1. 目录与路径
1.1 相对路径与绝对路径
绝对路径:路径的写法『一定由根目录 / 写起』,例如: /usr/share/doc 这个目录。
相对路径:路径的写法『不是由 / 写起』,例如由 /usr/share/doc 要到 /usr/share/man 底下时,可以写成: 『cd ../man』这就是相对路径的写法啦!相对路径意指『相对于目前工作目录的路径!』
-
相对路径与绝对路径各自优势:
- 相对路径:同父及目录下切换更便捷,对于层级和目录名长的文件切换命令更简洁(不需要从根目录开始写目录)
- 绝对路径:绝对路径的正确度要比较好,在写程序 (shell scripts) 来管理系统的条件下,务必使用绝对路径的写法。因为绝对路径的写法虽然比较麻烦,但是可以肯定这个写法绝对不会有问题。 如果使用相对路径在程序当中,则可能由于你执行的工作环境不同,导致一些问题的发生。
1.2 目录的相关操作: cd, pwd, mkdir, rmdir
-
cd(切换目录)
cd 是 Change Directory 的缩写,这是用来变换工作目录的指令。注意,目录名称与 cd 指令之间存在一个空格。使用传递切换常见目录:
- [root@www ~]# cd [相对路径或绝对路径]
最重要的就是目录的绝对路径与相对路径,还有一些特殊目录的符号啰! - [root@www ~]# cd ~vbird
代表去到 vbird 这个用户的家目录,亦即 /home/vbird - [root@www vbird]# cd ~
表示回到自己的家目录,亦即是 /root 这个目录 - [root@www ~]# cd
没有加上任何路径,也还是代表回到自己家目录的意思喔! - [root@www ~]# cd ..
表示去到目前的上层目录,亦即是 /root 的上层目录的意思; - [root@www /]# cd -
表示回到刚刚的那个目录,也就是 /root 啰~ - [root@www ~]# cd /var/spool/mail
这个就是绝对路径的写法!直接指定要去的完整路径名称! - [root@www mail]# cd ../mqueue
这个是相对路径的写法,我们由/var/spool/mail 去到/var/spool/mqueue 就这样写!
- [root@www ~]# cd [相对路径或绝对路径]
pwd(显示目前所在的目录)
pwd 是 Print Working Directory 的缩写,也就是显示目前所在目录的指令,-P 的选项啦!他可以让我们取得正确的目录名称,而不是以链接文件的路径来显示的。 如果你使用的是 CentOS 5.x 的话,刚刚好/var/mail 是/var/spool/mail 的连结档, 所以,透过到/var/mail 下达 pwd -P 就能够知道这个选项的意义啰~-
mkdir(建立新目录)
[root@www ~]# mkdir [-mp] 目录名称选项与参数:
-m :配置文件案的权限喔!直接设定,不需要看预设权限 (umask) 的脸色~
-p :帮助你直接将所需要的目录(包含上层目录)递归建立起来!mkdir 是 make directory的缩写,在预设的情况下, 你所需要的目录得一层一层的建立才行!例如:假如你要建立一个目录为 /home/bird/testing/test1,那么首先必须要有 /home 然后 /home/bird ,再来 /home/bird/testing 都必须要存在,才可以建立/home/bird/testing/test1 这个目录!假如没有 /home/bird/testing 时,就没有办法建立 test1 的目录啰!
不过,现在有个更简单有效的方法啦!那就是加上 -p 这个选项喔!你可以直接下达:『 mkdir -p /home/bird/testing/test1 』 则系统会自动的帮你将 /home, /home/bird, /home/bird/testing 依序的建立起目录!并且, 如果该目录本来就已经存在时,系统也不会显示错误讯息喔!挺快乐的吧!不过不建议常用-p 这个选项,因为担心如果妳打错字,那么目录名称就会变的乱七八糟的!
另外,有个地方你必须要先有概念,那就是『预设权限』的地方。我们可以利用 -m 来强制给予一个新的目录相关的权限, 例如上表当中,我们给予 -m 711 来给予新的目录 drwx–x–x 的权限。如果不给目录权限,则新建的目录的默认权限跟unmask相关。 -
rmdir(删除『空』的目录)
[root@www ~]# rmdir [-p] 目录名称
选项与参数:
-p :连同上层『空的』目录也一起删除- 注意事项:
如果要将所有目录下的东西都杀掉就必须使用『 rm -r test 』啰!不过,还是使用 rmdir 比较不危险!你也可以尝试以 -p 的选项加入,来删除上层的目录喔!
- 注意事项:
1.3 关于执行文件路径的变量: $PATH
在任何目录下输入 ls 就一定可以显示出一些讯息而不会说找不到该 /bin/ls 指令呢? 这是因为环境变量 PATH 的帮助。下达『echo $PATH』来看看到底有哪些目录被定义出来了? echo 有『显示、印出』的意思,而 PATH 前面加的 $ 表示后面接的是变量,所以会显示出目前的 PATH !
