《Linux操作系統(tǒng)基礎(chǔ)》課件-項(xiàng)目五 管理文件權(quán)限

項(xiàng)目五管理文件權(quán)限能力目標(biāo)和要求：

（1）理解文件屬性各字段含義。

（2）理解文件基本權(quán)限。

（3）重點(diǎn)掌握文件權(quán)限管理命令。

（4）理解文件的特殊權(quán)限。

（5）理解文件權(quán)限掩碼。

（6）掌握FACL設(shè)置方法。項(xiàng)目五管理文件權(quán)限項(xiàng)目五

思維導(dǎo)圖任務(wù)5.1認(rèn)識(shí)文件屬性文件屬性：

Linux文件系統(tǒng)中的文件是數(shù)據(jù)的集合，文件系統(tǒng)不僅包含文件中的數(shù)據(jù)，還包含了文件（目錄）的節(jié)點(diǎn)、類型、權(quán)限、鏈接數(shù)量、所歸屬的用戶和用戶組、最近訪問(wèn)或修改的時(shí)間等屬性內(nèi)容。圖5-1文件屬性信息示意圖任務(wù)5.1認(rèn)識(shí)文件屬性文件屬性字段說(shuō)明：

表5-1文件屬性各列字段說(shuō)明列數(shù)字段說(shuō)明第1列2717907表示文件的索引節(jié)點(diǎn)（inode，i節(jié)點(diǎn)），索引節(jié)點(diǎn)存放文件的屬性信息，比如文件大小、屬主、屬組、讀寫(xiě)權(quán)限等，并保存文件的實(shí)際存放位置。第2列-rw-rwxr--表示文件類型和基本權(quán)限，總10位。其中第1個(gè)字符（-）表示文件類型，其余9個(gè)字符（rw-rwxr--）表示文件的基本權(quán)限。第3列2對(duì)于普通文件，此字段表示文件硬鏈接數(shù)；對(duì)于目錄文件，此字段表示一級(jí)子目錄數(shù)。第4列root表示文件的所有者或稱文件屬主，此為root用戶。第5列root表示文件的所歸屬的用戶組或稱文件屬組，此為root組第6列870表示文件所占用的空間的大小，默認(rèn)以字節(jié)為單位。如果是一個(gè)目錄，則表示該目錄文件本身的大小。第7列2月1823:30表示文件的最后訪問(wèn)或最后修改的時(shí)間。第8列file2表示文件名。任務(wù)5.1認(rèn)識(shí)文件屬性5.1.1文件名命名規(guī)則

在Linux系統(tǒng)中，因有些字符具有特殊含義，因此在對(duì)文件進(jìn)行命名時(shí)，需遵循相應(yīng)的命名規(guī)則：

（1）在ext3和xfs文件系統(tǒng)中文件名最長(zhǎng)長(zhǎng)度為255個(gè)字符，ext4文件系統(tǒng)為256個(gè)字符；

（2）文件名區(qū)分大小寫(xiě)；

（3）除了“/”符號(hào)之外，所有的字符都可以用于命名文件名；

（4）“.”“..”符號(hào)不能單獨(dú)用于命名文件名，因“.”表示當(dāng)前目錄，“..”表示父目錄；

（5）避免使用“+”、“-”“.”符號(hào)作為文件名的第1個(gè)字符。以“.”開(kāi)頭的文件表示隱藏文件；

（6）建議不使轉(zhuǎn)義符命名，如：*、?、空格、$、&等符號(hào)，否則文件執(zhí)行時(shí)容易出錯(cuò)；任務(wù)5.1認(rèn)識(shí)文件屬性5.1.2文件類型

在Linux操作系統(tǒng)中，一切皆文件，包括硬盤(pán)、顯示器等硬件設(shè)備。跟Windows操作系統(tǒng)使用擴(kuò)展名來(lái)表示文件類型不同，在Linux系統(tǒng)中沒(méi)有擴(kuò)展名的概念。

