《Linux服務器配置》

教案

教案

授課教師所在部門

課程名稱授課日期

單元任務任務3用戶及文件管理單元序號任務3

授課地點授課班級課時

知識基礎：學生在上一學期已經(jīng)學習了Linux系統(tǒng)應用、計算機網(wǎng)絡恚礎。

學情分析能力水平：班級整體學習氛困良好，部分學生缺乏學習積極性和學習興趣

行為特征：動手能力較強，團隊合作意識較差，表達能力有待提高

K1了解用戶（組）的概念；

知識目標K2掌握查看用戶（組）配置文件獲取用戶（組）信息的方法：

K3掌握文件權限的表示方法。

S1能夠在Linux般麒系統(tǒng)平臺中實現(xiàn)用戶（組）的管理及文件權限的設置：

能力目標S2學會用戶麻號的添加、刑除和修改；

S3學會用戶密碼的管理。

A1培養(yǎng)學生仔細.認真的工作杰度；

素質(zhì)目標

A2培養(yǎng)獨立分析問題與解決問題的能力。

課程思政II仔細、認真、創(chuàng)新、博絡以人的需求為本。

育人目標12家國情懷、擔當與黃任。

重點用戶和用戶組的管理

重點分析1.演示與講解相結(jié)合，邊講邊演示。

措施

2.結(jié)合任務內(nèi)容，學生獨立進行安裝。

難點文件基本權限的管理

難點分析1.結(jié)合演示視頻，進行分析。

措施

2.通過實踐駿試,進一步進行駐證結(jié)果。

序號資源名稱資源類型

1任務3課件課件-PPT

教學資源2任務3視頻視順mp4

3省級,超星平臺在線課程《Linu,服務器配置》課程平臺-超星

4《Linux服務器配置與管理》工作冊式-教材

1.超星平臺在線理論試題，目主學習能力。

形成性考核2.任務3講練結(jié)合。

3.任務3故漳調(diào)試，分析問題與解決問題能力。

課后作業(yè)任務3認證習題

2

教學過程

技術歷史

/■?分析

/任務目標

知識準務

/胡（?）?9

If/文網(wǎng)

任務3用戶及文件管理所*一今

任務實踐用a?-

-----------文科稅暇對用

文科的tta&ww.

任妗歸納

uiiEiiua

大克實踐

教學環(huán)節(jié)

教學內(nèi)容

預計時間教學活動

在微軟公司的壟斷下，有一件東西它永遠不會給你真正的自由。

也正是這個原因，不少先鋒人物站出來反抗"微軟帝國"，并努力建

立一種新的操作系統(tǒng)——沒有人為的限制，任何人都可以自由地使

教師

用的操作系統(tǒng).為了記錄這些人的艱苦歷程J.T.S.Moore拍攝了全講解

新的紀錄片——REVOLUTONOS,向公眾介紹這些建立Linux系統(tǒng)、師生

技術背景

互動

思政引入

奮起反抗壟斷的斗士的人生經(jīng)歷.

在文件管理的發(fā)展為程中，生然文件點栽體一苴在發(fā)生變化，但是人

們對信息管理的重視性卻沒有改變，如今，以企業(yè)為代表的新型

文檔管理方式更是在傳統(tǒng)文件管理流程的基礎上不斷地進行優(yōu)化，形

成了更加專業(yè)、安全的文件管理方式.本任務將以用戶（組）管理及

文件權限管理的技術為主題,詳細介紹用戶（組）管理及文件權限管

理命令，并以任務實踐的方式讓大家更直觀地體會Linux系統(tǒng)中的用

戶（組）管理及文件權限管理技術。

常用選項說明如下。

--d:重新指定用戶的主目錄，此時目錄文件必須已經(jīng)存在。

??e：修改賬號有效日期,格式為“yyyy-MMdl".