- 不同身份使用者预设的 PATH 不同,默认能够随意执行的指令也不同(如 root 与 vbird);
- PATH 是可以修改的,所以一般使用者还是可以透过修改 PATH 来执行某些位于/sbin 或/usr/sbin 下的指令来查询;
- 使用绝对路径或相对路径直接指定某个指令的文件名来执行,会比搜寻 PATH 来的正确;
- 指令应该要放置到正确的目录下,执行才会比较方便;
- 本目录(.)最好不要放到 PATH 当中。
2. 档案与目录管理
2.1 档案与目录的检视: ls
[root@www ~]# ls [-aAdfFhilnrRSt] 目录名称
[root@www ~]# ls [–color={never,auto,always}] 目录名称
[root@www ~]# ls [–full-time] 目录名称
选项与参数:
-a:全部的档案,连同隐藏档( 开头为 . 的档案) 一起列出来(常用)
-A:全部的档案,连同隐藏档,但不包括 . 与 .. 这两个目录
-d:仅列出目录本身,而不是列出目录内的档案数据(常用)
-f:直接列出结果,而不进行排序 (ls 预设会以档名排序!)
-F:根据档案、目录等信息,给予附加数据结构,例如:*:代表可执行文件; /:代表目录; =:代表 socket 档案; |:代表 FIFO 档案;
-h :将档案容量以人类较易读的方式(例如 GB, KB 等等)列出来;
-i :列出 inode 号码,inode 的意义下一章将会介绍;
-l :长数据串行出,包含档案的属性与权限等等数据;(常用)
-n :列出 UID 与 GID 而非使用者与群组的名称 (UID 与 GID 会在账号管理提
到!)
-r :将排序结果反向输出,例如:原本档名由小到大,反向则为由大到小;
-R :连同子目录内容一起列出来,等于该目录下的所有档案都会显示出来;
-S :以档案容量大小排序,而不是用档名排序;
-t :依时间排序,而不是用档名。
–color=never :不要依据档案特性给予颜色显示;
–color=always :显示颜色
–color=auto :让系统自行依据设定来判断是否给予颜色
–full-time :以完整时间模式 (包含年、月、日、时、分) 输出
–time={atime,ctime} :输出 access 时间或改变权限属性时间 (ctime)而非内容变更时间 (modification time)
常用的ls的组合:
- ls -al :目录下的所有档案(含属性与隐藏文件)的信息(档案类型、权限、修改日期、大小等)列出来。
- s -al –full-time :完整的呈现档案的修改时间 *(modification time)
2.2 复制、删除与移动: cp, rm, mv
cp:
root@www ~]# cp [-adfilprsu] 来源文件(source) 目标文件(destination)
[root@www ~]# cp [options] source1 source2 source3 …. directory
选项与参数:
-a :相当于 -pdr 的意思,至于 pdr 请参考下列说明;(常用)
-d :若来源文件为链接文件的属性(link file),则复制链接文件属性而非档案本身;
-f :为强制(force)的意思,若目标档案已经存在且无法开启,则移除后再尝试一次;
-i :若目标文件(destination)已经存在时,在覆盖时会先询问动作的进行(常用)
-l :进行硬式连结(hard link)的连结档建立,而非复制档案本身;
-p :连同档案的属性一起复制过去,而非使用默认属性(备份常用);
-r :递归持续复制,用于目录的复制行为;(常用)
-s :复制成为符号链接文件 (symbolic link),亦即『快捷方式』档案;
-u :若 destination 比 source 旧才更新 destination !
最后需要注意的,如果来源档有两个以上,则最后一个目的文件一定要是『目录』才行!
tips:
在不加任何选项的情况下,档案的某些属性/权限会改变;这是个很重要的特性!要注意喔!还有,连档案建立的时间也不一样了!那如果你想要将档案的所有特性都一起复制过来该怎办?可以加上 -a 喔!如下所示:
[root@www tmp]# cp -a /var/log/wtmp wtmp_2
[root@www tmp]# ls -l /var/log/wtmp wtmp_2
-rw-rw-r– 1 root utmp 96384 Sep 24 11:54 /var/log/wtmp
-rw-rw-r– 1 root utmp 96384 Sep 24 11:54 wtmp_2
tip1:cp 的来源档与目的档的权限是不同的,目的档的拥有者通常会是指令操作者本身。由于具有这个特性,因此当我们在进行备份的时候,某些需要特别注意的特殊权限档案, 例如密码文件 (/etc/shadow) 以及一些配置文件,就不能直接以 cp 来复制,而必须要加上 -a 或者是 -p 等等可以完整复制档案权限的选项才行!另外,如果你想要复制档案给其他的使用者, 也必须要注意到档案的权限(包含读、写、执行以及档案拥有者等等), 否则,其他人还是无法针对你给予的档案进行修订的动作。
tip2:由于 cp 有种种的文件属性与权限的特性,所以,在复制时,你必须要清楚的了解到:
- 是否需要完整的保留来源档案的信息?