表5-2常見(jiàn)的文件類型文件類型表示符號(hào)描述普通文件-是最常使用的一類文件，其特點(diǎn)是不包含有文件系統(tǒng)信息的結(jié)構(gòu)信息。按其內(nèi)部結(jié)構(gòu)一般分為純文本文件和二進(jìn)制文件。目錄文件d目錄文件是一種特殊文件，目錄文件中保存著該目錄下其他文件的inode號(hào)和文件名等相關(guān)信息。鏈接文件l鏈接文件也是一種特殊文件，其指向一個(gè)真實(shí)存在的文件鏈接，可分為硬鏈接文件和軟鏈接文件。塊設(shè)備文件b塊設(shè)備文件支持以塊（block）為單位的訪問(wèn)方式，常見(jiàn)的有硬盤(pán)、軟盤(pán)等塊設(shè)備。字符設(shè)備文件c字符設(shè)備文件以字節(jié)流的方式進(jìn)行訪問(wèn)，常見(jiàn)的有字符終端、串口、鍵盤(pán)等字符設(shè)備。套接字文件s套接字文件用來(lái)實(shí)現(xiàn)兩端通信，一般用于網(wǎng)絡(luò)數(shù)據(jù)連接。管道文件p管道文件是一種很特殊的文件，主要用于不同進(jìn)程的信息傳遞。任務(wù)5.1認(rèn)識(shí)文件屬性5.1.3索引節(jié)點(diǎn)（inode）

在Linux系統(tǒng)中，文件數(shù)據(jù)在以“塊”（block）為單位進(jìn)行存儲(chǔ)（塊一般由連續(xù)的8個(gè)扇區(qū)組成，常見(jiàn)塊的大小為4KB）。為了能讀取數(shù)據(jù)“塊”，還需要有專門(mén)的區(qū)域來(lái)存儲(chǔ)文件的元信息，此區(qū)域稱之為索引節(jié)點(diǎn)（inode），也稱為i節(jié)點(diǎn)。索引節(jié)點(diǎn)所包含的文件元信息有：

（1）文件字節(jié)數(shù)；

（2）文件屬主；

（3）文件屬組；

（4）文件權(quán)限；

（5）文件時(shí)間戳（ctime、mtime、atime）；

（6）文件鏈接數(shù)，即有多少個(gè)文件名指向此inode；

（7）文件數(shù)據(jù)block的位置。

任務(wù)5.1認(rèn)識(shí)文件屬性5.1.3索引節(jié)點(diǎn)（inode）

系統(tǒng)在讀取數(shù)據(jù)時(shí)是通過(guò)i節(jié)點(diǎn)號(hào)來(lái)進(jìn)行的，而非文件名。用戶通過(guò)文件名打開(kāi)文件，系統(tǒng)內(nèi)部將此過(guò)程分為四步：

（1）系統(tǒng)查找到文件名所對(duì)應(yīng)的i節(jié)點(diǎn)號(hào)；

（2）通過(guò)i節(jié)點(diǎn)號(hào)，獲取inode信息；

（3）根據(jù)inode信息，找到文件數(shù)據(jù)所在的block；

（4）查看用戶具有的訪問(wèn)權(quán)限，如有權(quán)限訪問(wèn)，則指向?qū)?yīng)的數(shù)據(jù)block，否則返回權(quán)限拒絕提示。 操作系統(tǒng)在格式化時(shí)，會(huì)把硬盤(pán)分成兩個(gè)區(qū)域，一個(gè)是數(shù)據(jù)區(qū)，用于存放文件數(shù)據(jù)。另一個(gè)是inode區(qū)，存放inode所包含的信息。每個(gè)inode的大小，一般是128字節(jié)或256字節(jié)。inode總數(shù)在格式化時(shí)就已經(jīng)確定。而一個(gè)文件必須占用一個(gè)inode，至少占用一個(gè)數(shù)據(jù)塊。任務(wù)5.2理解文件的權(quán)限5.2.1文件從屬關(guān)系

Linux操作系統(tǒng)特性之一是多任務(wù)多用戶，為了進(jìn)行權(quán)限隔離，文件在被進(jìn)程訪問(wèn)時(shí)都是居于某一特定用戶的。文件與用戶的從屬關(guān)系有三類：

