“史凯利杰的风”通过精心收集,向本站投稿了6篇对Linux的文件权限的理解Linux,下面是小编精心整理后的对Linux的文件权限的理解Linux,仅供参考,大家一起来看看吧。

对Linux的文件权限的理解Linux

篇1:对Linux的文件权限的理解Linux

一个文件都有一个所有者, 表示该文件是谁创建的. 同时, 该文件还有一个组编号, 表示该文件所属的组, 一般为文件所有者所属的组. 如果是一个可执行文件, 那么在执行时, 一般该文件只拥有调用该文件的用户具有的权限. 而setuid, setgid 可以来改变这种设置. se

一个文件都有一个所有者, 表示该文件是谁创建的. 同时, 该文件还有一个组编号, 表示该文件所属的组,

一般为文件所有者所属的组.

如果是一个可执行文件, 那么在执行时, 一般该文件只拥有调用该文件的用户具有的权限.

而setuid, setgid 可以来改变这种设置.

setuid: 设置使文件在执行阶段具有文件所有者的权限. 典型的文件是 /usr/bin/passwd.

如果一般用户执行该文件, 则在执行过程中, 该文件可以获得root权限, 从而可以更改用户的密码.

setgid: 该权限只对目录有效. 目录被设置该位后,

任何用户在此目录下创建的文件都具有和该目录所属的组相同的组.

sticky bit: 该位可以理解为防删除位. 一个文件是否可以被某用户删除,

主要取决于该文件所属的组是否对该用户具有写权限. 如果没有写权限,

则这个目录下的所有文件都不能被删除, 同时也不能添加新的文件.

如果希望用户能够添加文件但同时不能删除文件, 则可以对文件使用sticky bit位.

设置该位后, 就算用户对目录具有写权限, 也不能删除该文件.

下面说一下如何操作这些标志:

操作这些标志与操作文件权限的命令是一样的, 都是 chmod. 有两种方法来操作,

1) chmod u+s temp -- 为temp文件加上setuid标志. (setuid 只对文件有效)

chmod g+s tempdir -- 为tempdir目录加上setgid标志 (setgid 只对目录有效)

chmod o+t temp -- 为temp文件加上sticky标志 (sticky只对文件有效)

2) 采用八进制方式. 对一般文件通过三组八进制数字来置标志, 如 666, 777, 644等.

如果设置这些特殊标志, 则在这组数字之外外加一组八进制数字. 如 4666, 2777等.

这一组八进制数字三位的意义如下,

abc

a - setuid位, 如果该位为1, 则表示设置setuid

b - setgid位, 如果该位为1, 则表示设置setgid

c - sticky位, 如果该位为1, 则表示设置sticky

设置完这些标志后, 可以用 ls -l 来查看. 如果有这些标志, 则会在原来的执行标志位置上显示. 如

rwsrw-r-- 表示有setuid标志,

rwxrwsrw- 表示有setgid标志

rwxrw-rwt 表示有sticky标志

那么原来的执行标志x到哪里去了呢? 系统是这样规定的, 如果本来在该位上有x,

则这些特殊标志显示为小写字母 (s, s, t). 否则, 显示为大写字母 (S, S, T)

举例:

chmod 777 testlog <<====>> chmod u=wrx,g=wrx,o=wrx testlog

drwxrwxrwx   1 root    root           0 Oct 18 20:42 testlog (d 说明该文件为一个目录)

对Linux的文件权限的理解LinuxUser Group Other

wxr   wxr   wxr      字母表示

111   111   111      二进制表示

7     7     7       八进制表示

从右到左,每一个字母为一个二进制数,每三各字母为一个八进制数

原文转自:www.ltesting.net

篇2:WIN技巧:理解WIN文件和注册表权限

只要系统中有所动作,主体(可以是代表用户或服务执行操作的进程或线程)都会在对象上执行一些操作,比较常见的对象有文件、目录和注册表项。Windows 的基本安全机制包括使用可信的系统组件在执行操作之前检查权限和权利 (AccessCheck)。因此,可以通过设置权限和权利管理系统行为。因为在尚未理解权限和权利工作原理的情况下可能无法正确设置权限,所以我将首先介绍对象的安全设置及其处理方式,然后介绍如何为它们设置值。

