linux 文件权限

  • Post author:
  • Post category:linux


用stat命令以及lsattr命令来显示某个文件的详细信息:

$ stat file1

file: `file1′

size: 11904 blocks: 24 io block: 4096 regular file

device: 301h/769d inode: 355982 links: 1

access: (0755/-rwxr-xr-x) uid: ( 503/ jack) gid: ( 503/ general)

access: 2003-10-19 09:14:12.000000000 +0800

modify: 2003-10-14 20:41:21.000000000 +0800

change: 2003-10-19 18:56:25.000000000 +0800

$ lsattr file

—-i–a—– file

可以看到,文件权限的含义是比较广的,先来看-rwxr-xr-x,第一位是文件的类型,它定义了用户只能某种方式来操作文件,后面九位是文件 的存取控制信息,linux的文件许可机制将用户分为三类:文件属主u(user)、文件属组g(group)和其它用户o(other)。三类不同的用 户可以对文件拥有三种不同级别的权限:读r(read)、写w(write)和运行x(execute)。于是形成了九位的权限信息,分为三组,分别对应 u,g, o。除此之外,用户还可以设置setuid与setgid位来改变程序的执行身份。用lsattr命令则可以看到文件的属性,控制位包括 asacddiijsttu,这些也是能控制文件的存取的。

由于篇幅有限,不可能就这些一一进行分析,本文着力分析文件权限中w(write)的真正含义,挖出其背后隐藏的细节,力图使读者能正确用好这个关键的权限位,不至于在系统管理中出现差漏。

为了能更直观的说明问题,本文采用实验操作的方式,一步一步的进行分析。为了简化操作,我们用o(other)这组权限来做实验。实验中用到的权限位均属于o(other), 进行操作的用户均非root用户,属于o(other)。

在实验之前,必须澄清一个概念,目录也是一种文件,它主要包括了两方面的信息,该目录下文件的文件名称与文件inode编号,它们之间有一一对 应的关系。不过目录文件比较特殊,不能用常规的方法进行读写,必须用系统的专用命令来操作。命令ls其实是对目录文件进行读操作,命令mv,rm则是对目 录文件进行写操作。

好了,该说说w(write)的真正含义了,一句话,linux文件权限中的w是对该文件的*内容*进行限定。下面的实验可以验证。

实验1, 目录文件: /test(rwx), 普通文件: /test/file(r–). 当前目录:/test

$ echo “abc” >file

bash: file: permission denied

试图对file的内容进行改写, 但file的权限是只读,很显然,操作失败。

$ cat file

hello world!

没有问题, 可以读出file的内容。

$ mv file file2

$ ls

file2

这是怎么回事呢, file的权限明明是只读啊, 请注意, 前面提到了, 文件中的rw权限只是针对当前文件的内容进行限定, 文件名不属于当前文件的内容, 它是保存在上一级的目录文件的内容中。而mv命令表面上是针对file的,其实是对/test的内容进行改写,再看看/test的权限, 是可写的(rwx)。许多用户为了保护文件,将其权限设成只读就不管了,这是非常危险的,诚然,可以达到保护文件内容的目的(其实也未必,补充内容中有论 述),但你却不能保证文件是否会被更名或被删除,保险的方法是将文件父目录的权限也设为只读。当然,也有其他的方法,比如用chattr +i命令或将文件系统用ro方式挂载等等,但这些不在本文论述范围。

$ rm -f file2

$ ls

$

同样的原因, 我们可以删除file2, 与上一次操作不同的是,我们不是改写/test的一条纪录,而是在删除/test的一条纪录。

实验2, 目录文件: /test(r-x), 普通文件: /test/file(rw-), 当前目录:/test

$ echo “abc” >file

$ cat file

abc

/test的权限虽然是只读,但我们改写的是file的内容, 它的权限是可写,当然没有问题。

$ mv file file2

mv: cannot move ‘file’ to ‘file2’: permission denied

$ rm -f file

rm: cannot remove ‘file’: permission denied

我们已经知道, 这两条指令其实与file的权限无关, 而是在改写/test的内容, 当然操作失败。通过前面几个操作,我们应该要分清楚指令真正的操作对象是谁,这样才能对文件权限作出正确的设定。

实验3, 目录文件: /test(rwx), 普通文件: /test/file(r–), 目录文件: /test/dir(r-x), 普通文件: /test/dir/file(rw-), 当前目录:/test

