目录
一 文件属性
1.1 有效用户 ID 和有效组 ID
首先对于有效用户 ID 和有效组 ID 来说,这是进程所持有的概念,对于文件来说,并无此属性!有效 用户 ID 和有效组 ID 是站在操作系统的角度,用于给操作系统判断当前执行该进程的用户在当前环境下对 某个文件是否拥有相应的权限。
在 Linux 系统中,当进程对文件进行读写操作时,系统首先会判断该进程是否具有对该文件的读写权限,那如何判断呢?自然是通过该文件的权限位来判断,struct stat 结构体中的 st_mode 字段中就记录了该 文件的权限位以及文件类型。在上一篇博文中有讲。
当进行权限检查时,并不是通过进程的实际用户和实际组来参与权限检查的,而是通过有效用户和有效 组来参与文件权限检查。通常,绝大部分情况下,进程的有效用户等于实际用户(有效用户 ID 等于实际用 户 ID),有效组等于实际组(有效组 ID 等于实际组 ID)。
Tips:文中所指的"进程对文件是否拥有 xx 权限"其实质是当前执行该进程的用户是否拥有对文件的 xx 权限。
1.2 chown()函数
chown 是一个系统调用,该系统调用可用于改变文件的所有者(用户 ID)和所属组(组 ID)。其实在Linux 系统下也有一个 chown 命令,该命令的作用也是用于改变文件的所有者和所属组,譬如将 testApp.c
文件的所有者和所属组修改为 root: sudo chown root:root text.txt
下图使用 chown 命令修改文件所有者和所属组
该命令可以改变文件的所有者和所属组,这个命令内部其实就是调用了 chown 函 数来实现功能的,chown 函数原型如下所示(可通过"man 2 chown"命令查看):
#include <unistd.h>
int chown(const char *pathname, uid_t owner, gid_t group); 函数参数和返回值如下所示:
- pathname:用于指定一个需要修改所有者和所属组的文件路径。
- owner:将文件的所有者修改为该参数指定的用户(以用户 ID 的形式描述);
- group:将文件的所属组修改为该参数指定的用户组(以用户组 ID 的形式描述);
- 返回值:成功返回 0;失败将返回-1,兵并且会设置 errno。
该函数的用法非常简单,只需指定对应的文件路径以及相应的 owner 和 group 参数即可
方法很简单,只需将其中不用修改的 ID(用户 ID 或用户组 ID)与文件当前的 ID(用户 ID 或用户组 ID)保持一致即可,即调用 chown 函数时传入的 用户 ID 或用户组 ID 就是该文件当前的用户 ID 或用户组 ID,而文件当前的用户 ID 或用户组 ID 可以通过stat 函数查询获取。
虽然该函数用法很简单,但是有以下两个限制条件:
- 只有超级用户进程能更改文件的用户 ID;
- 普通用户进程可以将文件的组 ID 修改为其所从属的任意附属组 ID,前提条件是该进程的有效用 户 ID 等于文件的用户 ID;而超级用户进程可以将文件的组 ID 修改为任意值。
所以,由此可知,文件的用户 ID 和组 ID 并不是随随便便就可以更改的,其实这种设计是为系统安全 着想,如果系统中的任何普通用户进程都可以随便更改系统文件的用户 ID 和组 ID,那么也就意味着任何普 通用户对系统文件都有任意权限了,这对于操作系统来说将是非常不安全的
#include <sys/types.h>
#include <sys/stat.h>
#include <unistd.h>
#include <stdio.h>
#include <stdlib.h>
void main()
{
int ret = chown("./test.txt", 100, 100);
if(-1 ==ret)
{
perror("chown error:");
exit(-1);
}
struct stat st1;
int ret1 = stat("./test.txt",&st1);
printf("gid :%d uid:%d",st1.st_gid,st1.st_uid);
}gid是组ID,uid是用户ID,0为root 的用户ID
1.3函数getuid() 和 getgid()
在 Linux 系统下,可以使用 getuid 和 getgid 两个系统调用分别用于获取当前进程的用户 ID 和用户组ID,这里说的进程的用户 ID 和用户组 ID 指的就是进程的实际用户 ID 和实际组 ID,这两个系统调用函数 原型如下所示:
#include <unistd.h>
#include <sys/types.h>