（1）文件屬主（ower）：文件所有者，默認(rèn)為文件的創(chuàng)建者；

（2）文件屬組（group）：對(duì)文件具有相同權(quán)限的一組用戶；

（3）其他用戶（others）：除了屬主和屬組里用戶的其他用戶；

進(jìn)程對(duì)文件的訪問(wèn)權(quán)限應(yīng)用模型為：

（1）先判斷進(jìn)程的屬主與文件的屬主是否相同，如果相同，則應(yīng)用屬主的權(quán)限；

（2）否則，再檢查進(jìn)程的屬主是否屬于文件的屬組，如果是，則應(yīng)用屬組的權(quán)限；否則，最后就只能應(yīng)用其他用戶的權(quán)限；任務(wù)5.2理解文件的權(quán)限5.2.2文件基本權(quán)限

文件的基本權(quán)限分為3類：可讀（r）、可寫(xiě)（w)、可執(zhí)行（x）表5-3文件一般權(quán)限描述文件權(quán)限表示字符描述可讀r對(duì)文件而言，表示對(duì)文件具有讀取文件內(nèi)容的權(quán)限對(duì)目錄而言，表示瀏覽目錄的權(quán)限，如無(wú)x權(quán)限，則無(wú)法讀取目錄下的文件信息?？蓪?xiě)w對(duì)文件而言，表示對(duì)文件具有新增、修改文件內(nèi)容的權(quán)限；對(duì)目錄而言，表示可修改此目錄下的文件列表，即具有在該目錄下創(chuàng)建或刪除文件的權(quán)限?？蓤?zhí)行x對(duì)文件而言，表示可將此文件發(fā)起為進(jìn)程；對(duì)目錄而言，表示可使用cd命令切換到此目錄。配合r權(quán)限，才可使用ls-l等命令讀取文件的屬性信息。任務(wù)5.2理解文件的權(quán)限5.2.2文件基本權(quán)限

文件的基本權(quán)限分為3類：可讀（r）、可寫(xiě)（w)、可執(zhí)行（x）表5-3文件一般權(quán)限描述文件權(quán)限表示字符描述可讀r對(duì)文件而言，表示對(duì)文件具有讀取文件內(nèi)容的權(quán)限對(duì)目錄而言，表示瀏覽目錄的權(quán)限，如無(wú)x權(quán)限，則無(wú)法讀取目錄下的文件信息?？蓪?xiě)w對(duì)文件而言，表示對(duì)文件具有新增、修改文件內(nèi)容的權(quán)限；對(duì)目錄而言，表示可修改此目錄下的文件列表，即具有在該目錄下創(chuàng)建或刪除文件的權(quán)限?？蓤?zhí)行x對(duì)文件而言，表示可將此文件發(fā)起為進(jìn)程；對(duì)目錄而言，表示可使用cd命令切換到此目錄。配合r權(quán)限，才可使用ls-l等命令讀取文件的屬性信息。任務(wù)5.2理解文件的權(quán)限5.2.2文件基本權(quán)限

文件使用9個(gè)權(quán)限位來(lái)描述3類用戶對(duì)文件的權(quán)限組合機(jī)制，左三位定義屬主用戶的權(quán)限，中三位定義了屬組的權(quán)限，右三位定義了其他用用戶的權(quán)限。圖5-2文件權(quán)限的組合機(jī)制任務(wù)5.3權(quán)限管理命令5.3.1修改文件權(quán)限命令

命令格式：chmod[選項(xiàng)]mode文件

命令功能：修改或重置文件或者目錄的權(quán)限。權(quán)限的授權(quán)方式分為符號(hào)模式法和數(shù)字賦權(quán)法。

表5-4chmod常用選項(xiàng)選項(xiàng)功能-c若該文件權(quán)限確實(shí)已經(jīng)更改，才顯示其更改動(dòng)作-f若該文件權(quán)限無(wú)法被更改也不要顯示錯(cuò)誤訊息-v顯示權(quán)限變更的詳細(xì)信息-R對(duì)當(dāng)前目錄下的所有文件與子目錄進(jìn)行相同的權(quán)限變更，即以遞歸的方式逐個(gè)變更任務(wù)5.3權(quán)限管理命令5.3.1修改文件權(quán)限命令

1.符號(hào)模式法

使用符號(hào)模式方法進(jìn)行對(duì)文件權(quán)限修改時(shí)，mode格式如下：

[ugoa...][[+-=][rwx]...][,...]