$ mv file file2

$ mv dir dir2

$ ls

dir2 file2

很顺利, 因为/test/file与/test/dir的父目录/test的权限给的太宽松了,是rwx。

$ rm -f file2

$ rm -rf dir2

rm: cannot remove ‘dir2/file’: permission denied

$ ls -r

.:

dir2

./dir2:

file

到这里, 我们已经丝毫不奇怪普通文件/test/file2被删除, 但具有同等地位的目录文件/test/dir2却安然无恙。当执行rm -rf dir2时, 由于存在普通文件/test/dir2/file, 系统便尝试先删除它, 也就相当于修改目录文件/test/dir2的内容, 但它的权限是只读, 不能进行修改,也就相当于不能删除/test/dir2/file, 又由于/test/dir2与/test/dir2/file有依存关系, /test/dir2也就自然会被保留下来。

回顾上一个操作(mv dir dir2),为什么目录文件/test/dir却可以被更名呢?由于更名操作并不涉及到自身的内容被修改,修改的只是父目录的内容,而进行删除操作时,父 目录的内容固然要被修改,但也同时也要修改自身的内容(因为要删除该目录下的文件),这就不被允许了。如果/test/dir2的权限是可写, 或者目录下没有子文件, 那么它的下场就和/test/file2一样, 被删除。

通过前面的几个操作,可以看到,文件有这么几个关键状态:被读、被改写、被改名、被删除、被执行。然而系统只区分三种权限,即读、写、执行 (rwx)。那么改名与删除这两个操作是否系统就置之不理了呢?不是的,系统将这两个操作归入被操作文件的上一级目录来管理。那么又是以何种方式来管理的 呢?答案是目录将其下的所有文件看作是它的内容。这样,当用户更名或删除某个文件时,执行的是对上一级目录的写操作,属于rwx三种权限之一的w操作,并 没有逃出系统的管理范围。

我们的大脑总是活跃的, 能想象出各种各样的事情, 能把许多简单的东西组合成很复杂东西, 上面几个实验不正是这样吗, 象这样的实验我们还可以设计出许多, 但做的越多, 脑子似乎越乱(我已经有一点了), 你能记的住这么多吗? ok, 我们也许能将它想的简单一些, 只需注意两个方面, 一是要清楚目录的内容是什么;二是要明白文件权限中的w(write)的真正含义。仔细想想, 不是吗?

补充:

在实验1中, 如果用vim对file进行编辑, 并且强制保存(w!), 是可以成功的。这并不是说vim就可以绕开系统的安全机制,而是vim耍了一个小小的把戏,它是先删除这个文件,而后又生成一个同名的新文件。但有一个情 况例外,就是当这个文件有另外一个硬链接文件存在时,vim会拒绝强制保存,仔细想想,当进行删除操作后,文件还存在,并没有被真正删除,而这时再新建一 个文件,虽然同名,但已经不是原来的那个文件了!笔者曾对此事也颇为疑惑,为了求证,仔细阅读了vim6.2的源代码,才找到答案。有兴趣的读者也可看一 看,具体内容在src/fileio.c中。

前面一直提到文件的重要权限,就是rwx这3个读、写、执行的权限。但是,怎么 /tmp权限有些奇怪?还有, /usr/bin/passwd也有些奇怪,怎么回事呢?

[root@linux ~]# ls -ld /tmp ; ls -l /usr/bin/passwd

drwxrwxrwt 5 root root 4096 Jul 20 10:00 /tmp

-r-s–x–x 1 root root 18840 Mar 7 18:06 /usr/bin/passwd

不是只有rwx吗?为什么还有其他的特殊权限呢?不要担心,我们这里先不谈这两个权限,只是先介绍一下而已。因为必须要有账号的ID概念,以及程序的进程(process)概念后,才能够进一步了解这些特殊权限所表示的意义。

Set UID

会创建s与t权限,是为了让一般用户在执行某些程序的时候,能够暂时具有该程序拥有者的权限。举例来说,我们知道,账号与密码的存放文件其实是 /etc/passwd与 /etc/shadow。而 /etc/shadow文件的权限是“-r——–”。它的拥有者是root。在这个权限中,仅有root可以“强制”存储,其他人是连看都不行 的。

但是,偏偏笔者使用dmtsai这个一般身份用户去更新自己的密码时,使用的就是 /usr/bin/passwd程序,却可以更新自己的密码。也就是说,dmtsai这个一般身份用户可以存取 /etc/shadow密码文件。这怎么可能?明明 /etc/shadow就是没有dmtsai可存取的权限。这就是因为有s权限的帮助。当s权限在user的x时,也就是类似 -r-s–x–x,称为Set UID,简称为SUID,这个UID表示User的ID,而User表示这个程序(/usr/bin/passwd)的拥有者(root)。那么,我们就 可以知道,当dmtsai用户执行 /usr/bin/passwd时,它就会“暂时”得到文件拥有者root的权限。

