Linux基礎教學 - Linux 檔案基本屬性

Linux系統是一種典型的多使用者系統，不同的使用者處於不同的地位，擁有不同的許可權。為了保護系統的安全性，Linux系統對不同的使用者存取同一檔案（包括目錄檔案）的許可權做了不同的規定。

在Linux中我們可以使用ll或者ls –l命令來顯示一個檔案的屬性以及檔案所屬的使用者和組，如：

[root@www /]# ls -l
total 64
dr-xr-xr-x   2 root root 4096Dec142012 bin
dr-xr-xr-x   4 root root 4096Apr192012 boot
……

範例中，bin檔案的第一個屬性用"d"表示。"d"在Linux中代表該檔案是一個目錄檔案。

在Linux中第一個字元代表這個檔案是目錄、檔案或連結檔案等等。

• 當為[ d ]則是目錄
• 當為[ - ]則是檔案；
• 若是[ l ]則表示為連結文件(link file)；
• 若是[ b ]則表示為裝置檔案裡面的可供儲存的介面裝置(可隨機存取裝置)；
• 若是[ c ]則表示為裝置檔案裡面的串列埠裝置，例如鍵盤、滑鼠(一次性讀取裝置)。

接下來的字元中，以三個為一組，且均為『rwx』 的三個引數的組合。其中，[ r ]代表可讀(read)、[ w ]代表可寫(write)、[ x ]代表可執行(execute)。 要注意的是，這三個許可權的位置不會改變，如果沒有許可權，就會出現減號[ - ]而已。

每個檔案的屬性由左邊第一部分的10個字元來確定（如下圖）。

從左至右用0-9這些數位來表示。

第0位確定檔案型別，第1-3位確定屬主（該檔案的所有者）擁有該檔案的許可權。

第4-6位確定屬組（所有者的同組使用者）擁有該檔案的許可權，第7-9位確定其他使用者擁有該檔案的許可權。

 

其中，第1、4、7位表示讀許可權，如果用"r"字元表示，則有讀許可權，如果用"-"字元表示，則沒有讀許可權；

第2、5、8位元表示寫許可權，如果用"w"字元表示，則有寫許可權，如果用"-"字元表示沒有寫許可權；第3、6、9位表示可執行許可權，如果用"x"字元表示，則有執行許可權，如果用"-"字元表示，則沒有執行許可權。

---

Linux檔案屬主和屬組

[root@www /]# ls -l
total 64
drwxr-xr-x 2 root  root  4096Feb1514:46 cron
drwxr-xr-x 3 mysql mysql 4096Apr212014 mysql
……

對於檔案來說，它都有一個特定的所有者，也就是對該檔案具有所有權的使用者。

同時，在Linux系統中，使用者是按組分類的，一個使用者屬於一個或多個組。

檔案所有者以外的使用者又可以分為檔案所有者的同組使用者和其他使用者。

因此，Linux系統按檔案所有者、檔案所有者同組使用者和其他使用者來規定了不同的檔案存取許可權。

在以上範例中，mysql 檔案是一個目錄檔案，屬主和屬組都為 mysql，屬主有可讀、可寫、可執行的許可權；與屬主同組的其他使用者有可讀和可執行的許可權；其他使用者也有可讀和可執行的許可權。

對於 root 使用者來說，一般情況下，檔案的許可權對其不起作用。

更改檔案屬性

1、chgrp：更改檔案屬組

語法：

chgrp [-R]屬組名檔名

引數選項

• -R：遞回更改檔案屬組，就是在更改某個目錄檔案的屬組時，如果加上-R的引數，那麼該目錄下的所有檔案的屬組都會更改。

2、chown：更改檔案屬主，也可以同時更改檔案屬組

語法：

chown [–R]屬主名檔名
chown [-R]屬主名：屬組名檔名

進入 /root 目錄（~）將install.log的擁有者改為bin這個賬號：

[root@www ~] cd ~[root@www ~]# chown bin install.log
[root@www ~]# ls -l
-rw-r--r--1 bin  users 68495Jun2508:53 install.log

將install.log的擁有者與群組改回為root：

[root@www ~]# chown root:root install.log
[root@www ~]# ls -l
-rw-r--r--1 root root 68495Jun2508:53 install.log

3、chmod：更改檔案9個屬性

Linux檔案屬性有兩種設定方法，一種是數位，一種是符號。

Linux檔案的基本許可權就有九個，分別是owner/group/others三種身份各有自己的read/write/execute許可權。

先複習一下剛剛上面提到的資料：檔案的許可權字元為：『-rwxrwxrwx』， 這九個許可權是三個三個一組的！其中，我們可以使用數位來代表各個許可權，各許可權的分數對照表如下：

• r:4
• w:2
• x:1

每種身份(owner/group/others)各自的三個許可權(r/w/x)分數是需要累加的，例如當許可權為： [-rwxrwx---] 分數則是：

• owner = rwx = 4+2+1 = 7
• group = rwx = 4+2+1 = 7
• others= --- = 0+0+0 = 0

所以等一下我們設定許可權的變更時，該檔案的許可權數位就是770啦！變更許可權的指令chmod的語法是這樣的：

 chmod [-R] xyz 檔案或目錄

選項與引數：

• xyz : 就是剛剛提到的數位型別的許可權屬性，為 rwx 屬性數值的相加。
• -R : 進行遞回(recursive)的持續變更，亦即連同次目錄下的所有檔案都會變更

