文件和目录的安全上下文(涉及一些文件系统)

当我们敲下命令发起一个进程去操作(读取，复制，修改，删除等)一个目录或文件时，进程会根据我们的身份(目录的属主，属组，其他)，对照目录或文件的属主，属组和其他的权限去执行。只有我们拥有目录相应的权限，进程才能执行。进程在匹配时是有顺序的，当你是文件的属主，进程便不会去对照我们的属组身份。

目录和文件的权限详讲：

一、目录的权限详讲：

当执行者对目录有读权限时：

执行者可以读取到目录内都有哪些文件，可以看到目录内的目录或文件的名称，但是对于该目录下的文件或目录的属性信息能否看到，取决于执行者对该目录或文件的权限。

[redhat tmp]$ cd test

[redhat@localhost test]$ mkdir test.read

[redhat@localhost ~]$ chmod 400 /tmp/test/test.read/

[redhat@localhost test]$ su - root

[root@localhost ~]# cd /tmp/test/test.read/

[root@localhost test.read]# touch a b c

[root@localhost test.read]# ll

总用量 0

-rw-r--r--. 1 root root 0 3月   7 22:59 a

-rw-r--r--. 1 root root 0 3月   7 22:59 b

-rw-r--r--. 1 root root 0 3月   7 22:59 c

[root@localhost test.read]# su - redhat

[redhat@localhost ~]$ ll  /tmp/test/test.read/

ls: 无法访问/tmp/test/test.read/a: 权限不够

ls: 无法访问/tmp/test/test.read/b: 权限不够

ls: 无法访问/tmp/test/test.read/c: 权限不够

总用量 0

?????????? ? ? ? ?            ? a

?????????? ? ? ? ?            ? b

?????????? ? ? ? ?            ? c

仔细看上面不难发现当执行者对目录仅有读权限时，是没有办法看到目录内文件的属性的，即使你对文件有读的权限。

原因是当执行者对目录仅有都权限时，相当于执行者只有能向里看的权限，却没有办法进入。

具体原因是目录内的目录名和文件名保存在本目录的block中，(本目录的block保存的是本目录下的文件名和和文件名对应的inode号)，至于目录内的文件和目录的属性则记录在该block所指的inode中。而我们仅有对该目录的读的权限，只能读到该目录的block，即该目录下的文件名和inode号，而又进入不了该目录，就无法站在该block上去看该block所指的inode信息。

[redhat@localhost test]$ ls -id test.read/

33556153 test.read/

当执行者对目录有操作的权限时，执行者就可以进入目录内的文件进行查看了。相当于执行者可以进到目录的门里面了，当然就可以随便看了。

[redhat@localhost test]$ chmod 500 /tmp/test/test.read/

[redhat@localhost test]$ ll /tmp/test/test.read/

总用量 0

-rw-r--r--. 1 root root 0 3月   7 22:59 a

-rw-r--r--. 1 root root 0 3月   7 22:59 b

-rw-r--r--. 1 root root 0 3月   7 22:59 c

但是当执行者没有写的权限时，执行者仅仅能进入目录，看看而已(就像我们去别人的家，进门了，看是可以，要想动动手，还是不可以的。)也就是此时执行者还不能在该目录下创建，删除，重命名文件。

[redhat@localhost test]$ cd test.read/

[redhat@localhost test.read]$ mkdir woaini

mkdir: 无法创建目录"woaini": 权限不够

[redhat@localhost test.read]$ rm -rf a

rm: 无法删除"a": 权限不够

[redhat@localhost test.read]$ mv a  A

mv: 无法将"a" 移动至"A": 权限不够

只有执行者有了写的权限时，才能够进行删除，创建，重命名该目录下的文件或目录。

[redhat@localhost test]$ chmod 500 /tmp/test/test.read/

[redhat@localhost test]$ ll /tmp/test/test.read/

总用量 0

-rw-r--r--. 1 root root 0 3月   7 22:59 a

-rw-r--r--. 1 root root 0 3月   7 22:59 b

-rw-r--r--. 1 root root 0 3月   7 22:59 c

[redhat@localhost test]$ cd test.read/

[redhat@localhost test.read]$ mkdir woaini

mkdir: 无法创建目录"woaini": 权限不够

[redhat@localhost test.read]$ rm -rf a

rm: 无法删除"a": 权限不够

[redhat@localhost test.read]$ mv a  A

mv: 无法将"a" 移动至"A": 权限不够

[redhat@localhost test.read]$ chmod 700 /tmp/test/test.read/

[redhat@localhost test.read]$ rm a

rm：是否删除有写保护的普通空文件 "a"？y

[redhat@localhost test.read]$ mkdir A

[redhat@localhost test.read]$ mv b B

[redhat@localhost test.read]$ ll

总用量 0

drwxrwxr-x. 2 redhat redhat 6 3月   7 23:36 A

-rw-r--r--. 1 root   root   0 3月   7 22:59 B

-rw-r--r--. 1 root   root   0 3月   7 22:59 c

二、文件的权限详解：

当你对文件的读，写，执行不理解的时候，说明你基本上应该放弃了，Linux的大门基本上就不向你开放了。

三、联系实际总结：

①删除一个目录内的文件，执行者首先要能够进入目录，再进入才能删除目录内的文件，所以需要具备wx权限。

创建一个文件的原理同删除。

②复制一个文件时，就是要读取一下该文件，所以有r权限就可以复制文件了。