Linux中文件目录访问机制.doc

Linux中的文件目录访问控制机制 本文摘要 在实际的使用过程中，用户意识到在很多应用场景该机制并不能灵活、高效地满足访问控制需求，因而自Linux内核2.6版本开始便支持更为灵活的ACL（访问控制列表）机制。 在实际的使用过程中，用户意识到在很多应用场景该机制并不能灵活、高效地满足访问控制需求，因而自Linux内核2.6版本开始便支持更为灵活的ACL（访问控制列表）机制。本文将通过实例来详细介绍这两种机制的原理及使用。 1、传统的用户－用户组－其他用户（UGO）访问控制机制 UGO（user，group，other）模式原理 Linux系统中的每个文件和目录都有访问许可权限，通过其确定谁可以通过何种方式对文件和目录进行访问和操作。文件或目录的访问权限分为只读，只写 和可执行三种。以文件为例，只读权限表示只允许读其内容，而禁止对其做任何的更改操作；只写权限允许对文件进行任何的修改操作；可执行权限表示允许将该文 件作为一个程序执行。文件被创建时，文件所有者自动拥有对该文件的读、写和可执行权限，以便于对文件的阅读和修改。用户也可根据需要把访问权限设置为需要 的任何组合。 有三种不同类型的用户可对文件或目录进行访问：文件所有者，同组用户、其他用户。所有者一般是文件的创建者。它可以允许同组用户有权访问文件，还可以将文件的访问权限赋予系统中的其他用户。在这种情况下，系统中的每一位用户都能访问该用户拥有的文件或目录。 每一个文件或目录的访问权限都有三组，每组用三位表示，分别为文件属主的读、写和执行权限；与属主同组的用户的读、写和执行权限；系统中其他用户的读、写和执行权限。当用ls-l命令显示文件或目录的详细信息时，最左边的一列为文件的访问权限。例如： #ls -l 总计76 -rw-------1rootroot79711-0620:41anaconda-ks.cfg drwxr-xr-x2rootroot409611-0613:50Desktop -rw-r--r--1rootroot4484311-0620:40install.log -rw-r--r--1rootroot751311-0620:35install.log.syslog 横线代表空许可（即表示不具有该权限）。r代表只读，w代表写，x代表可执行。注意：这里共有10个位置。第1个字符指定了文件类型。在通常意义上， 一个目录也是一个文件。如果第1个字符是横线，表示是一个非目录的文件。如果是d，表示是一个目录。后面的9个字符每三个构成一组，依次表示文件主、组用 户、其他用户对该文件的访问权限。 确定了一个文件的访问权限后，用户可以利用Linux系统提供的chmod命令来重新设定不同的访问权限。也可以利用chown命令来更改某个文件或目录的所有者。 2、扩展的访问控制列表（ACL）方式 为什么要采用ACL UGO访问控制机制在很多情况下难以满足实际文件/目录访问授权的需求，比如，要设定一个组中的部分用户对特定的文件/目录具有读取和访问权限 （rw-），而另外一部分用户只能具备读权限（r--）；这在传统的Linux访问控制中无法通过单纯地建立新的组和用户来实现。因此，为了解决这些问 题，人们提出了一种新的访问控制方法，也就是访问控制列表（ACL，AccessControlList）。 ACL是一个POSIX（可移植操作系统接口，PortableOperatingSystemInterface）标准。目前，支持ACL需要内核 和文件系统的支持。现在2.6内核配合EXT2/EXT3,JFS,XFS,ReiserFS等文件系统都是可以支持ACL的。在目前主流的发行套件，如 RedHatEnterpriseLinux（RHEL）5、RHEL6、Fedora16等等，都已经支持ACL。 ACL的类型及权限位 ACL是由一系列的AccessEntry所组成的。每一条AccessEntry定义了特定的类别可以对文件拥有的操作权限。 AccessEntry主要包括6个，可分为两大类：一类包括owner、owninggroup和other，对应传统UGO机制中的user、group和other；一类则包括nameduser、namedgroup和mask。这六类的主要说明如下： user：相当于Linux里文件所有者的permission nameduser：定义了额外的用户可以对此文件拥有的permission group：相当于Linux里group的permission namedgroup：定义了额外的组可以对此文件拥有的permission mask：定义了nameduser,namedgroup和group的最大权限 other：相当于Linux里other的permissio