?-u：修改用戶的UID。

?-g：修改用戶組，此用戶組需要已經(jīng)存在。

--m：此選項需要與“d?選項配合使用，在指定新的主目錄后，

將原有目錄數(shù)據(jù)移動到新n錄中。

?-c：填寫用戶賬號的備注信息。

?-L：鎖定用戶，禁止其登送系統(tǒng)。

?-U：解鎖用戶，允許其登錄系統(tǒng).

在講解uscradd命令時，我們提到過UID的編號規(guī)則。這個規(guī)則是一

種約定俗成的用法，但非強制。也就是說，我們將普通用戶的UID

改為1000以內(nèi)是可以執(zhí)行的，如圖3-35所示。

(rootflocalbost-)?uien&od-u404kylin

jroot!localhost-)1tail-nS/etc/passvd

systcnd-netvorktxt1921192：systc?dNetv)rkNanagenentt/1/usr/sbin/nologin

systcnd-resolvetxt193t193tsysteadResolveri/t/usr/sbin/nolo9in

systend-tinesync，976，9961systendTinsSynchronization!/i/usr/sbin/nologin

ayotcndcorcdunpixi9751997ioyotcskdCor?Dunpcri/■/uorZobin/noloyin

kylinixi404ilOOOikylini/hone/kylinB/bii/babh

圖3-35修改普通用戶的UID

盡管如此，但是我們建議大家在實際應川時要遵守UID的編號規(guī)則，

養(yǎng)成良好的使用習慣，這樣才能降低運維工作的復雜性。

用戶管理實踐2如下。

(I)修改用戶的主目錄，命令如下：

#usermod-md/home/tempkas

(2)修改用戶的UID,命令如F：

Iusermod-u404kas

3.userdel

userdel命令用于刪除用戶，命令格式如下：

userdel［選項］username

常用選項說明如下。

?-r：刪除用戶后刪1除用戶的主目錄。

?-f：強制刪除用戶.

用戶管理實踐3如下。

強制刪除u用戶及其主目錄，命》如下：

#userdel-rftt

4.passwd

passwd命令用于修改用戶密碼、過期時間、認證方式等，命令格式

如下：

passwd［選例username

5

常用選項說明如下。

?-1:鎖定用戶,禁止其登錄系統(tǒng)。

--U：解鎖用戶，允許其登錄系統(tǒng)。

?-d:刪除用戶密碼，允許該用戶使用空密碼登錄系統(tǒng)。

?-C：強制用戶在下次登錄時修改密碼。

當使用passwd命令時，如果不使用username參數(shù)，則默認修改當前

用戶密碼：如果使用username參數(shù)，則修改該用戶的登錄密碼，但

此時要求當前用戶擁有root權限，

1.groupadd

groupadd命令用于創(chuàng)建新的用戶組，命令格式如下:

groupadd［選項］groupname

其中，常用選項為“唱”，用于指定新建用戶組的GID。

組管理命令中GID的編號規(guī)則與汨戶管理命令中UID的編號規(guī)則相

似：root組的G1D是0：預留系統(tǒng)工作組。需要注意的是，在假麟系

統(tǒng)中，用戶組被創(chuàng)建時G1D同樣是從1000開始的，這一點與用戶的

UID相同。

同樣地,我們建議大家遵守編號規(guī)則，養(yǎng)成良好習慣。

用戶組管理實踐1如下。

創(chuàng)建kylingroup用戶組并使用編號為“2020”的GID,命令如下:

#groupadd-g2020kylincroup

2.groupinod

groupinod命令用于?修改用戶組的GID和用戶組名，命令格式如下：

groupmod［選項】groupname

常用選項說明如下.

