《Linux操作系统基础》课件-项目五 管理文件权限

项目五管理文件权限能力目标和要求：

（1）理解文件属性各字段含义。

（2）理解文件基本权限。

（3）重点掌握文件权限管理命令。

（4）理解文件的特殊权限。

（5）理解文件权限掩码。

（6）掌握FACL设置方法。项目五管理文件权限项目五

思维导图任务5.1认识文件属性文件属性：

Linux文件系统中的文件是数据的集合，文件系统不仅包含文件中的数据，还包含了文件（目录）的节点、类型、权限、链接数量、所归属的用户和用户组、最近访问或修改的时间等属性内容。图5-1文件属性信息示意图任务5.1认识文件属性文件属性字段说明：

表5-1文件属性各列字段说明列数字段说明第1列2717907表示文件的索引节点（inode，i节点），索引节点存放文件的属性信息，比如文件大小、属主、属组、读写权限等，并保存文件的实际存放位置。第2列-rw-rwxr--表示文件类型和基本权限，总10位。其中第1个字符（-）表示文件类型，其余9个字符（rw-rwxr--）表示文件的基本权限。第3列2对于普通文件，此字段表示文件硬链接数；对于目录文件，此字段表示一级子目录数。第4列root表示文件的所有者或称文件属主，此为root用户。第5列root表示文件的所归属的用户组或称文件属组，此为root组第6列870表示文件所占用的空间的大小，默认以字节为单位。如果是一个目录，则表示该目录文件本身的大小。第7列2月1823:30表示文件的最后访问或最后修改的时间。第8列file2表示文件名。任务5.1认识文件属性5.1.1文件名命名规则

在Linux系统中，因有些字符具有特殊含义，因此在对文件进行命名时，需遵循相应的命名规则：

（1）在ext3和xfs文件系统中文件名最长长度为255个字符，ext4文件系统为256个字符；

（2）文件名区分大小写；

（3）除了“/”符号之外，所有的字符都可以用于命名文件名；

（4）“.”“..”符号不能单独用于命名文件名，因“.”表示当前目录，“..”表示父目录；

（5）避免使用“+”、“-”“.”符号作为文件名的第1个字符。以“.”开头的文件表示隐藏文件；

（6）建议不使转义符命名，如：*、?、空格、$、&等符号，否则文件执行时容易出错；任务5.1认识文件属性5.1.2文件类型

在Linux操作系统中，一切皆文件，包括硬盘、显示器等硬件设备。跟Windows操作系统使用扩展名来表示文件类型不同，在Linux系统中没有扩展名的概念。

表5-2常见的文件类型文件类型表示符号描述普通文件-是最常使用的一类文件，其特点是不包含有文件系统信息的结构信息。按其内部结构一般分为纯文本文件和二进制文件。目录文件d目录文件是一种特殊文件，目录文件中保存着该目录下其他文件的inode号和文件名等相关信息。链接文件l链接文件也是一种特殊文件，其指向一个真实存在的文件链接，可分为硬链接文件和软链接文件。块设备文件b块设备文件支持以块（block）为单位的访问方式，常见的有硬盘、软盘等块设备。字符设备文件c字符设备文件以字节流的方式进行访问，常见的有字符终端、串口、键盘等字符设备。套接字文件s套接字文件用来实现两端通信，一般用于网络数据连接。管道文件p管道文件是一种很特殊的文件，主要用于不同进程的信息传递。任务5.1认识文件属性5.1.3索引节点（inode）

在Linux系统中，文件数据在以“块”（block）为单位进行存储（块一般由连续的8个扇区组成，常见块的大小为4KB）。为了能读取数据“块”，还需要有专门的区域来存储文件的元信息，此区域称之为索引节点（inode），也称为i节点。索引节点所包含的文件元信息有：