- 来源档案是否为连结档 (symbolic link file)?
- 来源档是否为特殊的档案,例如 FIFO, socket 等?
- 来源文件是否为目录?
rm:
- [root@www ~]# rm [-fir] 档案或目录
选项与参数:
-f :就是 force 的意思,忽略不存在的档案,不会出现警告讯息;
-i :互动模式,在删除前会询问使用者是否动作
-r :递归删除啊!最常用在目录的删除了!这是非常危险的选项!!!
mv:
[root@www ~]# mv [-fiu] source destination
[root@www ~]# mv [options] source1 source2 source3 …. directory
选项与参数:
-f :force 强制的意思,如果目标档案已经存在,不会询问而直接覆盖;
-i :若目标档案 (destination) 已经存在时,就会询问是否覆盖!
-u :若目标档案已经存在,且 source 比较新,才会更新 (update)
2.3 取得路径的文件名与目录名称
我们前面介绍的完整文件名 (包含目录名称与文件名) 当中提到,完整档名最长可以到达 4096 个字符。那么你怎么知道那个是档名?那个是目录名?嘿嘿!就是利用斜线 (/) 来分辨啊! 其实,取得文件名或者是目录名称,一般的用途应该是在写程序的时候,用来判断之用的啦~ 所以,这部分的指令可以用在第三篇内的 shell scripts 里头喔! 底下我们简单的以几个范例来谈一谈 basename 与 dirname 的用途!
-
[root@www ~]# basename /etc/sysconfig/network
network <== 很简单!就取得最后的档名~ -
[root@www ~]# dirname /etc/sysconfig/network
/etc/sysconfig <== 取得的变成目录名了!
3. 档案内容查阅:
- cat 由第一行开始显示档案内容
- tac 从最后一行开始显示,可以看出 tac 是 cat 的倒着写!
- nl 显示的时候,顺道输出行号!
- more 一页一页的显示档案内容
- less 与 more 类似,但是比 more 更好的是,他可以往前翻页!
- head 只看头几行
- tail 只看尾巴几行
- od 以二进制的方式读取档案内容!
3.1 直接检视档案内容: cat, tac, nl
直接查阅一个档案的内容可以使用 cat/tac/nl 这几个指令啊!
cat(concatenate):
- [root@www ~]# cat [-AbEnTv]
选项与参数:
-A :相当于 -vET 的整合选项,可列出一些特殊字符而不是空白而已;
-b :列出行号,仅针对非空白行做行号显示,空白行不标行号!
-E :将结尾的断行字符 $ 显示出来;
-n :打印出行号,连同空白行也会有行号,与 -b 的选项不同;
-T :将 [tab] 按键以 ^I 显示出来;
-v :列出一些看不出来的特殊字符
tac(反向列式):
tac 是将 cat 反写过来,所以他的功能就跟 cat 相反, cat 是由『第一行到最后一行连续显示在屏幕上』,而 tac 则是『 由最后一行到第一行反向在屏幕上显示出来 』。
nl(添加行号打印):
- nl [-bnw] 档案
选项与参数:
- -b :指定行号指定的方式,主要有两种:
–b a :表示不论是否为空行,也同样列出行号(类似 cat -n);
-b t :如果有空行,空的那一行不要列出行号(默认值);- -n :列出行号表示的方法,主要有三种:
-n ln :行号在屏幕的最左方显示;
-n rn :行号在自己字段的最右方显示,且不加 0 ;
-n rz :行号在自己字段的最右方显示,且加 0 ;- -w :行号字段的占用的位数。
3.2 可翻页检视: more, less
more:
-
[root@www ~]# more /etc/man.config
空格键 (space):代表向下翻一页;
Enter :代表向下翻『一行』;
/字符串 :代表在这个显示的内容当中,向下搜寻『字符串』这个关键词;
:f :立刻显示出文件名以及目前显示的行数;
q :代表立刻离开 more ,不再显示该档案内容。
b 或 [ctrl]-b :代表往回翻页,不过这动作只对档案有用,对管线无用。
less:
-
[root@www ~]# less /etc/man.config
空格键 :向下翻动一页;
[pagedown]:向下翻动一页;
[pageup] :向上翻动一页;
/字符串 :向下搜寻『字符串』的功能;
?字符串 :向上搜寻『字符串』的功能;
n :重复前一个搜寻 (与 / 或 ? 有关!)