?-g：修改用戶組的GID。

--n：修改用戶組名。此選項需要額外增加一個參數(shù)位置，用于

輸入新的用戶組名。

用戶組管理實踐2如下。

（1）修改用戶組的GID,命令如下：

Ygroupmod-g2021kylincroup

（2）修改用戶組名，命令如下：

￥groupmod-nkylin_groupkylingroup

3.groupdel

groupdel命令用于刪除用戶組，命令格式如下：

groupdelgroupname

groupdel命令很簡單，但是有一點需要注意：刪除用戶組之前必須刪

除用戶組中的用戶，也就是說，只有空的用戶組才可以刪除。當然，

我們也可以先通過修改G1D的方式將該用戶組中的用戶移動到其他

6

用戶組中，再刪除這個用戶組。

用戶組管理實踐3如下。

刪除用戶組kylin_group,命令如下:

#groupdelkylin_group

表3-1文件權限與用戶操作的對應關系

文件目錄

可讀可以讀取文件內(nèi)容可以st看目錄內(nèi)容

可寫可以糧改文件內(nèi)容及文件屬生可以在目錄中創(chuàng)建、刪除、復制成重

命名文件及H殺

可執(zhí)行可以執(zhí)行文件,如因本文件怎可以進入目錄

由表3“可知，刪除文件的權限并不在文件的權限設置中，而是在文

件所屬目錄的權限設置中。這是與我們熟悉的Windows系統(tǒng)中城大

的不同。

我們通過實驗來驗證這些對應關系。

1?實驗環(huán)境設置

在開始實驗之前，我們需要對實驗環(huán)境和實驗方式進行必要的說明。

第一，rooi用戶是超級管理員用戶，權限為系統(tǒng)中最高權限。因此，

為了避免root川戶對權限的影響.我們將使川rooi川戶來創(chuàng)建文件

和修改文件的權限，使用普通川戶來驗證權限，如此前創(chuàng)建的kylin

用戶。所以，對于root用戶創(chuàng)建的文件來說，kylin用戶為其他用戶。

第二，由于普通用戶無法訪問roo:用戶的家目錄/rooi,因此為了避免

實驗初始環(huán)境而后續(xù)實驗的影響，我們將在普通用戶的家目錄

/home/kylin中進行實驗操作。

第三，我們將會創(chuàng)建目錄，初始時賦予750權限,同時創(chuàng)建文件，初

始時賦予640權限,即kylin用戶對初始創(chuàng)建的目錄和文件沒有任何

權限。然后逐步對其他用戶賦予rwx權限,驗證權限對用戶操作的

更響。

第四，實3僉將分為3部分：權限點目錄操作的影響、權限對目錄內(nèi)容

（文件和子目錄）操作的影響、極限時文件操作的影響。

在確定實驗環(huán)境和實驗方式后，先來準備實驗環(huán)境。

（I）驗證kylin用戶所屬用戶組，如圖3-36所示。

rootflocalbo?t-jlgroup。root

rootiroot

rootfloc?lho?t-JIgroupskylin

03-36瞼證kyin用戶所屜用戶組

由圖3-36可知，rooi用戶與kylin用戶不屬于同一個用戶組，所以對

Trooi用戶創(chuàng)建的文件來說，kylin用戶就是其他用戶（o）.

<2）為了方便演示，使用rooi用戶在kylin用戶的家目錄中創(chuàng)建目

錄base作為實驗演示的根目錄，并將base目錄的所屬用戶和所屬用

戶組都設坦為“kylin"，如圖3-37所示。

7

：root*localboatfcylia|tpwd

*1aBe/kylia

：rootflocalboatkyliajl11|?r?p

；rootfleealboataldirb?a?

root*localboatkylia|?11|

|drv*r?xr?x2rootroot

：root*locali?o?tkyHa|lchetm-RkylimkyHnZx

rootflocaXMoatkylia|?11|

圖3-37創(chuàng)建繇演示的根目錄

（3）使用root用戶在base目錄中創(chuàng)建文件filel,賦予640權限;創(chuàng)

建目錄dirl,賦予750權限,如圖3-38所示。

三

?tn

oe?，

oe?■

三

oex?.

x?,

M??

二?

r?

9

?