（1）文件字节数；

（2）文件属主；

（3）文件属组；

（4）文件权限；

（5）文件时间戳（ctime、mtime、atime）；

（6）文件链接数，即有多少个文件名指向此inode；

（7）文件数据block的位置。

任务5.1认识文件属性5.1.3索引节点（inode）

系统在读取数据时是通过i节点号来进行的，而非文件名。用户通过文件名打开文件，系统内部将此过程分为四步：

（1）系统查找到文件名所对应的i节点号；

（2）通过i节点号，获取inode信息；

（3）根据inode信息，找到文件数据所在的block；

（4）查看用户具有的访问权限，如有权限访问，则指向对应的数据block，否则返回权限拒绝提示。 操作系统在格式化时，会把硬盘分成两个区域，一个是数据区，用于存放文件数据。另一个是inode区，存放inode所包含的信息。每个inode的大小，一般是128字节或256字节。inode总数在格式化时就已经确定。而一个文件必须占用一个inode，至少占用一个数据块。任务5.2理解文件的权限5.2.1文件从属关系

Linux操作系统特性之一是多任务多用户，为了进行权限隔离，文件在被进程访问时都是居于某一特定用户的。文件与用户的从属关系有三类：

（1）文件属主（ower）：文件所有者，默认为文件的创建者；

（2）文件属组（group）：对文件具有相同权限的一组用户；

（3）其他用户（others）：除了属主和属组里用户的其他用户；

进程对文件的访问权限应用模型为：

（1）先判断进程的属主与文件的属主是否相同，如果相同，则应用属主的权限；

（2）否则，再检查进程的属主是否属于文件的属组，如果是，则应用属组的权限；否则，最后就只能应用其他用户的权限；任务5.2理解文件的权限5.2.2文件基本权限

文件的基本权限分为3类：可读（r）、可写（w)、可执行（x）表5-3文件一般权限描述文件权限表示字符描述可读r对文件而言，表示对文件具有读取文件内容的权限对目录而言，表示浏览目录的权限，如无x权限，则无法读取目录下的文件信息。可写w对文件而言，表示对文件具有新增、修改文件内容的权限；对目录而言，表示可修改此目录下的文件列表，即具有在该目录下创建或删除文件的权限。可执行x对文件而言，表示可将此文件发起为进程；对目录而言，表示可使用cd命令切换到此目录。配合r权限，才可使用ls-l等命令读取文件的属性信息。任务5.2理解文件的权限5.2.2文件基本权限

文件的基本权限分为3类：可读（r）、可写（w)、可执行（x）表5-3文件一般权限描述文件权限表示字符描述可读r对文件而言，表示对文件具有读取文件内容的权限对目录而言，表示浏览目录的权限，如无x权限，则无法读取目录下的文件信息。可写w对文件而言，表示对文件具有新增、修改文件内容的权限；对目录而言，表示可修改此目录下的文件列表，即具有在该目录下创建或删除文件的权限。可执行x对文件而言，表示可将此文件发起为进程；对目录而言，表示可使用cd命令切换到此目录。配合r权限，才可使用ls-l等命令读取文件的属性信息。任务5.2理解文件的权限5.2.2文件基本权限

文件使用9个权限位来描述3类用户对文件的权限组合机制，左三位定义属主用户的权限，中三位定义了属组的权限，右三位定义了其他用用户的权限。图5-2文件权限的组合机制任务5.3权限管理命令5.3.1修改文件权限命令

命令格式：chmod[选项]mode文件

命令功能：修改或重置文件或者目录的权限。权限的授权方式分为符号模式法和数字赋权法。

表5-4chmod常用选项选项功能-c若该文件权限确实已经更改，才显示其更改动作-f若该文件权限无法被更改也不要显示错误讯息-v显示权限变更的详细信息-R对当前目录下的所有文件与子目录进行相同的权限变更，即以递归的方式逐个变更任务5.3权限管理命令5.3.1修改文件权限命令

1.符号模式法

使用符号模式方法进行对文件权限修改时，mode格式如下：

[ugoa...][[+-=][rwx]...][,...]

使用符号模式（mode）涉及到who（用户类型）、opterator（操作符）和permission（权限）三个项目，每个项目的设置可以用逗号分隔开。

表5-5who符号意义who用户类型说明uuser属主，文件所有者ggroup属组，文件所有者所在组oothers除了属主和属于属组用户之外的其他用户aall所用用户，相当于ugo表5-6operator符号意义operator说明+在原权限基础上增加指定的用户权限-去除指定用户的权限=设置指定用户的权限，即将用户的所有权限重新设置，旧的权限将被清除。表5-7permission符号意义模式权限说明r读设置为可读权限w写设置为可写权限x执行权限设置为可执行权限任务5.3权限管理命令5.3.1修改文件权限命令