N :反向的重复前一个搜寻 (与 / 或 ? 有关!)
q :离开 less 这个程序;
3.3 资料撷取: head, tail
head(取出前几行):
- root@www ~]# head [-n number] 档案
选项与参数:
-n :后面接数字,代表显示几行的意思, -n 选项后面的参数较有趣,如果接的是负数,例如上面范例的-n -100 时,代表列前的所有行数, 但不包括后面 100 行。举例来说,/etc/man.config 共有 141 行,则上述的指令『head -n -100 /etc/man.config』 就会列出前面 41 行,后面 100 行不会打印出来了。
tail (取出后面几行):
- root@www ~]# tail [-n number] 档案
选项与参数:
-n :后面接数字,代表显示几行的意思
-f :表示持续侦测后面所接的档名(实时检测文档新输入的新内容),要等到按下[ctrl]-c 才会结束 tail 的侦测
范例:
范例一:如果不知道/etc/man.config 有几行,却只想列出 100 行以后的数据时?
[root@www ~]# tail -n +100 /etc/man.config
范例二:持续侦测/var/log/messages 的内容
[root@www ~]# tail -f /var/log/messages
<==要等到输入[crtl]-c 之后才会离开 tail 这个指令的侦测!
当下达『tail -n +100/etc/man.config』 代表该档案从 100 行以后都会被列出来,同样的,在 man.config 共有 141 行,因此第 100~141 行就会被列出来啦! 前面的 99 行都不会被显示出来。
至于范例二中,由于/var/log/messages 随时会有数据写入,你想要让该档案有数据写入时就立刻显示到屏幕上, 就利用 -f 这个选项,他可以一直侦测/var/log/messages 这个档案,新加入的数据都会被显示到屏幕上。 直到你按下[crtl]-c 才会离开 tail 的侦测。
3.4 非纯文本档: od
由于执行档通常是 binaryfile ,使用上头提到的指令来读取他的内容时, 确实会产生类似乱码的数据啊!那怎么办?没关系,我们可以利用 od 这个指令来读取喔!
- [root@www ~]# od [-t TYPE] 档案
选项或参数:
-t :后面可以接各种『类型 (TYPE)』的输出,例如:
a :利用默认的字符来输出;
c :使用 ASCII 字符来输出
d[size] :利用十进制(decimal)来输出数据,每个整数占用 size bytes ;
f[size] :利用浮点数(floating)来输出数据,每个数占用 size bytes ;
o[size] :利用八进制(octal)来输出数据,每个整数占用 size bytes ;
x[size] :利用十六进制(hexadecimal)来输出数据,每个整数占用 size bytes ;
3.5 修改档案时间与建置新档: touch
变动档案时间:
modification time (mtime):
当该档案的『内容数据』变更时,就会更新这个时间!内容数据指的是档案的内容,而不是档案的属性或权限喔!
status time (ctime):
当该档案的『状态 (status)』改变时,就会更新这个时间,举例来说,像是权限与属性被更改了,都会更新这个时间啊。
access time (atime):
当『该档案的内容被取用』时,就会更新这个读取时间 (access)。举例来说,我们使用 cat 去读取 /etc/man.config , 就会更新该档案的 atime 了。
档案的时间是很重要的,因为,如果档案的时间误判的话,可能会造成某些程序无法顺利的运作。OK!那么万一我发现了一个档案来自未来,该如何让该档案的时间变成『现在』的时刻呢? 用『touch』这个指令:
- [root@www ~]# touch [-acdmt] 档案
选项与参数:
-a :仅修订 access time;
-c :仅修改档案的时间,若该档案不存在则不建立新档案;
-d :后面可以接欲修订的日期而不用目前的日期,也可以使用 –date=”日期或
时间”
-m :仅修改 mtime ;
-t :后面可以接欲修订的时间而不用目前的时间,格式为[YYMMDDhhmm]
范例:
范例一:新建一个空的档案并观察时间
[root@www ~]# cd /tmp
[root@www tmp]# touch testtouch
[root@www tmp]# ls -l testtouch
-rw-r–r– 1 root root 0 Sep 25 21:09 testtouch
注意到,这个档案的大小是 0 呢!在预设的状态下,如果 touch 后面有接档案,则该档案的三个时间 (atime/ctime/mtime) 都会更新为目前的时间。若该档案不存在, 则会主动的建立一个新的空的档案喔!例如上面这个例子!