使用符號(hào)模式（mode）涉及到who（用戶類型）、opterator（操作符）和permission（權(quán)限）三個(gè)項(xiàng)目，每個(gè)項(xiàng)目的設(shè)置可以用逗號(hào)分隔開(kāi)。

表5-5who符號(hào)意義who用戶類型說(shuō)明uuser屬主，文件所有者ggroup屬組，文件所有者所在組oothers除了屬主和屬于屬組用戶之外的其他用戶aall所用用戶，相當(dāng)于ugo表5-6operator符號(hào)意義operator說(shuō)明+在原權(quán)限基礎(chǔ)上增加指定的用戶權(quán)限-去除指定用戶的權(quán)限=設(shè)置指定用戶的權(quán)限，即將用戶的所有權(quán)限重新設(shè)置，舊的權(quán)限將被清除。表5-7permission符號(hào)意義模式權(quán)限說(shuō)明r讀設(shè)置為可讀權(quán)限w寫(xiě)設(shè)置為可寫(xiě)權(quán)限x執(zhí)行權(quán)限設(shè)置為可執(zhí)行權(quán)限任務(wù)5.3權(quán)限管理命令5.3.1修改文件權(quán)限命令

2.數(shù)字賦權(quán)法

命令格式：chmodabc文件

命令功能：使用數(shù)字賦權(quán)法設(shè)置文件的權(quán)限。其中a，b，c各為屬主、屬組、其他用戶權(quán)限位數(shù)字之和。

表5-8權(quán)限數(shù)字八進(jìn)制權(quán)限權(quán)限符號(hào)數(shù)字之和二進(jìn)制0無(wú)---0+0+00001只執(zhí)行--x0+0+10012只寫(xiě)-w-0+2+00103寫(xiě)+執(zhí)行-wx0+2+10114只讀r--4+0+01005讀+執(zhí)行r-x4+0+11016讀+寫(xiě)rw-4+2+01107讀+寫(xiě)+執(zhí)行rwx4+2+1111任務(wù)5.3權(quán)限管理命令5.3.2從屬關(guān)系管理命令

1.chown命令

命令格式：chown[選項(xiàng)]...[用戶][:[組群]]文件...

命令功能：更改文件的屬主和屬組。用戶和組群必須事先存在，用戶可以是用戶名或者UID號(hào)，組群可以是組名或者GID號(hào)，文件是以空格分開(kāi)的要改變權(quán)限的文件列表，支持通配符。

表5-9chown常用選項(xiàng)選項(xiàng)功能-v顯示詳細(xì)的處理信息-R遞歸地更改該目錄下的所有文件任務(wù)5.3權(quán)限管理命令5.3.2從屬關(guān)系管理命令

2.chgrp命令

命令格式：chgrp[選項(xiàng)]..組群文件...

命令功能：更改文件的屬組。組群必須事先存在，組群可以是組名或者GID號(hào)，文件是以空格分開(kāi)的要改變權(quán)限的文件列表，支持通配符。

表5-10chgrp常用選項(xiàng)選項(xiàng)功能-v顯示詳細(xì)的處理信息-R遞歸地更改該目錄下的所有文件任務(wù)5.4特殊權(quán)限5.4.1SUID權(quán)限

權(quán)限作用：當(dāng)用戶把某一個(gè)二進(jìn)制文件發(fā)起為一個(gè)進(jìn)程時(shí)，如果該文件擁有SUID權(quán)限，則該進(jìn)程在運(yùn)行期間，臨時(shí)獲得該二進(jìn)制文件屬主的權(quán)限，進(jìn)程結(jié)束時(shí)，屬主權(quán)限被收回。該權(quán)限只對(duì)二進(jìn)制文件有效。