SUID仅可用在“二进制文件(binary file)”,SUID因为是程序在执行过程中拥有文件拥有者的权限,因此,它仅可用于二进制文件,不能用在批处理文件(shell脚本)上。这是因为 shell脚本只是将很多二进制执行文件调进来执行而已。所以SUID的权限部分,还是要看shell脚本调用进来的程序设置,而不是shell脚本本 身。当然,SUID对目录是无效的。这点要特别注意。

Set GID

进一步而言,如果s的权限是在用户组,那么就是Set GID,简称为SGID。SGID可以用在两个方面。

文件:如果SGID设置在二进制文件上,则不论用户是谁,在执行该程序的时候,它的有效用户组(effective group)将会变成该程序的用户组所有者(group id)。

目录:如果SGID是设置在A目录上,则在该A目录内所建立的文件或目录的用户组,将会是此A目录的用户组。

一般来说,SGID多用在特定的多人团队的项目开发上,在系统中用得较少。

Sticky Bit

这个Sticky Bit当前只针对目录有效,对文件没有效果。SBit对目录的作用是:“在具有SBit的目录下,用户若在该目录下具有w及x权限,则当用户在该目录下建 立文件或目录时,只有文件拥有者与root才有权力删除”。换句话说:当甲用户在A目录下拥有group或other的项目,且拥有w权限,这表示甲用户 对该目录内任何人建立的目录或文件均可进行“删除/重命名/移动”等操作。不过,如果将A目录加上了Sticky bit的权限,则甲只能够针对自己建立的文件或目录进行删除/重命名/移动等操作。

举例来说,/tmp本身的权限是“drwxrwxrwt”,在这样的权限内容下,任何人都可以在 /tmp内新增、修改文件,但仅有该文件/目录的建立者与root能够删除自己的目录或文件。这个特性也很重要。可以这样做个简单测试:

1. 以root登入系统,并且进入 /tmp中。

2. touch test,并且更改test权限成为777。

3. 以一般用户登入,并进入 /tmp。

4. 尝试删除test文件。

更多关于SUID/SGID/Sticky Bit的介绍,我们会在第11章中再次提及,当前,先有简单的概念即可。

SUID/SGID/SBIT权限设置

前面介绍过SUID与SGID的功能,那么,如何打开文件使其成为具有SUID与SGID的权限呢?这就需要使用数字更改权限了。现在 应该知道,使用数字更改权限的方式为“3个数字”的组合,那么,如果在这3个数字之前再加上一个数字,最前面的数字就表示这几个属性了(注:通常我们使用 chmod xyz filename的方式来设置filename的属性时,则是假设没有SUID、SGID及Sticky bit)。

4为SUID

2为SGID

1为Sticky bit

假设要将一个文件属性改为“-rwsr-xr-x”,由于s在用户权限中,所以是SUID,因此,在原先的755之前还要加上4,也就 是使用“chmod 4755 filename”来设置。此外,还有大S与大T的产生。参考下面的范例(注意:下面的范例只是练习而已,所以笔者使用同一个文件来设置,必须知道, SUID不是用在目录上,SBIT不是用在文件上)。

[root@linux ~]# cd /tmp

[root@linux tmp]# touch test

[root@linux tmp]# chmod 4755 test; ls -l test

-rwsr-xr-x 1 root root 0 Jul 20 11:27 test

[root@linux tmp]# chmod 6755 test; ls -l test

-rwsr-sr-x 1 root root 0 Jul 20 11:27 test

[root@linux tmp]# chmod 1755 test; ls -l test

-rwxr-xr-t 1 root root 0 Jul 20 11:27 test

[root@linux tmp]# chmod 7666 test; ls -l test

-rwSrwSrwT 1 root root 0 Jul 20 11:27 test

# 这个例子要特别小心。怎么会出现大写的S与T呢?不都是小写的吗?

# 因为s与t都是取代x参数的,但是,我们是使用

# 7666。也就是说,user、group以及others都没有x这个可执行的标志

# (因为666)。所以,S、T表示“空的”。

# SUID是表示“该文件在执行时,具有文件拥有者的权限”,但文件

# 拥有者都无法执行了,哪里来的权限给其他人使用呢?当然就是空的

功能位三位分别在前三位的各自的x位显示(4、7、10)

