第六章 Linux 的文件权限与目录配置
1. 在Linux里面,任何一个文件都具有『User, Group及Others』三种身份的个别权限。每个账号都可以有多个群组。
2. Linux系统中,默认情况下,所有的系统上的账号包括一般身份使用者,还有root的相关信息, 都是记录在/etc/passwd这个文件内的。个人的密码则是记录在/etc/shadow这个文件下。 此外,Linux所有的组名都记录在/etc/group内。
3. ls是『list』的意思,重点在显示文件的文件名与相关属性。而选项『-al』则表示列出所有的文件详细的权限与属性 (包含隐藏文件,就是文件名第一个字符为『 . 』的文件)。ls -al 的显示结果解释如下:
4. 文件的类型与权限一栏共有十个字符:
第一个字符代表这个文件是『目录、文件或链接文件等等』:
1) 若是[ d ]则是目录;
2) 若是[ - ]则是文件;
3) 若是[ l ]则表示为连结档(link file);
4) 若是[ b ]则表示为装置文件里面的可供储存的接口设备(可随机存取装置);
5) 若是[ c ]则表示为装置文件里面的串行端口设备,例如键盘、鼠标(一次性读取装置)。
接下来的字符中,以三个为一组,均为『rwx』 的三个参数的组合。其中,[ r ]代表可读(read)、[ w ]代表可写(write)、[ x ]代表可执行(execute)。 这三个权限的位置不会改变,如果没有权限,就会出现减号[ - ]而已。第一组为『档案拥有者的权限』,第二组为『同群组的权限』,第三组为『其他非本群组的权限』。
5. 连结数一栏表示有多少文件连结到此节点(i-node)。每个文件都会将它的权限与属性记录到文件系统的i-node中,然而我们使用的目录树却是使用文件名来标识文件的, 因此每个文件名就会连结到一个i-node,这个属性记录的,就是有多少不同的文件名连结到相同的一个i-node上去。
6. 在Linux系统下,你的账号会附属于一个或多个的群组中。
7. 如果想要让系统默认的语系变成英文的话,可以修改系统配置文件『/etc/sysconfig/i18n』,将LANG变量设成en_US。
8. chgrp [-R] 群组名称 档案或目录可以改变一个文件的群组。-R选项表示进行递归(recursive)地持续变更,亦即连同子目录下的所有文件、目录都更新成为这个群组之意。这个指令就是change group的缩写,要被改变的组名必须要在/etc/group档案内存在才行,否则就会显示错误。
9. chown [-R] 账号名称 档案或目录 可以改变一个文件的拥有者。-R选项的含意与chgrp命令一样。这个指令就是change owner的缩写。账号名称必须是已经存在系统中的账号,也就是在/etc/passwd 这个档案中有记录的用户名称才能改变。chown [-R] 账号名称:组名 档案或目录 还可以直接修改群组的名称。这里分隔符也可以是小数点,不过如果账号当中存在小数点(例如vbird.tsai这样的账号格式),这就会造成系统的误判了。chown也能单纯地修改所属群组:chown .sshd install.log
10. 复制行为(cp)会复制执行者(不是源文件)的属性(群组与拥有者)与源文件的权限。
11. 档案权限的改变使用的是chmod这个指令。权限的设定方法有两种, 分别可以使用数字或者是符号来进行权限的变更。
12. 使用数字改变档案权限的语法如下:chmod [-R] xyz 档案或目录, 其中xyz是三个数字,分别代表三个权限(拥有者,群组,其他),每一个权限可以认为是一个3位的二进制数,每一位分别代表,读、写和执行权限,拥有该权限,则该位为1,否则为0。然后得出其对应的十进制值,三个权限就会对应三个十进制数,也就是这里的xyz。例如:-rw-r--r--对应的三个二进制数分别是110, 100, 100,所以xyz就是644。
13. 使用符号改变档案权限的语法如下:
| chmod | u g o a | +(加入) -(除去) =(设定) | r w x | 档案或目录 |
这里, u、g、o、a分别代表user,group,other,all权限,也就是拥有者,群组,其他和所有权限。而r,w,x则代表了读、写和执行权限。例如:chmod u=rwx,go=rx .bashrc,就是设定.bashrc的权限为-rwxr-xr-x。
14. 档案是实际含有数据的地方,权限对于档案的意义是:
1) r (read):可读取此档案的实际内容,如读取文本文件的文字内容等;
2) w (write):可以编辑、新增或者是修改该档案的内容(但不含删除该档案);
3) x (eXecute):该档案具有可以被系统执行的权限。
对于档案的rwx来说, 主要都是针对『档案的内容』而言,与档案档名以及档案存在与否没有关系。因为档案记录的是实际的数据。
15. 目录主要的内容在记录文件名列表,权限对于目录的意义是:
1) r (read contents in directory): 表示具有读取目录结构列表的权限,所以当你具有读取一个目录的权限时,表示你可以查询该目录下的文件名。 所以你就可以利用 ls 这个指令将该目录的内容列表显示出来。
2) w (modify contents of directory): 这个可写入的权限对目录来说,表示你具有改动该目录结构列表的权限,包含:
a) 建立新的档案与目录;
b) 删除已经存在的档案与目录(不论该档案的权限为何。)
c) 将已存在的档案或目录进行更名;
d) 移动该目录内的档案、目录的位置。
3) x (access directory):目录不可以被执行,目录的x代表的是用户能否进入该目录成为工作目录的用途。所谓的工作目录(work directory)就是你目前所在的目录。而变换工作目录的指令是『cd』(change directory)。
工作目录对于指令的执行是非常重要的,如果你在某目录下不具有x的权限, 那你就无法执行该目录下的任何指令,即使你具有该目录的r的权限。要开放目录给任何人浏览时,应该至少也要给予r及x的权限。
By Sean: 其实如果你不具备该目录的x权限,你是无法读取该目录下文件的除文件名以外的别的属性和内容的。同样也无法在该目录下移动,删除,新建文件。
16. Linux在使用者登入时,都会将登录的数据记录在 /var/log/wtmp那个档案内,该档案是一个data file,他能够通过last这个指令读出来。
17. Linux支持以下档案类型:
1) 常规文件(regular file ): 就是一般我们在进行存取的文件类型,在由 ls -al 所显示出来的属性中,第一个字符为 [ - ]。
2) 目录(directory): 就是目录,第一个属性为 [ d ]。
3) 链接文件(link):就是类似Windows系统底下的快捷方式。第一个属性为 [ l ]。
4) 设备与装置文件(device): 与系统周边及储存等相关的一些档案, 通常都集中在/dev这个目录下。通常分为两种:
a) 区块(block)设备档 :就是一些储存数据, 以提供系统随机存取的接口设备,如硬盘与软盘等。你可以随机的在硬盘的不同区块读写,这种装置就是区块设备。第一个属性为[ b ]。
b) 字符(character)设备档:是一些串行端口的接口设备, 例如键盘、鼠标等等。这些设备的特色就是『一次性读取』的, 不能够截断输出。比如,你不可能让鼠标『跳到』另一个画面,而是『滑动』到另一个地方。第一个属性为 [ c ]。
5) 数据接口文件(sockets): 这种类型的档案通常被用在网络上的数据承接。我们可以启动一个程序来监听客户端的要求, 而客户端就可以通过这个socket来进行数据的沟通。第一个属性为 [ s ], 最常在/var/run这个目录中看到这种文件类型。
6) 数据输送文件(FIFO, pipe): FIFO也是一种特殊的文件类型,他主要的目的在解决多个程序同时存取一个档案所造成的错误问题。 FIFO是first-in-first-out的缩写。第一个属性为[p] 。
18. Linux下,使用默认的Ext2/Ext3文件系统时,档案的档名长度限制为:
1) 单一档案或目录的最长文件名为 255 个字符;
2) 包含完整路径名称及目录 (/) 的完整档名最长为 4096 个字符。
19. FHS(Filesystem Hierarchy Standard http://www.pathname.com/fhs/)的主要目的是希服让使用者可以了解到已安装软件通常放置于哪个目录下, 所以希服独立的软件开发商、操作系统制作者、以及想要维护系统的用户,都能够遵循FHS的标准。
20. FHS依据文件系统使用的频繁与否以及是否允许使用者随意更改, 而将目录定义成为四种交互作用的形态:
1) 可分享的:可以分享给其他系统挂载使用的目录,所以包括执行文件与用户的邮件等数据, 是能够分享给网络上其他主机挂载用的目录;