uid_t getuid(void);
gid_t getgid(void)利用函数getuid() 和 getgid()可以获取当前进程的ID号
#include <sys/types.h>
#include <unistd.h>
#include <stdio.h>
void main()
{
printf("gid :%d uid:%d",getuid(),getgid());
}
二 文件访问权限
struct stat 结构体中的 st_mode (在七中讲过)字段记录了文件的访问权限位。当提及到文件时,指的是前面给大家介绍的任何类型的文件,并不仅仅指的是普通文件;所有文件类型(目录、设备文件)都有访问权限(access permission),并不是只有普通文件才有访问权限
2.1普通权限
文件的权限可以分为两个大类,分别是普通权限和特殊权限(也可称为附加权限)。普通权限包括对文件的读、写以及执行,而特殊权限则包括一些对文件的附加权限,譬如Set-User-ID、Set-Group-ID以及Sticky。 接下来,分别对普通权限和特殊权限进行介绍。
每个文件都有 9 个普通的访问权限位,可将它们分为 3 类,如下表:
譬如使用 ls 命令或 stat 命令可以查看到文件的这 9 个访问权限,如下所示:
上 ls 命令查看文件的 9 个访问权限位
每一行打印信息中,前面的一串字符串就描述了该文件的 9 个访问权限以及文件类型,
譬如"- rwx rwx -x":
图 : 文件权限位
- " - "表示该文件是一个普通文件。
- r 表示具有读权限;
- w 表示具有写权限;
- x 表示具有执行权限;
- -表示无此权限。
当进程每次对文件进行读、写、执行等操作时,内核就会对文件进行访问权限检查,以确定该进程对文 件是否拥有相应的权限。而文件的权限检查就涉及到了文件的所有者(st_uid)、文件所属组(st_gid)以及 其它用户,当然这里指的是从文件的角度来看;而对于进程来说,参与文件权限检查的是进程的有效用户、 有效用户组以及进程的附属组用户。
如何判断权限,首先要搞清楚该进程对于需要进行操作的文件来说是属于哪一类“角色”:
- 如果进程的有效用户 ID 等于文件所有者 ID(st_uid),意味着该进程以文件所有者的角色存在;
- 如果进程的有效用户 ID 并不等于文件所有者 ID,意味着该进程并不是文件所有者身份;但是进程 的有效用户组 ID 或进程的附属组 ID 之一等于文件的组 ID(st_gid),那么意味着该进程以文件所 属组成员的角色存在,也就是文件所属组的同组用户成员。
- 如果进程的有效用户 ID 不等于文件所有者 ID、并且进程的有效用户组 ID 或进程的所有附属组 ID
- 均不等于文件的组 ID(st_gid),那么意味着该进程以其它用户的角色存在。
- 如果进程的有效用户 ID 等于 0(root 用户),则无需进行权限检查,直接对该文件拥有最高权限。
2.2 目录权限
文件的读、写、执行权限,那对于创建文件、删除文件等这些操作需不需要相应的权限?
那说明删除文件、创建文件这些操作也是需要相应权限的,那这些权限又是从哪里获取的呢?答案就是 目录。目录(文件夹)在 Linux 系统下也是一种文件,拥有与普通文件相同的权限方案(S/U/G/O),只是这些权限的含义另有所指。
- 目录的读权限:可列出(譬如:通过 ls 命令)目录之下的内容(即目录下有哪些文件)。
- 目录的写权限:可以在目录下创建文件、删除文件。
- 目录的执行权限:可访问目录下的文件,譬如对目录下的文件进行读、写、执行等操作。
拥有对目录的读权限,用户只能查看目录中的文件列表,譬如使用 ls 命令进行查看:
通过"ls -l"命令可以查看到目录文件的相关权限
要想访问目录下的文件,
- 譬如查看文件的 inode 节点、大小、权限等信息,还需要对目录拥有执行权限。
- 反之,若拥有对目录的执行权限、而无读权限,只要知道目录内文件的名称,仍可对其进行访问,但不能列出目录下的内容(即目录下包含的其它文件的名称)。
- 要想在目录下创建文件或删除原有文件,需要同时拥有对该目录的执行和写权限。
所以由此可知,如果需要对文件进行读、写或执行等操作,不光是需要拥有该文件本身的读、写或执行 权限,还需要拥有文件所在目录的执行权限。
三 检查文件权限 access
文件的权限检查不单单只讨论文件本身的权限,还需要涉及到文件 所在目录的权限,只有同时都满足了,才能通过操作系统的权限检查,进而才可以对文件进行相关操作;所 以,程序当中对文件进行相关操作之前,需要先检查执行进程的用户是否对该文件拥有相应的权限。
那如何检查呢?