舉例來說，如果要將.bashrc這個檔案所有的許可權都設定啟用，那麼命令如下：

[root@www ~]# ls -al .bashrc
-rw-r--r--1 root root 395Jul411:45.bashrc
[root@www ~]# chmod 777.bashrc
[root@www ~]# ls -al .bashrc
-rwxrwxrwx  1 root root 395Jul411:45.bashrc

那如果要將許可權變成 -rwxr-xr-- 呢？??麼許可權的分數就成為 [4+2+1][4+0+1][4+0+0]=754。

符號型別改變檔案許可權

還有一個改變許可權的方法，從之前的介紹中我們可以發現，基本上就九個許可權分別是：

• (1)user
• (2)group
• (3)others

那麼我們就可以使用 u, g, o 來代表三種身份的許可權！

此外， a 則代表 all，即全部的身份。讀寫的許可權可以寫成 r, w, x，也就是可以使用下表的方式來看：

 

chmod

u g o a

+(加入) -(除去) =(設定)

r w x

檔案或目錄

如果我們需要將檔案許可權設定為 -rwxr-xr-- ，可以使用 chmod u=rwx,g=rx,o=r 檔名 來設定:

#  touch test1    // 建立 test1 檔案# ls -al test1    // 檢視 test1 預設許可權-rw-r--r--1 root root 0Nov1510:32 test1
# chmod u=rwx,g=rx,o=r  test1    // 修改 test1 許可權# ls -al test1-rwxr-xr--1 root root 0Nov1510:32 test1

而如果是要將許可權去掉而不改變其他已存在的許可權呢？例如要拿掉全部人的可執行許可權，則：

#  chmod  a-x test1# ls -al test1-rw-r--r--1 root root 0Nov1510:32 test1

每個檔案的屬性由左邊第一部分的10個字元（如上的“dr-xr-xr-x”）來確定。我們把十個字元拆開看：

• 10位字元表示：

• 0位：確定檔案型別

• 1-3位：確定該檔案的所有者對檔案的許可權 owner

• 4-6位：確定所有者的同組使用者擁有該檔案的許可權 group

• 7-9位：確定其他使用者擁有該檔案的許可權 others

• 第一個字元：代表這個檔案的型別，是目錄、檔案，還是一個連結等等

• [ d ] 目錄

• [ - ] 檔案

• [ l  ] 連結文件(link file)

• [ b ] 可供儲存的介面裝置(可隨機存取裝置)

• [ c ] 串列埠裝置，例如鍵盤、滑鼠(一次性讀取裝置)

• 接下來的字元：以三個一組分成三組，用 r、w、x 三個引數的組合表示，位置不會改變

• [ r ] 代表可讀(read)

• [ w ] 代表可寫(write)

• [ x ] 代表可執行(execute)

• [ - ] 沒有許可權

關於 [s] 和 [t] 字元

[s]：當一個具有執行許可權的檔案設定 [s](SetUID) 許可權後，使用者執行這個檔案時將以檔案所有者的身份執行。passwd 命令具有 SetUID 許可權，所有者為 root（Linux 中的命令預設所有者都是 root），也就是說當普通使用者使用 passwd 更改自己密碼的時候，那一瞬間突然 “靈魂附體” 了，實際在以 passwd 命令所有者 root 的身份在執行，root 當然可以將密碼寫入 /etc/shadow 檔案（root 是一個 bug 的存在，在 Linux 中就沒有它不能幹的事），命令執行完成後該身份也隨之消失。

0. SetUID 條件：

必須具備以下幾個條件（前提）：

• 只有可執行的二進位制程式才可以設定 SetUID
• 所有者必須對欲設定SetUID的檔案具備 可執行 (x) 許可權
• 命令執行過程中，其它使用者獲取所有者的身份（靈魂附體）
• SetUID 具有時間限制，即完成該程式執行後就消失（不能霸占住不放吧？）

1. 設定和取消 SetUID

設定 SetUID:

chmod 4xxx< file-name >chmod u+s < file-name >

取消 SetUID:

chmod xxx < file-name >chmod u-s < file-name >

SetGID

其實，SetGID 基本與 SetUID 相同，無非也就是一個設定所有者的許可權，GID 為設定所屬組的特殊許可權！區別點在於：SetGID 也可以設定目錄的相關 SetGID 許可權！

0. SetGID條件：

針對檔案：

• 可執行的二進位制檔案
• 命令執行者（即所屬組）對該檔案具備 x 許可權
• 執行時，執行者被所屬組靈魂附體
• 許可權只在執行過程中有效

針對目錄：

• 普通使用者對目錄具備 r 和 x 許可權，才可以進入到該目錄
• 普通使用者在此目錄中的有效組會變成此目錄的所屬組
• 如普通使用者對該目錄具備w許可權，新建檔案的所屬組為該目錄的所屬組

1. 設定和取消 SetGID

設定 SetGID

chmod 2xxx chmod g+s

取消 SetGID

chmod xxx chmod g-s

[t]: 任何使用者均可以往此目錄寫入檔案，可以刪除自己所建立的檔案，root 自然有許可權刪除

SBIT

Stick Bit，黏滯位。

0.作用：

• 只對目錄有效
• 普通使用者對該目錄有 w 和 x 許可權
• 若沒有黏滯位，則普通使用者可以對目錄下的檔案/子目錄進行刪除操作（因為普通使用者對目錄具有 w 許可權），包括其它使用者建立的目錄/檔案；但若賦了 SBIT,則普通使用者只能刪除自己建立的檔案/目錄，而不能刪除不屬於自己的檔案/目錄！

1. 設定和取消SBIT

設定 SBIT

chmod 1xxx< dir-name >chmod o+t < dir-name >

取消 SBIT

chmod xxx < dir-name >chmod o-t < dir-name >