2) 不可分享的:自己机器上面运作的装置档案或者是与程序有关的socket档案等, 由于仅与自身机器有关,所以当然就不适合分享给其他主机了。
3) 不变的:有些数据是不会经常变动的,跟随着distribution而不变动。 例如函数库、说明文件、系统管理员所管理的主机服务配置文件等等;
4) 可变动的:经常改变的数据,例如登录文件、一般用户可自行收受的新闻组等。
| 可分享的(shareable) | 不可分享的(unshareable) | |
| 不变的(static) | /usr (软件放置处) | /etc (配置文件) |
| /opt (第三方协力软件) | /boot (开机与核心档) | |
| 可变动的(variable) | /var/mail (使用者邮件信箱) | /var/run (程序相关) |
| /var/spool/news (新闻组) | /var/lock (程序相关) |
21. FHS针对目录树架构仅定义出三层目录下应该放置什么数据而已:
1) / (root, 根目录)
2) /usr (Unix Software Resources)
3) /var (variable)
22. root目录与开机/还原/系统修复系统有关;FHS要求根目录不要放在非常大的分区内, 因为越大的分区放入的数据越多,分区可能会发生错误的机会越大。因此FHS标准建议:根目录所在分区应该越小越好, 且应用程序所安装的软件最好不要与根目录放在同一个分区内。因此FHS定义出根目录底下应该要有如下这些子目录:
| 目录 | 应放置的文件内容 |
| 第一部份:FHS 要求必须要存在的目录 | |
| /bin | 系统有很多放置执行文件的目录,但/bin比较特殊。因为/bin放置的是在单人维护 模式下还能够被操作的指令。 在/bin底下的指令可以被root与一般账号所使用,主 要有:cat, chmod, chown, date, mv, mkdir, cp, bash等等常用的指令。 |
| /boot | 这个目录主要放置开机会使用的档案,包括Linux核心档案以及开机选单与开机所需 配置文件等等。Linux kernel常用的档名为:vmlinuz,如果使用的是grub这个开机 管理程序, 则还会存在/boot/grub/这个目录。 |
| /dev | 在Linux系统上,任何装置与接口设备都是以档案的形态存在于这个目录当中的。 你 只要通过存取这个目录底下的某个档案,就等于存取某个装置。 |
| /etc | 系统主要的配置文件几乎都放置在这个目录内,一般来说,这个目录下的各文件属性 是可以让一般使用者查阅的, 但是只有root有权力修改。FHS建议不要放置可执行文 件(binary)在这个目录中。其下重要的目录有: 1) /etc/init.d/:所有服务的默认启动 script 都是放在这里的,例如要启动或者关闭 iptables 的话:『 /etc/init.d/iptables start』、『/etc/init.d/iptables stop』 2) /etc/xinetd.d/:这就是所谓的super daemon管理的各项服务的配置文件目录。 3) /etc/X11/:与 X Window 有关的各种配置文件都在这里,尤其是 xorg.conf 这个 X Server 的配置文件。 |
| /lib | 系统的函数库非常的多,而/lib放置的则是在开机时会用到的函数库, 以及在/bin或/sbin 底下的指令会呼叫的函数库而已。尤其重要的是/lib/modules/这个目录, 因为该目录会放 置核心相关的模块(驱动程序)。 |
| /media | media是『媒体』的英文,/media底下放置的就是可移除的装置。包括软盘、光盘、DVD 等等装置都暂时挂载于此。常见的档名有:/media/floppy, /media/cdrom等等。 |
| /mnt | 如果想要暂时挂载某些额外的装置,一般建议可以放置到这个目录中。 在很早时候,这个 目录的用途与/media相同。只是有了/media后,这个目录就用来暂时挂载用了。 |
| /opt | 这个是给第三方协力软件放置的目录。什么是第三方协力软件呢?举例来说,KDE这个桌 面管理系统是一个独立的计划,不过它可以安装到Linux系统中,因此KDE的软件就建议放 置到此目录下了。 另外,如果想要自行安装额外的软件(非原本的distribution提供的),那也 能够将你的软件安装到这里来。 不过,以前的Linux系统中,还是习惯放置在/usr/local目录 下。 |
