《Linux操作系統(tǒng)基礎(chǔ)》課件-項目五 管理文件權(quán)限

項目五管理文件權(quán)限能力目標和要求：

（1）理解文件屬性各字段含義。

（2）理解文件基本權(quán)限。

（3）重點掌握文件權(quán)限管理命令。

（4）理解文件的特殊權(quán)限。

（5）理解文件權(quán)限掩碼。

（6）掌握FACL設(shè)置方法。項目五管理文件權(quán)限項目五

思維導(dǎo)圖任務(wù)5.1認識文件屬性文件屬性：

Linux文件系統(tǒng)中的文件是數(shù)據(jù)的集合，文件系統(tǒng)不僅包含文件中的數(shù)據(jù)，還包含了文件（目錄）的節(jié)點、類型、權(quán)限、鏈接數(shù)量、所歸屬的用戶和用戶組、最近訪問或修改的時間等屬性內(nèi)容。圖5-1文件屬性信息示意圖任務(wù)5.1認識文件屬性文件屬性字段說明：

表5-1文件屬性各列字段說明列數(shù)字段說明第1列2717907表示文件的索引節(jié)點（inode，i節(jié)點），索引節(jié)點存放文件的屬性信息，比如文件大小、屬主、屬組、讀寫權(quán)限等，并保存文件的實際存放位置。第2列-rw-rwxr--表示文件類型和基本權(quán)限，總10位。其中第1個字符（-）表示文件類型，其余9個字符（rw-rwxr--）表示文件的基本權(quán)限。第3列2對于普通文件，此字段表示文件硬鏈接數(shù)；對于目錄文件，此字段表示一級子目錄數(shù)。第4列root表示文件的所有者或稱文件屬主，此為root用戶。第5列root表示文件的所歸屬的用戶組或稱文件屬組，此為root組第6列870表示文件所占用的空間的大小，默認以字節(jié)為單位。如果是一個目錄，則表示該目錄文件本身的大小。第7列2月1823:30表示文件的最后訪問或最后修改的時間。第8列file2表示文件名。任務(wù)5.1認識文件屬性5.1.1文件名命名規(guī)則

在Linux系統(tǒng)中，因有些字符具有特殊含義，因此在對文件進行命名時，需遵循相應(yīng)的命名規(guī)則：

（1）在ext3和xfs文件系統(tǒng)中文件名最長長度為255個字符，ext4文件系統(tǒng)為256個字符；

（2）文件名區(qū)分大小寫；

（3）除了“/”符號之外，所有的字符都可以用于命名文件名；

（4）“.”“..”符號不能單獨用于命名文件名，因“.”表示當(dāng)前目錄，“..”表示父目錄；

（5）避免使用“+”、“-”“.”符號作為文件名的第1個字符。以“.”開頭的文件表示隱藏文件；

（6）建議不使轉(zhuǎn)義符命名，如：*、?、空格、$、&等符號，否則文件執(zhí)行時容易出錯；任務(wù)5.1認識文件屬性5.1.2文件類型

在Linux操作系統(tǒng)中，一切皆文件，包括硬盤、顯示器等硬件設(shè)備。跟Windows操作系統(tǒng)使用擴展名來表示文件類型不同，在Linux系統(tǒng)中沒有擴展名的概念。

表5-2常見的文件類型文件類型表示符號描述普通文件-是最常使用的一類文件，其特點是不包含有文件系統(tǒng)信息的結(jié)構(gòu)信息。按其內(nèi)部結(jié)構(gòu)一般分為純文本文件和二進制文件。目錄文件d目錄文件是一種特殊文件，目錄文件中保存著該目錄下其他文件的inode號和文件名等相關(guān)信息。鏈接文件l鏈接文件也是一種特殊文件，其指向一個真實存在的文件鏈接，可分為硬鏈接文件和軟鏈接文件。塊設(shè)備文件b塊設(shè)備文件支持以塊（block）為單位的訪問方式，常見的有硬盤、軟盤等塊設(shè)備。字符設(shè)備文件c字符設(shè)備文件以字節(jié)流的方式進行訪問，常見的有字符終端、串口、鍵盤等字符設(shè)備。套接字文件s套接字文件用來實現(xiàn)兩端通信，一般用于網(wǎng)絡(luò)數(shù)據(jù)連接。管道文件p管道文件是一種很特殊的文件，主要用于不同進程的信息傳遞。任務(wù)5.1認識文件屬性5.1.3索引節(jié)點（inode）