表現(xiàn)形式：如果二進(jìn)制文件屬主擁有x權(quán)限，則屬主x權(quán)限位顯示為小字s，否則顯示為大字S。

賦權(quán)方法：chmodu+sfile\\為文件增加SUID權(quán)限

chmodu-sfile\\去除文件SUID權(quán)限

圖5-3SUID操作示意圖任務(wù)5.4特殊權(quán)限5.4.2SGID權(quán)限

權(quán)限作用：SGID對(duì)二進(jìn)制文件和目錄都起作用。

（1）當(dāng)用戶把某一個(gè)二進(jìn)制文件發(fā)起為一個(gè)進(jìn)程時(shí)，如果該文件擁有SGID權(quán)限，則該進(jìn)程在運(yùn)行期間，臨時(shí)擁有該二進(jìn)制文件屬組的權(quán)限，進(jìn)程結(jié)束時(shí)，屬組權(quán)限被收回。

（2）當(dāng)目錄文件擁有SGID權(quán)限時(shí)，任何人在該目錄下創(chuàng)建的文件的屬組與該目錄的屬組相同。

表現(xiàn)形式：如果文件（目錄）屬組擁有x權(quán)限，則屬組x權(quán)限位顯示為小字s，否則顯示為大字S。

賦權(quán)方法：chmodg+sfile\\為文件增加SGID權(quán)限

chmodg-sfile\\去除文件SGID權(quán)限

任務(wù)5.4特殊權(quán)限5.4.3STICKY權(quán)限

權(quán)限作用：僅對(duì)目錄有效。讓多個(gè)用戶都具有寫(xiě)權(quán)限的目錄，每個(gè)用戶只能刪自己的文件。當(dāng)對(duì)于一個(gè)目錄作用了STICKY權(quán)限之后，在該目錄下創(chuàng)建的文件僅其創(chuàng)建者自己和root用戶才能刪除。典型目錄如系統(tǒng)的公共目錄/tmp。

表現(xiàn)形式：如果目錄文件的其他用戶擁有x權(quán)限，則屬組x權(quán)限位顯示為小字t，否則顯示為大字T。

賦權(quán)方法：chmodg+tfile\\為文件增加SBIT權(quán)限

chmodg-tfile\\去除文件SBIT權(quán)限

任務(wù)5.4特殊權(quán)限5.4.4特殊權(quán)限數(shù)字賦權(quán)法

特殊權(quán)限除了可以使用符號(hào)賦權(quán)方法進(jìn)行權(quán)限的設(shè)置之外，也可以使用數(shù)字方式進(jìn)行，它是在原來(lái)r、w、x權(quán)限數(shù)字的基礎(chǔ)上再增加一個(gè)新的權(quán)限位。各特殊權(quán)限的數(shù)字分別是：SUID：4，SGID：2，STICKY：1。

賦權(quán)方法：chmodabcdfile

任務(wù)5.5權(quán)限掩碼5.5.1權(quán)限掩碼概念

（1）權(quán)限掩碼（umask）用于確定當(dāng)用戶新建文件或目錄時(shí)的所具有的默認(rèn)權(quán)限。

（2）在Linux系統(tǒng)中，如果沒(méi)有權(quán)限掩碼，當(dāng)用戶創(chuàng)建目錄時(shí)，目錄具有的默認(rèn)權(quán)限為：drwxrwxrwx，即數(shù)字777；當(dāng)用戶創(chuàng)建的是文件時(shí)，文件具有的默認(rèn)權(quán)限為：-rw-rw-rw-，即數(shù)字666。

（3）權(quán)限掩碼（umask）則表示我們?cè)趧?chuàng)建新文件或目錄時(shí)，從默認(rèn)權(quán)限中拿走的權(quán)限。任務(wù)5.5權(quán)限掩碼5.5.2設(shè)置權(quán)限掩碼

命令格式：umask權(quán)限掩碼數(shù)字

例如： [root@localhost~]#umask [root@localhost~]#umask-S [root@localhost~]#touch/tmp/test1.txt [root@localhost~]#mkdir/tmp/dir1 [root@localh