| /root | 系统管理员(root)的家目录。之所以放在这里,是因为如果进入单人维护模式而仅挂载根目录 时, 该目录就能够拥有root的家目录,所以建议root的家目录与根目录放置在同一个分区中。 |
| /sbin | Linux有非常多指令是用来设定系统环境的,这些指令只有root才能够利用来『设定』系统, 其他用户最多只能用来『查询』而已。 放在/sbin底下的为开机过程中所需要的,里面包括了 开机、修复、还原系统所需要的指令。 至于某些服务器软件程序,一般则放置到/usr/sbin/当 中。至于本机自行安装的软件所产生的系统执行文件(system binary), 则放置到 /usr/local/sbin/当中了。常见的指令包括:fdisk, fsck, ifconfig, init, mkfs等等。 |
| /srv | srv可以视为『service』的缩写,是一些网络服务启动后,这些服务所需要取用的数据目录。 常见的服务例如WWW, FTP等等。例如,WWW服务器需要的网页资料就可以放置在 /srv/www/里面。 |
| /tmp | 这是让一般用户或者是正在执行的程序暂时放置档案的地方。 这个目录是任何人都能够存取 的,所以你需要定期地清理一下。当然,重要数据不可放置在此目彔,因为FHS甚至建议在开 机时,应该要将/tmp下的数据都删除。 |
| 第二部份:FHS 建议可以存在的目录 | |
| /home | 这是系统默认的用户家目录(home directory)。在你新增一个一般使用者账号时, 默认 的用户家目录都会放置到这里来。家目录有两种代号: ~:代表目前这个用户的家目录, 而~dmtsai :则代表 dmtsai 的家目录。 |
| /root | 系统管理员(root)的家目录。之所以放在这里,是因为如果进入单人维护模式而仅挂载根目录 时, 该目录就能够拥有root的家目录,所以建议root的家目录与根目录放置在同一个分区中。 |
FHS针对根目录所定义的标准就仅有上面这些。不过Linux底下还有些目录也很重要:
| 目录 | 应放置的文件内容 |
| /lost+found | 这个目录是使用标准的ext2/ext3文件系统格式才会产生的一个目录, 目的在于当文件系统发生错误时, 将一些遗失的片段放置到这个目 录下。这个目录通常会在分区的最顶层存在, 例如你加装一块硬盘 于/disk中,那在这个系统下就会自动产生一个这样的目录『/disk/lost+found』 |
| /proc | 这个目录本身是一个『虚拟文件系统(virtual filesystem)』。他放置的数据都是在 内存当中, 例如系统核心、进程信息(process)、周边装置的状态及网络状态等等。 因为这个目录下的数据都是在内存当中, 所以本身不占任何硬盘空间。 |
| /sys | 这个目录其实跟/proc非常类似,也是一个虚拟的文件系统,主要也是记录与核心相 关的信息。 包括目前已加载的核心模块与核心侦测到的硬件装置信息等等。这个目 录同样不占硬盘容量。 |
因为根目录与开机有关,开机过程中仅有根目录会被挂载, 其他分区则是在开机完成之后才会持续地进行挂载。因此,根目录下与开机过程有关的目录, 就不能够与根目录放到不同的分区去:
1) /etc:配置文件
2) /bin:重要执行文件
3) /dev:所需要的装置档案
4) /lib:执行文件所需的函数库与核心所需的模块
5) /sbin:重要的系统执行文件
23. FHS规定/usr里面放置的数据属于可分享的与不可变动的(shareable, static),/usr确实可以分享给局域网络内的其它主机来使用。usr是Unix Software Resource的缩写, 也就是『Unix操作系统软件资源』所放置的目录。FHS建议所有软件开发者,应该将他们的数据合理的分别放置到这个目录下的子目彔,而不要自行建立该软件自己独立的目录。因为所有系统默认的软件(distribution发布者提供的软件)都会放置到/usr底下,因此这个目录有点类似Windows 系统的『C:\Windows\ + C:\Program files\』这两个目录的综合体。该目录的建议如下:
| 目录 | 应放置的文件内容 |
第一部份:FHS 要求必须要存在的目录 | |
| /usr/bin/ | 绝大部分的用户可使用指令都放在这里。注意到他与/bin的不同(是否与开机有关) |