在Linux系統(tǒng)中，文件數(shù)據(jù)在以“塊”（block）為單位進行存儲（塊一般由連續(xù)的8個扇區(qū)組成，常見塊的大小為4KB）。為了能讀取數(shù)據(jù)“塊”，還需要有專門的區(qū)域來存儲文件的元信息，此區(qū)域稱之為索引節(jié)點（inode），也稱為i節(jié)點。索引節(jié)點所包含的文件元信息有：

（1）文件字節(jié)數(shù)；

（2）文件屬主；

（3）文件屬組；

（4）文件權(quán)限；

（5）文件時間戳（ctime、mtime、atime）；

（6）文件鏈接數(shù)，即有多少個文件名指向此inode；

（7）文件數(shù)據(jù)block的位置。

任務(wù)5.1認識文件屬性5.1.3索引節(jié)點（inode）

系統(tǒng)在讀取數(shù)據(jù)時是通過i節(jié)點號來進行的，而非文件名。用戶通過文件名打開文件，系統(tǒng)內(nèi)部將此過程分為四步：

（1）系統(tǒng)查找到文件名所對應(yīng)的i節(jié)點號；

（2）通過i節(jié)點號，獲取inode信息；

（3）根據(jù)inode信息，找到文件數(shù)據(jù)所在的block；

（4）查看用戶具有的訪問權(quán)限，如有權(quán)限訪問，則指向?qū)?yīng)的數(shù)據(jù)block，否則返回權(quán)限拒絕提示。 操作系統(tǒng)在格式化時，會把硬盤分成兩個區(qū)域，一個是數(shù)據(jù)區(qū)，用于存放文件數(shù)據(jù)。另一個是inode區(qū)，存放inode所包含的信息。每個inode的大小，一般是128字節(jié)或256字節(jié)。inode總數(shù)在格式化時就已經(jīng)確定。而一個文件必須占用一個inode，至少占用一個數(shù)據(jù)塊。任務(wù)5.2理解文件的權(quán)限5.2.1文件從屬關(guān)系

Linux操作系統(tǒng)特性之一是多任務(wù)多用戶，為了進行權(quán)限隔離，文件在被進程訪問時都是居于某一特定用戶的。文件與用戶的從屬關(guān)系有三類：

（1）文件屬主（ower）：文件所有者，默認為文件的創(chuàng)建者；

（2）文件屬組（group）：對文件具有相同權(quán)限的一組用戶；

（3）其他用戶（others）：除了屬主和屬組里用戶的其他用戶；

進程對文件的訪問權(quán)限應(yīng)用模型為：

（1）先判斷進程的屬主與文件的屬主是否相同，如果相同，則應(yīng)用屬主的權(quán)限；

（2）否則，再檢查進程的屬主是否屬于文件的屬組，如果是，則應(yīng)用屬組的權(quán)限；否則，最后就只能應(yīng)用其他用戶的權(quán)限；任務(wù)5.2理解文件的權(quán)限5.2.2文件基本權(quán)限

文件的基本權(quán)限分為3類：可讀（r）、可寫（w)、可執(zhí)行（x）表5-3文件一般權(quán)限描述文件權(quán)限表示字符描述可讀r對文件而言，表示對文件具有讀取文件內(nèi)容的權(quán)限對目錄而言，表示瀏覽目錄的權(quán)限，如無x權(quán)限，則無法讀取目錄下的文件信息。可寫w對文件而言，表示對文件具有新增、修改文件內(nèi)容的權(quán)限；對目錄而言，表示可修改此目錄下的文件列表，即具有在該目錄下創(chuàng)建或刪除文件的權(quán)限?？蓤?zhí)行x對文件而言，表示可將此文件發(fā)起為進程；對目錄而言，表示可使用cd命令切換到此目錄。配合r權(quán)限，才可使用ls-l等命令讀取文件的屬性信息。任務(wù)5.2理解文件的權(quán)限5.2.2文件基本權(quán)限