2.数字赋权法

命令格式：chmodabc文件

命令功能：使用数字赋权法设置文件的权限。其中a，b，c各为属主、属组、其他用户权限位数字之和。

表5-8权限数字八进制权限权限符号数字之和二进制0无---0+0+00001只执行--x0+0+10012只写-w-0+2+00103写+执行-wx0+2+10114只读r--4+0+01005读+执行r-x4+0+11016读+写rw-4+2+01107读+写+执行rwx4+2+1111任务5.3权限管理命令5.3.2从属关系管理命令

1.chown命令

命令格式：chown[选项]...[用户][:[组群]]文件...

命令功能：更改文件的属主和属组。用户和组群必须事先存在，用户可以是用户名或者UID号，组群可以是组名或者GID号，文件是以空格分开的要改变权限的文件列表，支持通配符。

表5-9chown常用选项选项功能-v显示详细的处理信息-R递归地更改该目录下的所有文件任务5.3权限管理命令5.3.2从属关系管理命令

2.chgrp命令

命令格式：chgrp[选项]..组群文件...

命令功能：更改文件的属组。组群必须事先存在，组群可以是组名或者GID号，文件是以空格分开的要改变权限的文件列表，支持通配符。

表5-10chgrp常用选项选项功能-v显示详细的处理信息-R递归地更改该目录下的所有文件任务5.4特殊权限5.4.1SUID权限

权限作用：当用户把某一个二进制文件发起为一个进程时，如果该文件拥有SUID权限，则该进程在运行期间，临时获得该二进制文件属主的权限，进程结束时，属主权限被收回。该权限只对二进制文件有效。

表现形式：如果二进制文件属主拥有x权限，则属主x权限位显示为小字s，否则显示为大字S。

赋权方法：chmodu+sfile\\为文件增加SUID权限

chmodu-sfile\\去除文件SUID权限

图5-3SUID操作示意图任务5.4特殊权限5.4.2SGID权限

权限作用：SGID对二进制文件和目录都起作用。

（1）当用户把某一个二进制文件发起为一个进程时，如果该文件拥有SGID权限，则该进程在运行期间，临时拥有该二进制文件属组的权限，进程结束时，属组权限被收回。

（2）当目录文件拥有SGID权限时，任何人在该目录下创建的文件的属组与该目录的属组相同。

表现形式：如果文件（目录）属组拥有x权限，则属组x权限位显示为小字s，否则显示为大字S。

赋权方法：chmodg+sfile\\为文件增加SGID权限

chmodg-sfile\\去除文件SGID权限

任务5.4特殊权限5.4.3STICKY权限

权限作用：仅对目录有效。让多个用户都具有写权限的目录，每个用户只能删自己的文件。当对于一个目录作用了STICKY权限之后，在该目录下创建的文件仅其创建者自己和root用户才能删除。典型目录如系统的公共目录/tmp。

表现形式：如果目录文件的其他用户拥有x权限，则属组x权限位显示为小字t，否则显示为大字T。

赋权方法：chmodg+tfile\\为文件增加SBIT权限

chmodg-tfile\\去除文件SBIT权限

任务5.4特殊权限5.4.4特殊权限数字赋权法

特殊权限除了可以使用符号赋权方法进行权限的设置之外，也可以使用数字方式进行，它是在原来r、w、x权限数字的基础上再增加一个新的权限位。各特殊权限的数字分别是：SUID：4，SGID：2，STICKY：1。

赋权方法：chmodabcdfile

任务5.5权限掩码5.5.1权限掩码概念

（1）权限掩码（umask）用于确定当用户新建文件或目录时的所具有的默认权限。

（2）在Linux系统中，如果没有权限掩码，当用户创建目录时，目录具有的默认权限为：drwxrwxrwx，即数字777；当用户创建的是文件时，文件具有的默认权限为：-rw-rw-rw-，即数字666。

（3）权限掩码（umask）则表示我们在创建新文件或目录时，从默认权限中拿走的权限。任务5.5权限掩码5.5.2设置权限掩码

命令格式：umask权限掩码数字

例如： [root@localhost~]#umask [root@localhost~]#umask-S [root@localhost~]#touch/tmp/test1.txt [root@localhost~]#mkdir/tmp/dir1 [root@localh