一

-OC

圖3-38初怡化實驗環(huán)境

（4）打開虛擬終端，使用kylin用戶登錄系統(tǒng)，檢查六家目錄下

base目錄中的內(nèi)容,如圖3-39所示。

圖3S9在虛擬終避中登錄系統(tǒng)并檢查base目錄中的內(nèi)容

打開虛擬終端的方式在任務2中有過講解，即使用Ctrl+Alt+Fl?

F6組合鍵。其中，使用Ctrl+Alt+Fl組合鍵打開的是root用戶登錄

的圖形化用戶界面，kylin用戶登錄時需要使用Ctrl+Alt+F2?F6虛

擬終端中的某一個。

由圖3-39可知，在kylin用戶的家目錄中可以看到上述步驟中創(chuàng)建的

文件和目錄，所屈用戶為rooi用戶，所屬用戶組為rool組，其他用

戶沒有任何權限，

（5）為「方便實驗，以同樣的方式創(chuàng)建目錄dir2、dir3,以及文件

file2.file3.如圖3*40所示。

圖3-40創(chuàng)建實驗所需的目錄和文件

至此，實驗環(huán)境準備完畢，準備開始實驗操作。

8

2.權限實驗

先來實驗目錄的相關操作。在任務2中，我們學習了對目錄的常見操

作，如查看目錄信息（pwd）s切換目錄（cd）、查看目錄中的內(nèi)容

（Ml）.創(chuàng)建目錄（mkdir）等。

由于麒麟系統(tǒng)中“一切皆文件”，因此對目錄的操作還可以包括對文

件的操作，如第制（cp）、剪切或重命名（mv）、刪除（nn）等。

首先確定在沒有賦予權限的情況二用戶對目錄的可用操作，方便后續(xù)

實驗的變化對比.

使用kylin用戶對dirl目錄進行相關操作，如圖3-41和圖3-42所示。

l?*lnc?lhrMtIrl

，：無社打開日策?:口訊不蜂

Wxel$

ka|il**lacalhMtUxcl$cd41rl

Uthc4dlrl做不哆

Wll-lac9l2*ttexcl$

Ujli**lacalln*tUxe!$Hr4ir!/wMirl

Wir包也U日景rUrlzwMirl低笊不夠

hjila*lac?lho?tUxc>$

b4|ll?*lacalhMtc.4irldlrl_c>

P：京承:fr,也過日累?5rl?

kjlla0lacalhnt”31el$

bnllatflucalhMlUse玲II

一-

:26

4S-IsK-bZ2必iirl

.?：>1<irl_tp

:.2I6

.H6乙1<

2M

.0Z2Y9HrJ

二1

.f2：4Sfile1

1索O

j1l0249fileZ

||PZ2M9file?

l?w11alMr4_c花

VF

*|rt—

l?BI

圖3-41無權限時的用戶操作1

，ZZ：O4lrS

?ZZ：6rilel

?zzeri??a

圖3-42無權限時的用戶操作2

由圖3Y1和圖3-42可知，當沒有任何權限時，重命名命令（mv）和

刑除命令（rm）可以正常執(zhí)行，巳制命令（cp）雖然提示了無權限,

但是仍然成功地創(chuàng)建了目錄，新目錄的所屬用戶和所屬用戶組的名字

均為“kylin”，其他命令不能執(zhí)行。

由表3/可知，可以對dirl目錄進行重命名及刪除操作是因為kylin

用戶對當前目錄（即base目錄）具有可寫權限。我們驗證一下，如

圖3-43所示。

由圖333可知，實驗根目錄base的所屬用戶為kylin,所屬用戶對家

目錄具有全部權限,因此可以對家目錄下的子目錄進行重命名和州

除操作。史制操作其實也是這個京因，但更復雜一些.