文件的基本權(quán)限分為3類：可讀（r）、可寫（w)、可執(zhí)行（x）表5-3文件一般權(quán)限描述文件權(quán)限表示字符描述可讀r對文件而言，表示對文件具有讀取文件內(nèi)容的權(quán)限對目錄而言，表示瀏覽目錄的權(quán)限，如無x權(quán)限，則無法讀取目錄下的文件信息?？蓪憌對文件而言，表示對文件具有新增、修改文件內(nèi)容的權(quán)限；對目錄而言，表示可修改此目錄下的文件列表，即具有在該目錄下創(chuàng)建或刪除文件的權(quán)限?？蓤?zhí)行x對文件而言，表示可將此文件發(fā)起為進程；對目錄而言，表示可使用cd命令切換到此目錄。配合r權(quán)限，才可使用ls-l等命令讀取文件的屬性信息。任務(wù)5.2理解文件的權(quán)限5.2.2文件基本權(quán)限

文件使用9個權(quán)限位來描述3類用戶對文件的權(quán)限組合機制，左三位定義屬主用戶的權(quán)限，中三位定義了屬組的權(quán)限，右三位定義了其他用用戶的權(quán)限。圖5-2文件權(quán)限的組合機制任務(wù)5.3權(quán)限管理命令5.3.1修改文件權(quán)限命令

命令格式：chmod[選項]mode文件

命令功能：修改或重置文件或者目錄的權(quán)限。權(quán)限的授權(quán)方式分為符號模式法和數(shù)字賦權(quán)法。

表5-4chmod常用選項選項功能-c若該文件權(quán)限確實已經(jīng)更改，才顯示其更改動作-f若該文件權(quán)限無法被更改也不要顯示錯誤訊息-v顯示權(quán)限變更的詳細信息-R對當(dāng)前目錄下的所有文件與子目錄進行相同的權(quán)限變更，即以遞歸的方式逐個變更任務(wù)5.3權(quán)限管理命令5.3.1修改文件權(quán)限命令

1.符號模式法

使用符號模式方法進行對文件權(quán)限修改時，mode格式如下：

[ugoa...][[+-=][rwx]...][,...]

使用符號模式（mode）涉及到who（用戶類型）、opterator（操作符）和permission（權(quán)限）三個項目，每個項目的設(shè)置可以用逗號分隔開。

表5-5who符號意義who用戶類型說明uuser屬主，文件所有者ggroup屬組，文件所有者所在組oothers除了屬主和屬于屬組用戶之外的其他用戶aall所用用戶，相當(dāng)于ugo表5-6operator符號意義operator說明+在原權(quán)限基礎(chǔ)上增加指定的用戶權(quán)限-去除指定用戶的權(quán)限=設(shè)置指定用戶的權(quán)限，即將用戶的所有權(quán)限重新設(shè)置，舊的權(quán)限將被清除。表5-7permission符號意義模式權(quán)限說明r讀設(shè)置為可讀權(quán)限w寫設(shè)置為可寫權(quán)限x執(zhí)行權(quán)限設(shè)置為可執(zhí)行權(quán)限任務(wù)5.3權(quán)限管理命令5.3.1修改文件權(quán)限命令

2.數(shù)字賦權(quán)法

命令格式：chmodabc文件

命令功能：使用數(shù)字賦權(quán)法設(shè)置文件的權(quán)限。其中a，b，c各為屬主、屬組、其他用戶權(quán)限位數(shù)字之和。

表5-8權(quán)限數(shù)字八進制權(quán)限權(quán)限符號數(shù)字之和二進制0無---0+0+00001只執(zhí)行--x0+0+10012只寫-w-0+2+00103寫+執(zhí)行-wx0+2+10114只讀r--4+0+01005讀+執(zhí)行r-x4+0+11016讀+寫rw-4+2+01107讀+寫+執(zhí)行rwx4+2+1111任務(wù)5.3權(quán)限管理命令5.3.2從屬關(guān)系管理命令

1.chown命令

命令格式：chown[選項]...[用戶][:[組群]]文件...

命令功能：更改文件的屬主和屬組。用戶和組群必須事先存在，用戶可以是用戶名或者UID號，組群可以是組名或者GID號，文件是以空格分開的要改變權(quán)限的文件列表，支持通配符。

表5-9chown常用選項選項功能-v顯示詳細的處理信息-R遞歸地更改該目錄下的所有文件任務(wù)5.3權(quán)限管理命令5.3.2從屬關(guān)系管理命令

2.chgrp命令

命令格式：chgrp[選項]..組群文件...