| /usr/lib/ | 包含各应用软件的函数库、目标档案(object file),以及不被一般使用者惯用的执行档 或脚本(script)。 某些软件会提供一些特殊的指令来进行服务器的设定,这些指令也不 会经常被系统管理员操作, 那就会被摆放到这个目录下。如果你使用的是X86_64的 Linux系统, 那可能会有/usr/lib64/目录产生。 |
| /usr/local/ | 系统管理员在本机自行安装自己下载的软件(非distribution默认提供者),建议安 装到此目录, 这样会比较便于管理。例如,你的distribution提供的软件较旧, 你想安装较新的软件但又不想移除旧版, 此时你可以将新版软件安装在 /usr/local/目录下。 |
| /usr/sbin/ | 非系统正常运作所需要的系统指令。最常见的就是某些网络服务器软件的服务指 令(daemon) |
| /usr/share/ | 放置共享文件的地方,在这个目录下放置的数据几乎是不分硬件架构均可读取的 数据, 因为几乎都是文本文件。在此目录下常见的还有这些子目录: 1) /usr/share/man:联机帮助文件 2) /usr/share/doc:软件杂项的文件说明 3) /usr/share/zoneinfo:与时区有关的时区档案 |
第二部份:FHS 建议可以存在的目录 | |
| /usr/include/ | c/c++等程序语言的头文件(header)与包含文件(include)放置处,当我们以tarball方 式 (*.tar.gz 的方式安装软件)安装某些数据时,会使用到里头的许多包含文件。 |
| /usr/src/ | 一般原代码建议放置到这里,src有source的意思。至于核心原代码则建议放置到 /usr/src/linux/目录下。 |
24. /var在系统运行后会渐渐占用硬盘容量,因为/var目录主要存放经常变动的档案,包括缓存(cache)、日志文件(log file)以及某些软件运行所产生的档案, 包括程序档案(lock file, run file),或者例如MySQL数据库的档案等等。常见的子目录有:
| 目录 | 应放置的文件内容 |
| /var/cache/ | 应用程序本身运行过程中会产生的一些暂存档; |
| /var/lib/ | 程序本身执行的过程中,需要使用到的数据文件放置的目录。在此目录下 各自的软件应该要有各自的目录。 例如,MySQL的数据库放置到/var/lib/mysql/ 而rpm的数据库则放到/var/lib/rpm中。 |
| /var/lock/ | 某些装置或者档案资源一次只能被一个应用程序所使用,如果同时有两个程序使用 该装置时, 就可能产生一些错误的状况,因此就得要将该装置上锁(lock),以确保 该装置同时只会给单一软件所使用。 |
| /var/log/ | 这是日志文件放置的目录,里面比较重要的档案如/var/log/messages, /var/log/wtmp (记录登入者的信息)等。 |
| /var/mail/ | 放置个人电子邮件信箱的目录,不过这个目录也被放置到/var/spool/mail/目录中,通常这 两个目录是互为链接文件的。 |
| /var/run/ | 某些程序或者服务启动后,会将他们的PID放置在这个目录下。 |
| /var/spool/ | 这个目录通常放置一些队列数据,所谓的『队列』就是排队等待其他程序使用的数据。 这些数据被使用后通常都会被删除。例如,系统收到新信会放置到/var/spool/mail/中, 但使用者收下该信件后该封信原则上就会被删除。信件如果暂时寄不出去会被放到 /var/spool/mqueue/中, 等到被送出后就被删除。如果是工作调度数据(crontab),就会 被放置到/var/spool/cron/目录中。 |
25. 如果我们将整个目录树以图标的方法来显示,并将较为重要的档案数据列出来:
26. lsb_release -a 可以用来查看你的 distribution 使用的是哪个 Linux 标准 (Linux Standard Base),以及distribution 的基本信息。
27. uname -r 可以用来查看Linux的内核信息。
28. /bin放置的是一般用户惯用的指令,至于/sbin则是系统管理员才会使用到的指令。不过/bin与/sbin都与开机、单人维护模式有关。 更多的执行档会被放置到/usr/bin及/usr/sbin底下。