9

IS3-43base目錄權限

這些問題將在下面的實驗“可寫權限對目錄內(nèi)容的影響”中進行驗證,

后面的實驗中將不再演示重命名、刪除和發(fā)制操作。

（I）可讀權限對目錄操作的影響。

使用root用戶將初始設置的dir3目錄權限改為其他用戶可讀，即賦

予754權限，如圖3-44所示。

l|rootflocalbo?tbasc]lchnod754dir3

(root11OCA1hostb?川?11

E用■o

drwxr-ir-2rootroot，8月622.49dxrl

-rv-r--------1rootroot06月622:45filei

-nc-r——1rootroot。8月622,49file2

|?^w?r??^^-一】rootroot。8月6￡&】?，

圖344賦予目錄其他用戶可讀權限

接下來，使用kylin用戶來執(zhí)行目錄的相關掾作，如圖3-45所示。

。

IMjllatloc4l?mtUceK$c44lr3

Uth：c4：dlr3：g/F好

Hjlla?loc?lkMtMcetSnMIrdlrVMWIr?

奴仆：北拄也.It白累"IrKZlT：日照F第

^lla?loc?lkntII4tr3

圖345目錄其他用戶可讀權限驗證

對比初始權限狀態(tài)可知，在賦予目錄其他用戶可讀權限后，僅查看命

令（II）有效，說明可讀權限影響目錄信息查看操作。由于不能進入

目錄，因此無法演示執(zhí)行pwd命令查看目錄完整路徑的操作。

（2）可寫權限對目錄內(nèi)容的影響。

使用root用戶將dir3目錄權限設置為其他用戶可寫，移除可讀權限.

即賦予752權限。如圖3<6所示。

Irootflocalhostchnod?S2dlr3

|root?localhostbase]111

總的■0

dxvxr-x-v-2rootroot，8月622t49■■

-rw-r--------1rootrootof￡l?l

?xvr——1rootroot。8月622149file2

?rv-r??—】rootroot。?月622」49

圖346賦予目錄其他用戶可寫權限

使用kylin用戶來執(zhí)行目錄的相關操作，如圖3-47所示。

jnantnp*nJlrvKtAcv4ir3：renaltslcrodraliW

kylla?l<K4llnU-1$r44lr3

—m：c?：<iirj：r*r?i?c?(n

hjlla9l0C4l?mt-1$4lrXnMb4lr3

iMgCMmtcre<tr4lrectcrv：rmHEg

hjlla9loc4lkMtII4lr3

?：QEOtOf*”dlr)：4e?lfM

Byll>0loc4lkMt?15.

圖3-47目錄其他用戶可與權限驗證

由圖3-47可知,只賦予目錄其他用戶可寫權限與沒有任何權限對目

錄操作的影響是?樣的。也就是說，對于目錄來說，可寫權限對當前

10

目錄本身沒有實際影響。

但是需要再次提醒，可寫權限將對子目錄和文件的創(chuàng)建與刪除等操作

有影響，這些問題將在后續(xù)的實驗中進行驗證。

（3）可執(zhí)行權限對目錄操作的影響。

使用root用戶將dir3目錄權限設置為其他用戶可執(zhí)行，移除可寫權

限,即賦予751權限,如圖3-48所示。

|root!localhostbase]!chDod751dir3

(rootflocalhost11

BRIo

drwxr-x-x2rootroot?8月622149dir3

-nt-r--------Xrootroot06月622:45filel

.rvr——1rootroot。8月622,49file2

?rw-r—】rootroot。8月a

圖3V8膩予目錄其他用戶可執(zhí)行權限

使用kylin用戶來執(zhí)行目錄的相關操作，如圖3-49所示。

由圖349可知,在賦予目錄其他用戶可執(zhí)行權限后,其他用戶可以

執(zhí)行cd命令進入目錄。盡管當前沒有可讀權限，但是仍然可以執(zhí)行

pwd命令查看當前目錄的完整路徑。

這樣，讀、寫、執(zhí)行權限對目錄操作的影響都介紹完了，但是細心的

人可以發(fā)現(xiàn)，3個實驗中都不能於目錄執(zhí)行mkdir命令，所以下面我

們來探究一下創(chuàng)建子目錄究竟需耍怎樣的文件權限。

（4）組合權限對目錄操作的影響。

使用rooi用戶枸門求權限設置為默認的文件權限，即將“限權限改

置為“755”,如圖3-50所示。

frootflocalbostbas?)lchnod755dir)

|rootflocalhost11

自用■0

dnrxr-xr-x2rootroot<8月S22:49dlr3

S22145filel

-rv-r——1rootroot08月622:49file2

-rw-r--------1rootroot0?22i49file)