命令功能：更改文件的屬組。組群必須事先存在，組群可以是組名或者GID號，文件是以空格分開的要改變權(quán)限的文件列表，支持通配符。

表5-10chgrp常用選項選項功能-v顯示詳細的處理信息-R遞歸地更改該目錄下的所有文件任務(wù)5.4特殊權(quán)限5.4.1SUID權(quán)限

權(quán)限作用：當(dāng)用戶把某一個二進制文件發(fā)起為一個進程時，如果該文件擁有SUID權(quán)限，則該進程在運行期間，臨時獲得該二進制文件屬主的權(quán)限，進程結(jié)束時，屬主權(quán)限被收回。該權(quán)限只對二進制文件有效。

表現(xiàn)形式：如果二進制文件屬主擁有x權(quán)限，則屬主x權(quán)限位顯示為小字s，否則顯示為大字S。

賦權(quán)方法：chmodu+sfile\\為文件增加SUID權(quán)限

chmodu-sfile\\去除文件SUID權(quán)限

圖5-3SUID操作示意圖任務(wù)5.4特殊權(quán)限5.4.2SGID權(quán)限

權(quán)限作用：SGID對二進制文件和目錄都起作用。

（1）當(dāng)用戶把某一個二進制文件發(fā)起為一個進程時，如果該文件擁有SGID權(quán)限，則該進程在運行期間，臨時擁有該二進制文件屬組的權(quán)限，進程結(jié)束時，屬組權(quán)限被收回。

（2）當(dāng)目錄文件擁有SGID權(quán)限時，任何人在該目錄下創(chuàng)建的文件的屬組與該目錄的屬組相同。

表現(xiàn)形式：如果文件（目錄）屬組擁有x權(quán)限，則屬組x權(quán)限位顯示為小字s，否則顯示為大字S。

賦權(quán)方法：chmodg+sfile\\為文件增加SGID權(quán)限

chmodg-sfile\\去除文件SGID權(quán)限

任務(wù)5.4特殊權(quán)限5.4.3STICKY權(quán)限

權(quán)限作用：僅對目錄有效。讓多個用戶都具有寫權(quán)限的目錄，每個用戶只能刪自己的文件。當(dāng)對于一個目錄作用了STICKY權(quán)限之后，在該目錄下創(chuàng)建的文件僅其創(chuàng)建者自己和root用戶才能刪除。典型目錄如系統(tǒng)的公共目錄/tmp。

表現(xiàn)形式：如果目錄文件的其他用戶擁有x權(quán)限，則屬組x權(quán)限位顯示為小字t，否則顯示為大字T。

賦權(quán)方法：chmodg+tfile\\為文件增加SBIT權(quán)限

chmodg-tfile\\去除文件SBIT權(quán)限

任務(wù)5.4特殊權(quán)限5.4.4特殊權(quán)限數(shù)字賦權(quán)法

特殊權(quán)限除了可以使用符號賦權(quán)方法進行權(quán)限的設(shè)置之外，也可以使用數(shù)字方式進行，它是在原來r、w、x權(quán)限數(shù)字的基礎(chǔ)上再增加一個新的權(quán)限位。各特殊權(quán)限的數(shù)字分別是：SUID：4，SGID：2，STICKY：1。

賦權(quán)方法：chmodabcdfile

任務(wù)5.5權(quán)限掩碼5.5.1權(quán)限掩碼概念

（1）權(quán)限掩碼（umask）用于確定當(dāng)用戶新建文件或目錄時的所具有的默認權(quán)限。

（2）在Linux系統(tǒng)中，如果沒有權(quán)限掩碼，當(dāng)用戶創(chuàng)建目錄時，目錄具有的默認權(quán)限為：drwxrwxrwx，即數(shù)字777；當(dāng)用戶創(chuàng)建的是文件時，文件具有的默認權(quán)限為：-rw-rw-rw-，即數(shù)字666。

（3）權(quán)限掩碼（umask）則表示我們在創(chuàng)建新文件或目錄時，從默認權(quán)限中拿走的權(quán)限。任務(wù)5.5權(quán)限掩碼5.5.2設(shè)置權(quán)限掩碼

命令格式：umask權(quán)限掩碼數(shù)字

例如： [root@localhost~]#umask [root@localhost~]#umask-S [root@localhost~]#touch/tmp/test1.txt [root@localhost~]#mkdir/tmp/dir1 [root@localh