功能位第一位

在user位的第三位显示字母为“s”或“S”。称作suid或者大s位。

功能位第二位

在group位的第三位显示字母为“s”或“S”。称作sgid或者小s位。

功能位第三位

在other位的第三位显示字母为“t”或“T”。称作t位或者私有位。

功能位显位时,如果原三位上的x位显位,则功能位以小写字母出现。反之,功能位以大写字母出现。

大s位 = 4

小s位 = 2

t位     = 1

大s位:

大s位只对可执行文件有意义;

当一个用户执行一个拥有大s位的命令,在执行的过程中会瞬间切换到此命令的所有者去执行此命令,当命令执行完后又切换回原来的用户,返回原来自己的shell。

小s位:

小s位只对目录有意义;

当一个目录拥有小s位,用户在此目录下建立档案的默认属组的组名为此目录的所属组名;

在小s位目录下建立目录会继承小s位权限;

t位:

t位只对目录有意义;

当一个目录拥有t位权限,用户欲删除或改名此目录下的档案。必须同时满足对此目录拥有w权限 和 是欲操作档案的所有者。

文件隐藏属性

文件有隐藏属性,隐藏属性对系统有很大的帮助。尤其是在系统安全(Security)方面,非常重要。下面我们就来谈一谈如何设置与检查这些隐藏的属性。

chattr(设置文件隐藏属性)

[root@linux ~]# chattr [+-=][ASacdistu] 文件或目录名

参数:

+ : 增加某个特殊参数,其他原本存在的参数不动。

– : 删除某个特殊参数,其他原本存在的参数不动。

= : 设置一定,且仅有后面接的参数

A : 当设置了A属性时,这个文件(或目录)的存取时间atime(access)将不可被修改,可避免例如手提电脑有磁盘I/O错误的情况发生。

S : 这个功能有点类似sync。就是将数据同步写入磁盘中。可以有效地避免数据流失。

a : 设置a之后,这个文件将只能增加数据,而不能删除,只有root才能设置这个属性。

c : 这个属性设置之后,将会自动将此文件“压缩”,在读取的时候将会自动解压缩,但在存储的时候,将会先进行压缩后再存储(对于大文件有用)。

d : 当执行dump(备份)程序的时候,设置d属性将可使该文件(或目录)具有转储功效。

i : i的作用很大。它可以让一个文件“不能被删除、改名、设置连接,也无法写入或新增数据”。对于系统安全性有相当大的帮助。

j : 当使用ext3文件系统格式时,设置j属性将会使文件在写入时先记录在journal中。但是,当文件系统设置参数为data=journalled时,由于已经设置日志了,所以这个属性无效。

s : 当文件设置了s参数时,它将会从这个硬盘空间完全删除。

u : 与s相反,当使用u来设置文件时,则数据内容其实还存在磁盘中,可以用来还原删除.

注意:这个属性设置上,比较常见的是a与i的设置值,而且很多设置值必须要root才能设置。

范例:

[root@linux ~]# cd /tmp

[root@linux tmp]# touch attrtest

[root@linux tmp]# chattr +i attrtest

[root@linux tmp]# rm attrtest

rm: remove write-protected regular empty file `attrtest’? y

rm: cannot remove `attrtest’: Operation not permitted

# 看到了吗?连root也没有办法删除这个文件。赶紧解除设置。

[root@linux tmp]# chattr -i attrtest

这个命令很重要,尤其是在系统的安全性方面。由于这些属性是隐藏的,所以需要用lsattr才能看到。笔者认为,最重要的是 +i属性,因为它可以让一个文件无法被更改,对于需要很高系统安全性的人来说,相当重要。还有相当多的属性是需要root才能设置的。此外,如果是登录文 件,就更需要 +a参数,使之可以增加但不能修改与删除原有的数据。将来提到登录文件时,我们再来介绍如何设置它。

lsattr(显示文件的隐藏属性)

[root@linux ~]# lsattr [-aR] 文件或目录

参数:

-a : 将隐藏文件的属性也显示出来。

-R : 连同子目录的数据也一并列出来。

范例:

[root@linux tmp]# chattr +aij attrtest

[root@linux tmp]# lsattr

—-ia—j— ./attrtest

使用chattr设置后,可以利用lsattr来查看隐藏属性。不过,这两个命令在使用上必须要特别小心,否则会造成很大的困扰。例 如,某天你心情好,突然将 /etc/shadow这个重要的密码记录文件设置为具有i属性,那么,过了若干天之后,突然要新增用户,却一直无法新增。怎么办?将i的属性去掉即可。