在深入探讨技术细节之前,让我们先使用Windows 访问控制列表 (ACL) GUI 看看 Windows Server 中的系统驱动器根目录权限。如果打开 Windows 资源管理器,选择“安全”选项卡、右键单击“本地磁盘 (C:)”,并选择“属性”,我们会看到管理员具备完全控制权限。如果单击“组或用户名”下的 SYSTEM,将会看见 SYSTEM 同样具有完全控制权限。当单击“组或用户名”下的 Users 时,权限情况则比较复杂:图1 中系统上的用户组具备 Read & Execute、List、Read 等权限。单击“高级”按钮将显示出与该用户组相关联的权限的详细视图(请参阅图2)。

图1 本地磁盘C 的用户权限

图2 C盘的用户权限高级视图

用户组的成员可以在系统驱动器根目录下创建文件夹并向文件添加数据。如果单击“编辑”按钮,您将看到另一项对子文件夹的“特殊”授权,如图3 所示。此操作需要管理员权限。

图3 用户特殊权利的编辑视图

您可以看到在 Windows Server 2008 中,普通用户默认可以在系统驱动器的根目录创建子文件夹,并向这些文件夹添加内容。为 Windows Server 2008 中用户组的成员提供该功能的原因是某些第三方软件假定存在这些权限,而 Microsoft 不想破坏应用程序的兼容性。

现在让我们开始讨论这些问题涉及的技术,并了解这些权限在用户所能看见的 GUI 界面之下的工作原理。在 Windows 中所有命名的对象都具有安全描述符,它提供有关其所有者的信息,并列出哪些用户和主体具有特定权限。描述符还可以指定必须在系统事件日志中记录哪些对象访问权限。

允许哪些主体(用户、进程等)操作某个对象或资源的信息在称为 ACL 的数据结构中指定,

ACL 枚举谁(哪个主体)对具体对象具有哪类访问权限。自由 ACL (DACL) 是 ACL 的一种,在这种类型中对象的所有者可以更改权限。无论何时访问对象,都会将安全描述符与主体的权限进行比较以检验是否允许所请求的访问。

请注意:Windows 还支持针对对象的系统 ACL (SACL),并已在许多版本中使用 SACL 设置建立了需要记录到审核日志的事件。在 Windows Server 2008 和 Windows Vista 中,SACL 已扩展至能够携带完整性级别信息。

该完整性标签将用于建立“低级”标签,用它标记 LowRights Internet Explorer 中的 Internet Explorer 进程。“系统”和“高级”标签用于保护重要的系统资源。Windows 消息泵可以根据消息的完整性级别过滤消息。例如,中级进程不会接收低级进程发送的消息,而高级进程不会接收来自低级或中级进程的消息。

此时,完整性级别保护起到的是缓解的作用,而不是真正用于安全保护的安全屏障。在后续版本中,随着它逐渐成为真正的安全屏障,它的作用会大大加强。

与其它现代操作系统一样,Windows 依靠 DACL 进行常规访问控制决策。此处我将重点介绍 DACL。系统要决定是否允许某个主体对某个对象执行操作需要检查以下几项内容:主体的权限、主体的令牌,以及对象的安全描述符。对象的二进制安全描述符将随主体的令牌一起传递给 AccessCheck 例程。随后将准备所请求的访问掩码位向量,该向量代表访问权限检查成功所必须具备的访问权利。该向量将随主体的安全描述符一同传递给 AccessCheck 例程,然后由该例程根据所请求的访问和对象的 DACL 检查用户的安全令牌并考量主体权限(通常基于角色或成员关系,例如管理员)。

如果主体的权限满意所请求的访问,则授予访问权限。否则将按顺序检查 DACL 访问控制条目 (ACE)。一旦安全系统能够证明允许所有请求的访问组件或拒绝其中任何请求,它将相应返回成功或失败。

因此,ACE 的 DACL 列表应该按照适当的顺序排序。标准(规范)的排序应当是首先安排显式拒绝,然后是显式允许、一般(组)拒绝和组允许。如果不使用规范排序可能会导致预想不到的允许或拒绝。

篇3:如何对Word(文档)文件进行加密(设置*.doc文件权限)

尽管Word和Excel同属于一个家族,但它们之间的加密方式不尽相同,并且,加密所起的作用仅针对菜鸟级的人物,在一定程度上起到防范作用,对于大虾级的人物就显得无能为力了!!!