范例二:将 ~/.bashrc 复制成为 bashrc,假设复制完全的属性,检查其日期
[root@www tmp]# cp -a ~/.bashrc bashrc
[root@www tmp]# ll bashrc; ll –time=atime bashrc; ll –time=ctime
bashrc
-rw-r–r– 1 root root 176 Jan 6 2007 bashrc <==这是 mtime
-rw-r–r– 1 root root 176 Sep 25 21:11 bashrc <==这是 atime
-rw-r–r– 1 root root 176 Sep 25 21:12 bashrc <==这是 ctime
touch 这个指令最常被使用的情况是:
- 建立一个空的档案;
- 将某个档案日期修订为目前 (mtime 与 atime)
4. 档案与目录的默认权限与隐藏权限
4.1 档案预设权限:umask
当你建立一个新的档案或目录时,他的默认权限会是什么?基本上, umask 就是指定 『目前用户在建立档案或目录时候的权限默认值』。
-
查阅预设权限:
-
root@www ~]# umask
0022 <==与一般权限有关的是后面三个数字!,umask 的分数指的是『该默认值需要减掉的权限!』 -
[root@www ~]# umask -S
u=rwx,g=rx,o=rx
-
root@www ~]# umask
tips:目录与档案是不一样的。从第六章我们知道 x 权限对于目录是非常重要的! 但是一般档案的建立则不应该有执行的权限,因为一般档案通常是用在于数据的记录嘛!
-
设定(更新)预设权限 :
- [root@www ~]# umask unmask权限数值
tips: umask 对于新建档案与目录的默认权限是很有关系的!这个概念可以用在任何服务器上面, 尤其是未来在你架设文件服务器 (file server) ,举例来说, SAMBA Server 或者是 FTP server时, 都是很重要的观念!这牵涉到你的使用者是否能够将档案进一步利用的问题。
4.2 档案隐藏属性: chattr, lsattr
档案隐藏的属性对于系统有很大影响,尤其是在系统安全 (Security) 上。
chattr (配置文件案隐藏属性)
- root@www ~]# chattr [+-=][ASacdistu] 档案或目录名称
选项与参数:
+ :增加某一个特殊参数,其他原本存在参数则不动。
- :移除某一个特殊参数,其他原本存在参数则不动。
= :设定一定,且仅有后面接的参数
A :当设定了 A 这个属性时,若你有存取此档案(或目录)时,他的访问时间atime将不会被修改,可避免 I/O 较慢的机器过度的存取磁盘。这对速度较慢的计算机有帮助
S :一般档案是异步写入磁盘的(原理请参考第五章 sync 的说明),如果加上 S这个属性时,当你进行任何档案的修改,该更动会『同步』写入磁盘中。
a :当设定 a 之后,这个档案将只能增加数据,而不能删除也不能修改数据,只有 root才能设定这个属性。
c :这个属性设定之后,将会自动的将此档案『压缩』,在读取的时候将会自动解压缩,但是在储存的时候,将会先进行压缩后再储存(看来对于大档案似乎蛮有用的!)
d :当 dump 程序被执行的时候,设定 d 属性将可使该档案(或目录)不会被dump 备份
i :这个 i 可就很厉害了!他可以让一个档案『不能被删除、改名、设定连结也无法写入或新增资料!』对于系统安全性有相当大的帮助!只有 root 能设定此属性
s :当档案设定了 s 属性时,如果这个档案被删除,他将会被完全的移除出这个硬盘空间,所以如果误删了,完全无法救回来了喔!
u :与 s 相反的,当使用 u 来配置文件案时,如果该档案被删除了,则数据内容其实还存在磁盘中,可以使用来救援该档案喔!
注意:属性设定常见的是 a 与 i 的设定值,而且很多设定值必须要身为root 才能设定。
经典范例*:
范例1:请尝试到/tmp 底下建立档案,并加入 i 的参数,尝试删除看看。
[root@www ~]# cd /tmp
[root@www tmp]# touch attrtest <==建立一个空档案
[root@www tmp]# chattr +i attrtest <==给予 i 的属性
[root@www tmp]# rm attrtest <==尝试删除看看
rm: remove write-protected regular empty fileattrtest'? y
attrtest’: Operation not permitted <==操作不许可
rm: cannot remove
看到了吗?呼呼!连 root 也没有办法将这个档案删除呢!赶紧解除设定!
范例2:请将该档案的 i 属性取消!
[root@www tmp]# chattr -i attrtest
这个指令是很重要的,尤其是在系统的数据安全上面!由于这些属性是隐藏的性质,所以需要以 lsattr才能看到该属性呦!其中,个人认为最重要的当属 +i 与 +a 这个属性了。+i 可以让一个档案无法被更动,对于需要强烈的系统安全的人来说, 真是相当的重要的!里头还有相当多的属性是需要 root 才能设定的呢!
lsattr (显示档案隐藏属性)
[- root@www ~]# lsattr [-adR] 档案或目录
选项与参数:
-a :将隐藏文件的属性也秀出来;
-d :如果接的是目录,仅列出目录本身的属性而非目录内的文件名;
-R :连同子目录的数据也一并列出来!