圖3-50賦予目錄默認權限

使用kylin用戶來執(zhí)行創(chuàng)建子目錄的操作，如圖3-51所示。

由圖3-51可知，在賦予目錄默認權限后，其他用戶（o）不能創(chuàng)建子

目錄。

然后使用root用戶將目錄的其他用戶權限設置為圾高權限,即將目

錄權限設置為“757”，如圖3.52所示。

功11?1<?4||?)八！M"I)|]

2角費。

trwrr-n2r?otra>t6OR?2Z：”dlrj

rw-r-——1rootro)t92ZFfilel

rw-r------Irootrwt。8□?22：”rileZ

rv-r------1r?otra?t08戶522：0file!

H)lia?l0CAlhMtII4lr3

^=1e

H)lia?>acalkMt山Irdir3/MWir3

圖3.51目錄就認權限驗證

root*localboatbase]!chDod757dir)

rootflocalbo?tbase)111

自用■0

drwxr-xrvx2rootroot，6月622:49■■

-nr-r——-1rootroot。B月622i45file】

-nr-r--------1rootroot08月622t49file2

-nr-r--------1rootrooto8月，”"9file)

圖3-52將目錄的其他用戶權限設25為最高權限

再次使用kylin用戶來執(zhí)行創(chuàng)建子目錄的操作，如圖3-53所示。

圖3-53目錄其他用戶所有權限驗證

由圖3-53可知，只有當賦予目錄丈他用戶所有權限時.才可以使用

mkdir命令創(chuàng)建目錄的子目錄。也就是說，創(chuàng)建子目錄的權限是一個

豆合權限。

總結(jié)一下，我們通過實驗學習了文件權限對目錄操作的影響，也通過

這幾個實驗了解了文件權限對用戶操作的測試方法。由于實驗的重城

性，并且限于篇幅，我們并沒有將全部權限的測試過程都顯示出來。

從理論上來說，?組實驗應當包含8種情況，也就是rwx權限的全

部組合方式，也是chmod命令數(shù)字模式的。?7共8種情況。

同樣的原因，我們將后續(xù)的其他實驗省略，大家可以參考實驗的步

驟自行完成其他實驗。

這里我們將需要特別注意的地方重點強調(diào)一下,如表3-1所示，刪除

文件的權限不是文件的權限，而是文件所屬目錄（即父目錄）的寫權

限，我們可以通過實驗來驗證這一點。

首先，使用root用戶在kylin用戶的家目錄中新建一個目錄testdir,

并使用默認文件權限755,如圖3-54所示。這時，kylin用戶對testdir

目錄沒有寫權限。

|rootlocalbostbaa?)lnkdirtestdir

|rootIlocalhostbase)111

總用■o

drwxr-xrvx3rootroot218月700(3*

-rw-r——1rootrooto■月622:41“】?】

-rw-r——1rootroot08月612tOfile2

-rv-r——1rootroot6月622Utfiles

dxvxr?xr?x2rootroot8月700131

圖3-54新建目錄并檢套權限

接下來，使用root用戶在testdir目錄中創(chuàng)建子目錄mydir和文件

myfile,并將子目錄和文件的其他用戶權限都設置為最高權限.即將

目錄權限和文件權限都設置為“757”,如圖345所示。

|rootflocalbestbawjlnkdirtestdir/Brdir

|rooteioc?lbostbas?)ltouchtestdir/ayfHe

jrootflocalboatbaic)lchnod?57t”td山?y?

