Linux文系统中权限控制.docVIP

第四章Linux文件系统中权限控制 4.1 文件系统中与权限相关的概念 4.1.1 Linux系统中的用户和组 初次接触 Linux 的朋友大概会觉得很奇怪，Linux 有这么多用户，还要分用户组(又叫做“群组“)，有什么用呢？其实，文件所属的用户与用户组功能是一个相当健全的安全防护。 由于 Linux 是多人多工的操作系统，因此常常会有多人同时使用这部主机工作，为了考虑每个人的隐私权，因此，“文件所有者”的角色就显的相当重要了。例如当我们将某个文件放在自己的工作目录下，并且不希望这个文件的内容被别人看到，这时候，就应该把文件设定成“只有文件拥有者，也即我们自身，才能察看和修改该文件的内容”，由于我们设定了这样的权限，所以其他用户即使知道有这个文件存在，也无法看到该文件的内容。 那么为什么要为文件设定它所属的用户组呢？其实，用户组最简单的功能之一，就是用于团队开发资源。举例来说，假设主机有两个团体：第一个团体为 testgroup，它的成员是 test1, test2, test3 三个；第二个团体名称为 treatgroup，它的团员为 treat1, treat2, treat3。这两个团体之间是互相有竞争性质的，要比赛看谁做的那份报告最好，然而每组团员又需要同时能够修改自己的团体内任何人所建立的文件，且不能让非本团体的人看到这些文件内容。这时候就要通过用户组的权限设置，禁止非本用户组的用户察看本组的文件。同时，如果成员自己还有私人隐秘的文件，还可以设定文件权限，使本团队其他成员也看不到此文件的内容。另外，如果有一个teacher用户是testgroup 与treatgroup这两个用户组的老师，想要同时观察两个组的进度，就要设定teacher用户同时支持testgroup 与treatgroup这两个用户组，这样就可以查看这两个用户组的文件。也就是说，每个用户还可以属于多个用户组。 基于以上的考虑，linux系统中的每个用户都至少属于一个用户组，系统可以对一个用户组中的所有用户进行集中管理。不同Linux 系统对用户组的规定有所不同，如Linux下的用户就默认属于与它同名的用户组，这个用户组在创建用户的同时创建。 4.1.2 Linux系统中的用户类型 在linux系统中，有三种不同类型的用户可对文件或目录进行访问：文件所有者(u)，同组用户(g)、其他用户(o)。 文件所有者： 所有者一般是文件的创建者。文件所有者可以设定该文件对于同组用户和其他用户的访问权限限制。 同组用户： 具有相同性质的所有用户被系统管理员分为组，文件所有者或系统管理员可将文件的权限赋予组中的其它用户。 其他用户： 文件所有者或系统管理员还可以将文件的访问权赋予系统中所与其他用户。这样，系统中每一位用户都可以访问这个文件。 在设定文件权限时，用字符表示用户类型，以下是用户类型对应的字符表示： 用户类型表示： u ：user, 指文件所有者； g ：group, 指同组用户； o ：others, 指同组用户之外的其它用户； a ：all, 代指u、g、o的组合，也即所有用户。 4.2 Linux系统文件的权限表示及应用 由于不可能为每个用户都单独提供完全独立、相互隔离的文件系统，多用户操作系统必须提供一种安全的访问控制机制，使得用户既能和其他用户共享某些文件，又能保证各个用户的文件不会被非法存取或破坏。因而Linux对文件所有者、用户和其他用户，分别设置了存取控制权限，也即读、写和执行权限。 文件的权限有两种表示方法，一种是符号化表示法，另一种是十进制表示法。 符号化表示法使用英文字母r（Read）、w（Write）和x（eXecute）来分别表示读、写 和执行权限。就如3.3.3节ls命令的实例说明部分讲过的，用符号化表示法表示的文件权限共九位，每三位为一组，每一组都是rwx的三个符号与“-”符号的组合，其中“-”符号表示禁止。每组分别代表文件所属用户、同组用户和其他非本组用户对该文件的读(r)、写(w)、执行权限(x)。 十进制表示法利用十进制数字来表示文件的权限。具体值如下： 读权限 (r)：４ 写权限 (w)：２ 执行权限 (x)：１ 下面的表4-1表示了文件的一组权限描述和其符号化表示、十进制表示之间的对应关系，并列出了其十进制表示的计算方法。 符号化表示 十进制表示 十进制表示计算方法 权限描述 rwx 7 4(r) + 2(w) + 1(x) 读、写、执行 rw- 6 4(r) + 2(w) + 0(x) 读、写 r-x 5 4(r) + 0(w) + 1(x) 读、执行 r-- 4 4(r) + 0(w) + 0(x) 只读 -wx 3 0(r) + 2(w) + 1(x) 写、执行 -w- 2 0(r) + 2(w) + 0(