[root@www tmp]# chattr +aij attrtest
[root@www tmp]# lsattr attrtest
—-ia—j— attrtest
4.4 档案特殊权限:SUID, SGID, SBIT, 权限设定
关于档案的重要权限,那就是 rwx 这三个读、写、执行的权限。 但是,细心的朋友一定注意到了一件事:我们的 /tmp 权限(drwxrwxrwt)和 /usr/bin/passwd 的权限(-rwsr-xr-x 1 )还有其他的特殊权限( s 跟 t ) 。s 与 t 这两个权限的意义与系统的账号及系统的程序较为相关,一下简单概述下:
SUID(Set UID)
当 s 这个标志出现在档案拥有者的 x 权限上时,例如刚刚提到的 /usr/bin/passwd 这个档案的权限状态:『-rwsr-xr-x』,此时就被称为 Set UID,简称为 SUID 的特殊权限。 那么 SUID 的权限对于一个档案的特殊功能是什么呢?基本上 SUID 有这样的限制与功能:
- SUID 权限仅对二进制程序(binary program)有效;
- 执行者对于该程序需要具有 x 的可执行权限;
- 本权限仅在执行该程序的过程中有效 (run-time);
- 执行者将具有该程序拥有者 (owner) 的权限。
tips:SUID 仅可用在 binary program 上, 不能够用在 shell script 上面,SUID 对于目录也是无效的
举个例子来说明好了。 我们的 Linux系统中,所有账号的密码都记录在 /etc/shadow 这个档案里面,这个档案的权限为:『-r——– 1
root root』,意思是这个档案仅有 root 可读且仅有 root 可以强制写入而已。 既然这个档案仅有 root可以修改,那么鸟哥的 vbird 这个一般账号使用者能否自行修改自己的密码呢? 你可以使用你自己的账号输入『passwd』这个指令来看看,嘿嘿!一般用户当然可以修改自己的密码了!
唔!有没有冲突啊!明明 /etc/shadow 就不能让 vbird 这个一般账户去存取的,为什么 vbird 还能够
修改这个档案内的密码呢? 这就是 SUID 的功能啦!藉由上述的功能说明,我们可以知道
1. vbird 对于 /usr/bin/passwd 这个程序来说是具有 x 权限的,表示 vbird 能执行 passwd;
2. passwd 的拥有者是 root 这个账号;
3. vbird 执行 passwd 的过程中,会『暂时』获得 root 的权限;
4. /etc/shadow 就可以被 vbird 所执行的 passwd 所修改。
SGID(Set GID)
当 s 标志在档案拥有者的 x 项目为 SUID,那 s 在群组的 x 时则称为 Set GID, SGID。与 SUID 不同的是,SGID 可以针对档案或目录来设定!如果是对档案来说, SGID 有如下的功能:
- SGID 对二进制程序有用;
- 程序执行者对于该程序来说,需具备 x 的权限;
- 执行者在执行的过程中将会获得该程序群组的支持!
除了 binary program 之外,事实上 SGID 也能够用在目录上,这也是非常常见的一种用途! 当一个目录设定了 SGID 的权限后,他将具有如下的功能:
- 用户若对于此目录具有 r 与 x 的权限时,该用户能够进入此目录;
- 用户在此目录下的有效群组(effective group)将会变成该目录的群组;
- 用途:若用户在此目录下具有 w 的权限(可以新建档案),则使用者所建立的新档案,该新档案的群组与此目录的群组相同。
tips:SGID 对于项目开发来说是非常重要的!因为这涉及群组权限的问题
SBIT(Sticky Bit)
这个 Sticky Bit, SBIT 目前只针对目录有效,对于档案已经没有效果了。 SBIT 对于目录的作用是:
- 当用户对于此目录具有 w, x 权限,亦即具有写入的权限时;
- 当用户在该目录下建立档案或目录时,仅有自己与 root 才有权力删除该档案
举例来说,我们的 /tmp 本身的权限是『drwxrwxrwt』, 在这样的权限内容下,任何人都可以在/tmp 内新增、修改档案,但仅有该档案/目录建立者与 root 能够删除自己的目录或档案。这个特性也是挺重要的。
4.3 观察文件类型:file
如果你想要知道某个档案的基本数据,例如是属于 ASCII 或者是 data 档案,或者是 binary , 且其中有没有使用到动态函式库 (share library) 等等的信息,就可以利用 file 这个指令来检阅。(判断这个档案的格式)
5. 指令与档案的搜寻
5.1 脚本文件名的搜寻:which
-
which [-a] command
选项或参数:-a :将所有由 PATH 目录中可以找到的指令均列出,而不止第一个被找到的指令名称
这个指令是根据『PATH』这个环境变量所规范的路径,去搜寻『执行档』的档名~ 所以,重点是找出『执行档』而已!且 which 后面接的是『完整档名』喔!若加上 -a 选项,则可以列出所有的可以找到的同名执行文件,而非仅显示第一个而已!
