8.6 极重要！权限与命令间的关系

职起网

我们知道权限对於使用者帐号来说是非常重要的，因为他可以限制使用者能不能读取/创建/删除/修改文件或目录！在这一章我们介绍了很多文件系统的管理命令，第六章则介绍了很多文件权限的意义。在这个小节当中，我们就将这两者结合起来，说明一下什么命令在什么样的权限下才能够运行吧！^_^
一、让使用者能进入某目录成为『可工作目录』的基本权限为何：

可使用的命令：例如 cd 等变换工作目录的命令；
目录所需权限：使用者对这个目录至少需要具有 x 的权限
额外需求：如果使用者想要在这个目录内利用 ls 查阅档名，则使用者对此目录还需要 r 的权限。

二、使用者在某个目录内读取一个文件的基本权限为何？

可使用的命令：例如本章谈到的 cat, more, less等等
目录所需权限：使用者对这个目录至少需要具有 x 权限；
文件所需权限：使用者对文件至少需要具有 r 的权限才行！

三、让使用者可以修改一个文件的基本权限为何？

可使用的命令：例如 nano 或未来要介绍的 vi 编辑器等；
目录所需权限：使用者在该文件所在的目录至少要有 x 权限；
文件所需权限：使用者对该文件至少要有 r, w 权限

四、让一个使用者可以创建一个文件的基本权限为何？

目录所需权限：使用者在该目录要具有 w,x 的权限，重点在 w 啦！

五、让使用者进入某目录并运行该目录下的某个命令之基本权限为何？

目录所需权限：使用者在该目录至少要有 x 的权限；
文件所需权限：使用者在该文件至少需要有 x 的权限

例题：让一个使用者 vbird 能够进行『cp /dir1/file1 /dir2』的命令时，请说明 dir1, file1, dir2 的最小所需权限为何？
答：运行 cp 时， vbird 要『能够读取来源档，并且写入目标档！』所以应参考上述第二点与第四点的说明！因此各文件/目录的最小权限应该是：

dir1 ：至少需要有 x 权限；
file1：至少需要有 r 权限；
dir2 ：至少需要有 w, x 权限。

例题：有一个文件全名为 /home/student/www/index.html ，各相关文件/目录的权限如下：drwxr-xr-x 23 root root 4096 Sep 22 12:09 /
drwxr-xr-x  6 root root 4096 Sep 29 02:21 /home
drwx------  6 student student 4096 Sep 29 02:23 /home/student
drwxr-xr-x  6 student student 4096 Sep 29 02:24 /home/student/www
-rwxr--r--  6 student student  369 Sep 29 02:27 /home/student/www/index.html请问 vbird 这个帐号(不属於student群组)能否读取 index.html 这个文件呢？
答：虽然 www 与 index.html 是可以让 vbird 读取的权限，但是因为目录结构是由根目录一层一层读取的，因此 vbird 可进入 /home 但是却不可进入 /home/student/ ，既然连进入 /home/student 都不许了，当然就读不到 index.html 了！所以答案是『vbird不会读取到 index.html 的内容』喔！

那要如何修改权限呢？其实只要将 /home/student 的权限修改为最小 711 ，或者直接给予 755 就可以罗！这可是很重要的概念喔！

重点回顾

绝对路径：『一定由根目录 / 写起』；相对路径：『不是由 / 写起』
特殊目录有：., .., -, ~, ~account需要注意；
与目录相关的命令有：cd, mkdir, rmdir, pwd 等重要命令；
rmdir 仅能删除空目录，要删除非空目录需使用『 rm -r 』命令；
使用者能使用的命令是依据 PATH 变量所规定的目录去搜寻的；
不同的身份(root 与一般用户)系统默认的 PATH 并不相同。差异较大的地方在於 /sbin, /usr/sbin ；
ls 可以检视文件的属性，尤其 -d, -a, -l 等选项特别重要！
文件的复制、删除、移动可以分别使用：cp, rm , mv等命令来操作；
检查文件的内容(读档)可使用的命令包括有：cat, tac, nl, more, less, head, tail, od 等
cat -n 与 nl 均可显示行号，但默认的情况下，空白行会不会编号并不相同；
touch 的目的在修改文件的时间参数，但亦可用来创建空文件；
一个文件记录的时间参数有三种，分别是 access time(atime), status time (ctime), modification time(mtime)，ls 默认显示的是 mtime。
除了传统的rwx权限之外，在Ext2/Ext3文件系统中，还可以使用chattr与lsattr配置及观察隐藏属性。常见的包括只能新增数据的 +a 与完全不能更动文件的 +i 属性。
新建文件/目录时，新文件的默认权限使用 umask 来规范。默认目录完全权限为drwxrwxrwx，文件则为-rw-rw-rw-。
文件具有SUID的特殊权限时，代表当使用者运行此一binary程序时，在运行过程中使用者会暂时具有程序拥有者的权限
目录具有SGID的特殊权限时，代表使用者在这个目录底下新建的文件之群组都会与该目录的群组名称相同。
目录具有SBIT的特殊权限时，代表在该目录下使用者创建的文件只有自己与root能够删除！
观察文件的类型可以使用 file 命令来观察；
搜寻命令的完整档名可用 which 或 type ，这两个命令都是透过 PATH 变量来搜寻档名；
搜寻文件的完整档名可以使用 whereis 或 locate 到数据库文件去搜寻，而不实际搜寻文件系统；
利用 find 可以加入许多选项来直接查询文件系统，以获得自己想要知道的档名。

本章习题
( 要看答案请将鼠标移动到『答：』底下的空白处，按下左键圈选空白处即可察看 )

情境模拟题一：假设系统中有两个帐号，分别是 alex 与 arod ，这两个人除了自己群组之外还共同支持一个名为 project 的群组。假设这两个用户需要共同拥有 /srv/ahome/ 目录的开发权，且该目录不许其他人进入查阅。请问该目录的权限配置应为何？请先以传统权限说明，再以 SGID 的功能解析。

目标：了解到为何专案开发时，目录最好需要配置 SGID 的权限！
前提：多个帐号支持同一群组，且共同拥有目录的使用权！
需求：需要使用 root 的身份来进行 chmod, chgrp 等帮用户配置好他们的开发环境才行！这也是管理员的重要任务之一！

首先我们得要先制作出这两个帐号的相关数据，帐号/群组的管理在后续我们会介绍，您这里先照著底下的命令来制作即可：