ioports，/proc/net/*等

/sys

这个目前与/proc类似，也是虚拟文件系统，主要也是记录与内核相关的信息。包括目前已加载的内核模块与内核检测到的硬件设备信息等。这个目录页不占硬盘容量。

需要注意的是：根目录与开机有关，开机过程中仅有根目录会被挂载，其他分区则是开机完成后才会持续进行挂载的行为。

下面这五个目录千万不可与根目录分开放在不同的分区。

²  /etc：配置文件

²  /bin：重要执行文件

²  /dev：所需要的设备文件

²  /lib：执行文件所需的函数库与内核所需的模块

²  /sbin：重要的系统执行文件

/usr意义与内容

/usr里面放置的数据是可分享与不可变动的。所有系统默认的软件都放置在/usr下面。系统刚装完，这个目录会占用最多的硬盘容量。

/usr的子目录建议如下表：

目录

应放置文件的内容

/usr/X11 R6/                         

为X Window系统重要数据所放置的目录，X11R6是因为X版本为11版，改版是第6次释出

/usr/bin/

绝大部分的用户可以使用命令放在这里。它与/bin的不同之处（是否与开机过程有关）

/usr/include/

C/C++等程序语言的头文件和包含文件放置处，当以tarball方式（*.tar.gz的方式安装软件）安装某些数据时，会使用到里头的许多包含文件

/usr/lib/

包含各应用软件的函数库、目标文件，以及不被一般用户惯用的执行文件或脚本（scripts）。某些软件会提供一些特殊命令来进行服务器的设置，这些命令也不会经常被系统管理员操作，那就会被摆放到这个目录下。注意如果使用X86_64的Linux系统，可能会有/usr/lib64/目录产生

/usr/local/

系统管理员在本机自行安装下载的软件，建议安装到此目录，这样会比较便于管理。在/usr/local目录下，也有bin，etc，include，lib等子目录

/usr/sbin/

非系统正常运行所需的系统命令。常见的就是某些网络服务器软件的服务命令（daemon）

/usr/share/

放置共享文件的地方，在这个目录下放置的数据几乎是不分硬件架构均可读取的数据，因为几乎都是文本文件。此目录下常见的子目录如下：

²  /usr/share/man：在线帮助文件

²  /usr/share/doc：软件杂项的文件说明

²  /usr/share/zoneinfo：与时区有关的时区文件

/usr/src/

一般源码建议放置到这里。内核源码则建议放在/usr/src/linux/目录下

/var意义与内容

如果/usr是安装时会占用较大的硬盘容量的目录，而/var是系统运行后才会渐渐占用硬盘容量的目录。因为/var目录主要针对常态性变动的文件，包括缓存（cache）、登录文件（logfile）以及某些软件运行所产生的文件，包括程序文件（lock file，run file），或者如Mysql数据库文件等。常见子目录如下：

目录

应放置文件内容

/var/cache/             

应用程序本身运行过程中会产生的一些暂存文件

/var/lib/

程序本身执行过程中，需要使用到的数据文件放置的目录。此目录下各自的软件应该有各自的目录。

/var/lock/

某些设备或者是文件资源一次只能被一个应用程序所使用，如果同时有两个程序使用该设备时，就可能产生一些错误的状况，因此就要将设备上锁，以确保该设备只会给单一软件所使用。

/var/log/

这是登录文件放置的目录。里面比较重要的文件为/var/log/messages，/var/log/wtmp（记录登录者的信息）等

/var/mail/

放置个人电子邮件信箱的目录，不过这个目录也被放置到/var/spool/mail/目录中。通常这两个目录是互为连接文件

/var/run/

某些程序或者服务启动后，会将他们的PID放置在这个目录下

/var/spool/

这个目录通常放置一些队列数据。所谓队列就是排队等待其他程序使用的数据。这些数据被使用后通常会被删除。

目录树

Linux下，所有文件与目录都是由目录开始的。那是所有目录与文件的源头。然后再一个一个分支下来，有点像树枝状。故为目录树。其特征如下：

²  目录树的起始点为根目录（/，root）；

²  每一个目录不知能使用本地端的文件系统，也可以使用网络上的文件系统。如可以使用Network File System（NFS）服务器挂载某特定目录等；

²  每一个文件在此目录树中的文件名（包含完整路径名）都是独一无二的。

绝对路径与相对路径

根据文件名的写法不同，可将所谓的路径定义为绝对路径与相对路径。这两种文件名/路径的写法依据如下：

绝对路径：由根目录（/）开始写起的文件名或目录名称

相对路径：相对于目前的路径的文件名写法。反正开头不是/就属于相对路径的写法。

必须了解，相对路径是以“你当前所在路径的相对位置”来表示的。

特别注意以下两个特殊的目录：

²  .：代表当前的目录，也可以使用./来表示；

²  ..：代表上一层目录，也可以../来表示。

查看系统实际的内核版本命令：uname –r和lsb_release –a。

重点内容：

²  Linux的每个文件汇总，依据权限分为用户、用户组与其他人三种身份。

²  用户组最有用的功能之一，就是当你在团队开发资源的时候，且每个账号都可以有多个用户组的支持。

²  利用ls –l显示的文件属性中，第一个字段是文件的权限，共有10位，第一位是文件类型，接下来三个为一组共三组，为用户、用户组、其他人的权限，权限有r，w，x三种。

²  如果文件名之前多一个“.”，则代表这个文件为“隐藏文件”。

²  更改文件的用户组支持可用chgrp，修改文件的所有者可用chown，修改文件的权限可用chmod。

²  Chmod修改权限的方法与两种，分别是符合法和数字法，数字法中r，w，x的分数为4,2,1。

²  对文件来讲，权限的效能为：

n  R：可读取此文件的实际内容，如读取文本文件的文字内容等

n  W：可以编辑、新增或者是修改该文件的内容（但不删除该文件）

n  X：该文件具有可以被系统执行的权限

²  对目录来说，权限的属能为：

n  R（read contents in directory）

n  W（modify contents of directory）

n  X（access directory）

²  要开放目录给任何人浏览时，应该至少也要给予r及x的权限，但w权限不可随便给予。

²  Linux文件名的权限为：单一文件或目录文件的最大容许文件名为255个字符；包含完整路径名称及目录（/）的完整文件名为4096个字符。

²  根据FHS的官方文件指出，其主要目的是希望用户可以了解到已安装软件通常放置于哪个目录下。

²  FHS制定出来的四种目录特色为shareable，unshareable，static，variable。

²  FHS所定义的三层主目录为/、/var、/usr。

²  有五个目录不可与根目录放在不同的分区，分别是/etc，/bim，/lib，/dev，/sbin五个。