5.2 档案档名的搜寻:whereis, locate, find
-
whereis
whereis [-bmsu] 档案或目录名
选项与参数:-b :只找 binary 格式的档案
-m :只找在说明文件 manual 路径下的档案
-s :只找 source 来源档案
-u :搜寻不在上述三个项目当中的其他特殊档案因为 Linux 系统会将系统内的所有档案都记录在一个数据库档案里面, 而当使用 whereis 或者是底下要说的 locate 时,都会以此数据库档案的内容为准, 因此,有的时后你还会发现使用这两个执行档时,会找到已经被杀掉的档案! 而且也找不到最新的刚刚建立的档案呢!这就是因为这两个指令是由数据库当中的结果去搜寻档案的所在。
另外, whereis 可以加入选项来找寻相关的数据, 例如如果你是要找可执行文件( binary )那么加上 -b就可以啦! 如果不加任何选项的话,那么就将所有的数据列出来。 -
locate
locate [-ir] keyword
选项与参数:-i :忽略大小写的差异;
-r :后面可接正规表示法的显示方式locate 的使用更简单,直接在后面输入『档案的部分名称』后,就能够得到结果。
但是,这个东西还是有使用上的限制呦!为什么呢?你会发现使用locate来寻找数据的时候特别的快, 这是因为 locate 寻找的数据是由『已建立的数据库 /var/lib/mlocate/』 里面的数据所搜寻到的,所以不用直接在去硬盘当中存取数据。
有什么限制呢?就是因为他是经由数据库来搜寻的,而数据库的建立默认是在每天执行一次 (每个distribution 都不同,CentOS 5.x 是每天更新数据库一次!),所以当你新建立起来的档案, 却还在数据库更新之前搜寻该档案,那么 locate 会告诉你『找不到!』呵呵!因为必须要更新数据库呀!那能否手动更新数据库哪?当然可以啊!更新 locate 数据库的方法非常简单,直接输『 updatedb 』就可以了! updatedb 指令会去读取 /etc/updatedb.conf 这个配置文件的设定,然后再去硬盘里面进行搜寻文件名的动作, 最后就更新整个数据库档案啰!因为 updatedb 会去搜寻硬盘,所以当你执行 updatedb 时,可能会等待数分钟的时间喔!updatedb:根据 /etc/updatedb.conf 的设定去搜寻系统硬盘内的文件名,并更新
/var/lib/mlocate 内的数据库档案;
? locate:依据 /var/lib/mlocate 内的数据库记载,找出用户输入的关键词文件名。 -
find
find [PATH] [option] [action]
选项与参数:- 与时间有关的选项:共有 -atime, -ctime 与 -mtime ,以 -mtime 说明
-mtime n :n 为数字,意义为在 n 天之前的『一天之内』被更动过内容的档
案;
-mtime +n :列出在 n 天之前(不含 n 天本身)被更动过内容的档案档名;
-mtime -n :列出在 n 天之内(含 n 天本身)被更动过内容的档案档名。
-newer file :file 为一个存在的档案,列出比 file 还要新的档案档名 - 与使用者或组名有关的参数:
-uid n :n 为数字,这个数字是用户的账号 ID,亦即 UID ,这个 UID 是记录在/etc/passwd 里面与账号名称对应的数字。这方面我们会在第四篇介绍。
-gid n :n 为数字,这个数字是组名的 ID,亦即 GID,这个 GID 记录在/etc/group,相关的介绍我们会第四篇说明~
-user name :name 为使用者账号名称喔!例如 dmtsai
-group name:name 为组名喔,例如 users ;
-nouser :寻找档案的拥有者不存在 /etc/passwd 的人!
-nogroup :寻找档案的拥有群组不存在于 /etc/group 的档案!
当你自行安装软件时,很可能该软件的属性当中并没有档案拥有者,
这是可能的!在这个时候,就可以使用 -nouser 与 -nogroup 搜寻。 - 与档案权限及名称有关的参数:
-name filename:搜寻文件名为 filename 的档案;
-size [+-]SIZE:搜寻比 SIZE 还要大(+)或小(-)的档案。这个 SIZE 的规格有:c: 代表 byte, k: 代表 1024bytes。所以,要找比 50KB
还要大的档案,就是『 -size +50k 』
-type TYPE :搜寻档案的类型为 TYPE 的,类型主要有:一般正规档案 (f),装置档案 (b, c), 目录 (d), 连结档 (l), socket (s),及 FIFO (p) 等属性。
-perm mode :搜寻档案权限『刚好等于』 mode 的档案,这个 mode 为类似 chmod的属性值,举例来说, -rwsr-xr-x 的属性为 4755 !