也别太灰心,在这里我们仅学习操作方法!!!

对Word文件进行加密,可通过如下办法来实现:

执行这样的操作:“工具”→“选项”,弹出如下的对话框:

选择“安全性”选项卡,之后说明部分操作就行了!

已加密的WORD文档,当其他人打开时,弹出密码输入对话框,只有输入正确的密码方能打开!!!

篇4:电脑无法保存对文件权限所作的修改该怎么办?

1、右键点击需要修改权限的文件夹,选择【属性】选项    2、在弹出的属性对对话框,点击上方【安全】选项    3、进入安全选项,点击最下方的【高级】选项    4、进入高级界面,可以看到当前文件夹所有者是【system】账户,我们点击后方的【更改】    5、在对象名称选项输入我们当前账号名称,然后点击后方的【检查名称】    6、检查完毕,点击确定选项,可以看到当前文件夹所有者以及更改为我们当前账号    7、此时选中我们当前账号,点击下方的【添加】选项    8、进入权限编辑界面,点击上方【选择主题】将我们当前账户添加    9、此时我们将下方的【类型】选择【允许】,然后在下方勾选上我们需要设置的权限,点击保存即可,问题解决

篇5:win7需要来自SYSTEM的权限才能对文件更改解决

1、可以进入安全模式直接删除.

2、也可以在正常模式下按以下步骤取得权限后再删除:

① 点击想获取权限的文件夹,“右键”-“属性”,我们先来获得这个文件夹的所有权,点“安全”-“高级”-“所有者”,接着点“编辑”-“高级”-“其他用户或组”,在输入选择的对象名称里面输入你的用户名,或者点“高级”-“立即”查找,选择你的用户名,确定,然后选择“替换子容器和对象的所有者”,不选择这个的话,我们就只有这个文件夹的所有权,并没有他的子文件夹和里面的文件的所有权,然后“应用”-“确定”,这样我们就拥有了这个文件夹的所有权,

② 再点“权限”-“编辑”-“添加”,把你的用户名填入或者用“高级”-“立即查找”,确定,再点击你的用户名-“编辑”,把“完全控制”/允许那个打勾,确定,再把使用可从此对象继承的权限替换所有后代上现有的可继承权限打勾,同前面,这个不打勾你就只有外面那文件夹权限,里面的文件夹还是不能“完全控制”,然后点“应用”-“确定”-“确定”-“确定”。这样你想对该文件夹怎样就怎样!

篇6:linux下对一个文件设置多个组的权限(setfaclgetfacl)方法管理

/*********************************************************************

* Author : Samson

* Date : 03/02/2014

* Test platform.:

* Linux ubuntu 3.2.0-58-generic-pae

* GNU bash, version 4.2.39

* *******************************************************************/

//要设置的文件的信息:

v0id6@v0id6-eof ~ $ ls testacl -la

-rw-rw-r--+ 1 v0id6 v0id6 9 3月 2 14:21 testacl

//获得文件的访问控制列表(此项为没有使用setfacl设置前的值)

v0id6@v0id6-eof ~ $ getfacl testacl

# file: testacl

# owner: v0id6

# group: v0id6

user::rw-

group::r--

other::r--

//配置多个组能够读写的权限

v0id6@v0id6-eof ~ $ setfacl -m g:v0id6:rw,g:yygydjtest:rw testacl

v0id6@v0id6-eof ~ $ getfacl testacl

# file: testacl

# owner: v0id6

# group: v0id6

user::rw-

group::r--

group:v0id6:rw-

group:yygydjtest:rw-

mask::rw-

other::r--

//删除组控制权限

v0id6@v0id6-eof ~ $ setfacl -x g:yygydjtest testacl

v0id6@v0id6-eof ~ $ getfacl testacl

# file: testacl

# owner: v0id6

# group: v0id6

user::rw-

group::r--

group:v0id6:rw-

mask::rw-

other::r--

NOTE:关于组名的获取和配置请使用cat /etc/group查看当前已经存在的分组 也可使用groupadd进行添加

阅读剩余 0%
本站所有文章资讯、展示的图片素材等内容均为注册用户上传(部分报媒/平媒内容转载自网络合作媒体),仅供学习参考。 用户通过本站上传、发布的任何内容的知识产权归属用户或原始著作权人所有。如有侵犯您的版权,请联系我们反馈本站将在三个工作日内改正。