3.1 access 系统调用()
函数原型如下:
#include <unistd.h>
int access(const char *pathname, int mode); 函数参数和返回值含义如下:
pathname:需要进行权限检查的文件路径。
mode:该参数可以取以下值:
- F_OK:检查文件是否存在
- R_OK:检查是否拥有读权限
- W_OK:检查是否拥有写权限
- X_OK:检查是否拥有执行权限
除了可以单独使用之外,还可以通过按位或运算符" | "组合在一起。
返回值:检查项通过则返回 0,表示拥有相应的权限并且文件存在;否则返回-1,如果多个检查项组合 在一起,只要其中任何一项不通过都会返回-1。
3.2代码测试
通过 access 函数检查文件是否存在,若存在、则继续检查执行进程的用户对该文件是否有读、写、执行 权限。
#include "stdio.h"
#include <unistd.h>
#include <stdlib.h>
#define MY_FILE "./test.txt"
void main()
{
int ret = access("./test.txt", F_OK);
if (-1 == ret)
{
perror("");
exit(-1);
}else
{
printf("文件存在\n");
/* 检查权限 */
ret = access(MY_FILE, R_OK);
if (!ret)
printf("有读权限\n");
else
printf("没有读权限\n");
ret = access(MY_FILE, W_OK);
if (!ret)
printf("有写权限\n");
else
printf("没有写权限\n");
ret = access(MY_FILE, X_OK);
if (!ret)
printf("有执行权限\n");
else
printf("没有执行权限\n");
}
}
所以,上述代码是检查当前进程的用户对该文件所拥有的权限
四 修改文件权限 chmod
在 Linux 系统下,可以使用 chmod 命令修改文件权限,该命令内部实现方法其实是调用了 chmod 函数,
4.1 chmod 函数
是一个系统调用,函数原型如下所示(可通过"man 2 chmod"命令查看):
#include <sys/stat.h>
int chmod(const char *pathname, mode_t mode); 首先,使用该函数需要包含头文件。
函数参数及返回值如下所示:
- pathname:需要进行权限修改的文件路径,若该参数所指为符号链接,实际改变权限的文件是符号链 接所指向的文件,而不是符号链接文件本身。
- mode:该参数用于描述文件权限,与 open 函数的第三个参数一样,这里不再重述,可以直接使用八进 制数据来描述,也可以使用相应的权限宏(单个或通过位或运算符" | "组合)。
- 返回值:成功返回 0;失败返回-1,并设置 errno。
文件权限对于文件来说是非常重要的属性,是不能随随便便被任何用户所修改的,要想更改文件权限, 要么是超级用户(root)进程、要么进程有效用户 ID 与文件的用户 ID(文件所有者)相匹配。
4.2 fchmod 函数
该函数功能与 chmod 一样,参数略有不同。fchmod()与 chmod()的区别在于使用了文件描述符来代替文 件路径,就像是 fstat 与 stat 的区别。函数原型如下所示:
#include <sys/stat.h>
int fchmod(int fd, mode_t mode); 4.3chmod 代码测试
#include <sys/stat.h>
void main()
{
int ret = chmod("./test.txt", 0777);
}
执行完代码后,test.txt文件的权限发生变化 ,
执行程序之前,test_txt 文件的权限为------x--x ,程序执行完成之后,再次查看文件权限为
rwxrwxrwx(0777),修改成功!
3274
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