-perm -mode :搜寻档案权限『必须要全部囊括 mode 的权限』的档案,举例来说,我们要搜寻 -rwxr–r– ,亦即 0744 的档案,使用-perm -0744,当一个档案的权限为 -rwsr-xr-x ,亦即 4755 时,也会被列出来,因为 -rwsr-xr-x 的属性已经囊括了 -rwxr–r– 的属性了。
-perm +mode :搜寻档案权限『包含任一 mode 的权限』的档案,举例来说,我们搜寻-rwxr-xr-x ,亦即 -perm +755 时,但一个文件属性为 -rw——-也会被列出来,因为他有 -rw…. 的属性存在! - 额外可进行的动作:
-exec command :command 为其他指令,-exec 后面可再接额外的指令来处理搜寻到的结果。
-print :将结果打印到屏幕上,这个动作是预设动作!
由于 find 在寻找数据的时后相当的操硬盘!所以没事情不要使用 find 啦!有更棒的指令可以取代呦!那就是上面提到的 whereis 与 locate。
- 与时间有关的选项:共有 -atime, -ctime 与 -mtime ,以 -mtime 说明
6. 极重要!权限与指令间的关系:
一、让用户能进入某目录成为『可工作目录』的基本权限为何:
- 可使用的指令:例如 cd 等变换工作目录的指令;
- 目录所需权限:用户对这个目录至少需要具有 x 的权限
- 额外需求:如果用户想要在这个目录内利用 ls 查阅文件名,则用户对此目录还需要 r 的权限。
二、用户在某个目录内读取一个档案的基本权限为何?
- 可使用的指令:例如本章谈到的 cat, more, less 等等
- 目录所需权限:用户对这个目录至少需要具有 x 权限;
- 档案所需权限:使用者对档案至少需要具有 r 的权限才行!
三、让使用者可以修改一个档案的基本权限为何?
- 可使用的指令:例如 nano 或未来要介绍的 vi 编辑器等;
- 目录所需权限:用户在该档案所在的目录至少要有 x 权限;
- 档案所需权限:使用者对该档案至少要有 r, w 权限
四、让一个使用者可以建立一个档案的基本权限为何?
- 目录所需权限:用户在该目录要具有 w,x 的权限,重点在 w 啦!
五、让用户进入某目录并执行该目录下的某个指令之基本权限为何?
- 目录所需权限:用户在该目录至少要有 x 的权限;
- 档案所需权限:使用者在该档案至少需要有 x 的权限
7. 重点回顾
- 绝对路径:『一定由根目录 / 写起』;相对路径:『不是由 / 写起』
- 特殊目录有:., .., -, ~, ~account 需要注意;
- 与目录相关的指令有:cd, mkdir, rmdir, pwd 等重要指令;
- rmdir 仅能删除空目录,要删除非空目录需使用『 rm -r 』指令;
- 用户能使用的指令是依据 PATH 变量所规定的目录去搜寻的;
- 不同的身份(root 与一般用户)系统默认的 PATH 并不相同。差异较大的地方在于 /sbin,/usr/sbin ;
- ls 可以检视档案的属性,尤其 -d, -a, -l 等选项特别重要!
- 档案的复制、删除、移动可以分别使用:cp, rm , mv 等指令来操作;
- 检查档案的内容(读文件)可使用的指令包括有:cat, tac, nl, more, less, head, tail, od 等。
- cat -n 与 nl 均可显示行号,但默认的情况下,空白行会不会编号并不相同;
- touch 的目的在修改档案的时间参数,但亦可用来建立空档案;
- 一个档案记录的时间参数有三种,分别是 access time(atime), status time (ctime),modification time(mtime),ls 默认显示的是 mtime。
- 除了传统的 rwx 权限之外,在 Ext2/Ext3 文件系统中,还可以使用 chattr 与 lsattr 设定及观察隐藏属性。 常见的包括只能新增数据的 +a 与完全不能更动档案的 +i 属性。
- 新建档案/目录时,新档案的预设权限使用 umask 来规范。默认目录完全权限为 drwxrwxrwx,档案则为-rw-rw-rw-。
- 档案具有 SUID 的特殊权限时,代表当用户执行此一 binary 程序时,在执行过程中用户会暂时具有程序拥有者的权限。
- 目录具有 SGID 的特殊权限时,代表用户在这个目录底下新建的档案之群组都会与该目录的组名相同。
- 目录具有 SBIT 的特殊权限时,代表在该目录下用户建立的档案只有自己与 root 能够删除!
- 观察档案的类型可以使用 file 指令来观察;
- 搜寻指令的完整文件名可用 which 或 type ,这两个指令都是透过 PATH 变量来搜寻文件名;
- 搜寻档案的完整档名可以使用 whereis 或 locate 到数据库档案去搜寻,而不实际搜寻文件系统;
- 利用 find 可以加入许多选项来直接查询文件系统,以获得自己想要知道的档名。