Linux UGO和ACL权限管理

自主访问控制(Discretionary Access Control, DAC)是指对象(比如程序、文件、进程)的拥有者可以任意修改或者授予此对象相应的权限。Linux的UGO(User, Group, Other)和ACL(Access Control List)权限管理方式就是典型的自主访问控制。UGO将权限信息存储在节点的权限中,ACL将权限位信息存储在节点的扩展属性中。

1、Linux UGO权限管理

1.1 普通权限

当一个文件创建后,它具有读(r)、写(w)、执行(x)三种操作方式。UGO权限管理方式将访问文件的操作者简单分为三类:文件属主(u)、同组用户(g)与其他组用户(o)。

文件的三种操作方式用三个二进制位表示,第一位表示读权限,第二位表示写权限,第三位表示执行权限。一个文件的权限属性就是有三类用户对该文件的权限使能的集合。当我们用ls查看一个文件的时候,会显示如下结果

linuxidc@linuxidc:~$ ls -l test
-rw-rw-r-- 1 linuxidc xlzh 0  3月 15 15:12 test
linuxidc@linuxidc:~$

最前面的’-’,表示文件为普通类型

第一组的‘rw-’,表示文件属主对文件具有读和写权限,但没有执行权限

第二组的’rw-’,表示同组其他用户对文件具有读和写权限,但没有执行权限

第三组的’r--’,表示其他组用户对文件具有读权限,但没有写和执行权限

上述每一组权限用可以用二进制表示,例如’rw-’,二进制表示是110,十进制数值是6,‘r--’,二进制表示100, 十进制数值是4;所以对每一组权限都可以用十进制来表示。当使用chmod修改文件权限的时候就可以使用十进制代替‘rwx’,例如

linuxidc@linuxidc:~$ ls -l test
-rw-rw-r-- 1 linuxidc xlzh 0  3月 15 15:12 test
linuxidc@linuxidc:~$ chmod 766 test
linuxidc@linuxidc:~$ ls -l test
-rwxrw-rw- 1 linuxidc xlzh 0  3月 15 15:12 test
linuxidc@linuxidc:~$

当然也可以通过chmod u+x,o+w test实现与上述同样的功能。具体使用哪种方式,单凭个人喜好。

在linux下一切皆文件,目录也不例外,但目录的读写执行权限与普通文件的读写执行权限含义有所不同,如下所示

权限位文件目录
r可以读文件可以查看目录中内容
w可以写文件可以增删目录中内容
x可以执行文件可以进入目录

1.2 特殊权限

1.1节描述了常用的权限位,但还有几个特殊的权限位需要知道,分别是s(suid),s(sgid), t(Sticky Bit)。首先看一下linux下的/usr/passwd文件和/tmp目录

linuxidc@linuxidc:~$ ls -l /usr/bin/passwd 
-rwsr-xr-x 1 root root 42824  9月 13  2012 /usr/bin/passwd
linuxidc@linuxidc:~$ ls -ld /tmp
drwxrwxrwt 16 root root 12288  3月 15 15:31 /tmp
linuxidc@linuxidc:~$

可以看到/usr/bin/passwd的第一组权限位和上一节有所不同,第三个标志位变成了s。当属主用户对文件设置了suid位后,其他用户在执行该文件的时候则具有等同于属主的权限。

还是以passwd命令为例,普通用户可以用passwd修改自己的密码,而用户密码的hash存储在/etc/shadow文件中,修改密码必然要修改此文件,我们看下此文件

linuxidc@linuxidc:~$ ls -l /etc/shadow
-rw-r----- 1 root shadow 1647  2月 18 09:46 /etc/shadow
linuxidc@linuxidc:~$

发现只有root用户可以修改此文件,也就是说当普通用户执行passwd命令的时候,其权限变为root的权限,故可以修改/etc/shadow文件。

guid类似

SUID对目录没有影响,SGID对目录有影响,对于设置了SGID的目录,所有用户在该目录下新建的文件属主输入该用户,但GID是该目录所属的组,如下

linuxidc@linuxidc:~$ sudo mkdir -m 2777 test
linuxidc@linuxidc:~$ ls -ld test
drwxrwsrwx 2 root root 4096  3月 28 16:23 test
linuxidc@linuxidc:~$ cd test
linuxidc@linuxidc:~/test$ touch 1.txt
-rw-rw-r-- 1 linuxidc root 0  3月 28 16:23 1.txt

而对于t,又叫粘着位,仅对目录生效。在具有t位的目录下,如果用户在该目录下具有w及x权限,则当用户在该目录下建立文件或目录时,只有文件拥有者与root才有权力删除。/tmp目录则是最好的例子,每个应用都可以在tmp目录下新建删除自己的文件,但却不能删除其应用建立的文件。

那么如何修改文件的sst权限呢?还是使用chmod命令,由第一节我们知道可以用十进制数值设置UGO对文件的访问权限,同样对于特殊权限位,也可以使用。只需在原来的数值前面加上sst的十进制数值。有时候我们还会看到大写的SST,那是因为可执行位为0,所以显示为大写,例如

linuxidc@linuxidc:~$ ls -l test
-rw-rw-r-- 1 linuxidc xlzh 0  3月 15 15:52 test
/*为文件增加sst,仅做演示,实际上t为对文件不生效*/
linuxidc@linuxidc:
~$ chmod 7777 test
/*为文件加上了suid, sgid, Sticky Bit位*/
linuxidc@linuxidc:
~$ ls -l test
-rwsrwsrwt 1 linuxidc xlzh 0  3月 15 15:52 test
/*去除文件的可执行位*/
linuxidc@linuxidc:
~$ chmod 7666 test
/*显示为大写*/
linuxidc@linuxidc:
~$ ls -l test
-rwSrwSrwT 1 linuxidc xlzh 0  3月 15 15:52 test
linuxidc@linuxidc:
~$

1.3 掩码

先做一个实验,在linux下分别建立一个目录和一个文件,查看其权限位

linuxidc@linuxidc:~$ mkdir dir
linuxidc@linuxidc:
~$ touch test linuxidc@linuxidc:~$ ls -ld dir
drwxrwxr
-x 2 linuxidc xlzh 4096  3月 15 15:57 dir
linuxidc@linuxidc:
~$ ls -l test
-rw-rw-r-- 1 linuxidc xlzh 0  3月 15 15:57 test
linuxidc@linuxidc:
~$

可以看到,新建的目录全显示775,新建的文件是664,为什么新建的文件和目录权限不是777呢?就是由于掩码的存在,当用户新建一个目录的时候,是777与掩码做与操作,当用户新建一个文件的时候,是666与掩码做与操作。可以用umask命令查看当前系统掩码

linuxidc@linuxidc:~$ umask
0002
linuxidc@linuxidc:~$

新建目录是777与007做掩码,结果正是775,新建文件是666与002做掩码,结果正是664。

当然,还可以通过umask命令修改系统掩码,新建文件的权限位也跟着改变。

相关推荐