Iroottlocalhostbas?)l11testdir/

息用■0

drwxr-irvx2rootroot4,月Tooiii|

?nrxr?xnrx1rootroot?8丹?lyfile

12

圖3-55創(chuàng)建子目錄和文件并將它們的其他用戶權限部設皆為最高權限

費試使用kylin用戶刪除子目錄niydir和文件inyfile.如圖3-56所示。

lki|ltMtxr

lk|lla*lnEal?n?tUxt4lrl$

II1r

IUjlla?lacallnttUxUlrl$It

<>

1rw?rxru</rentrt?tbHB7OOil

rw????rw.tr-i*r<-???力)f11*

Ikjlia^lccaltaittU?Uirl$

lhjli??lcKattaittUxUlr!$efayrtlc

?無二9科gm，，產(chǎn).下跳

Ibultatftucalhuttt?cUirl$

l?ct4ir!$rwrf

e于江?NXiC

圖366刪除子目錄和文件失敗

由圖3-56可知，盡管kylin用戶已經(jīng)對mydir目錄和inyfile文件擁仃

最高權限，但是仍不能刪除它們，這是因為kylin用戶對它們的所屬

目錄lesidir沒有可寫權限。

使用rooi用戶為lesidir目錄共他用戶增加可寫權限，如圖3-57所示。

|rootflocalbo?tbas?)lchnodo*vtestdir

(rootflocalbostbas?]l11

總用■0

drvxr-xrvx3rootroot218月700i3?|

-rw-r----------1rootroot0。月，2214$fiUl

-rv-r——-1rootroot08月62214?file2

-rw-r----------1rootrooto8月422i4>fiUJ

drwxr-xrvx3rootroot338月700t4l

圖3-57為testdir目錄其他用戶增加可寫權限

再次使用kylin用戶刪除子目錄mydir和文件myfile?如圖4-58所示。

b78：MZJHE

078：Mayrile

kVlla?l0C4l>mtU?t4lr)$

^li??l0C4lkMtUsUirle-fRjflle

Ila*localhostte?t4lrl

K)li?*><??ItaMtte?Uirl

te?t4irl

HWglhmtU?Uirl

圖3-58刪除子目錄和文件

由圖3-58可知，mydir日尿和inyfile文件成功被刪除。

由此實驗可知，當對子目錄和文件進行刪除操作時，需要用戶對子目

錄和文件的所屬目錄具有可寫權限。請大家自行驗證市.命名(mv)

和豆制(cp)悚作。

最后來解林一下為什么操作子目錄和文件時需要對它們的所屬目錄

具有可寫權限。

為了方便演示，我們使用root用戶在testdir目錄中重新創(chuàng)建mydir

目錄和myfile文件，如圖3-59所示。

|root*localhostbas?)lnkdirtettdir/Bydir

|rootflocalboattouchtestdir/Byfile

|rootfloc?lbostbtse]l

jroot9localhostbaac)l11testdir/

能用■0

dnfxr-xr-x2rootroot，)月700:4?aydlr

?rw?r??r??】rcctreef。?81OC147Qyfi!?

圖3?59創(chuàng)足子目錄和文件

由圖3-59可知，tesidir目錄中存放了mydir目錄和myfile文件。

還是基于“一切皆文件”的思想,目錄其實也是種文件，所以我們

也可以使用文件管理命令查看目錄。

我們在kylin用戶所在的虛擬終端中使用vim命令打開lestdir目錄，

13

查看其中的內(nèi)容，如圖3-60所示。注意，這里需要使用vim命令查

看,使用使命令不能查看到內(nèi)容,

圖360杳看目錄文件內(nèi)容

由圖3-60可知，目錄文件中包含了“mydir/”和“myfile”兩行數(shù)據(jù),

“mydir”后面的斜線(/)表示這是一個目錄.

由此可知，子目錄和文件的名字就是目錄文件中的數(shù)據(jù)內(nèi)容.所以，

在創(chuàng)建、刪除或熨制子目錄和文件時，需要對它們所屬目錄中的文件

內(nèi)容進行修改。因此，當對子目錄和文件進行創(chuàng)建、刪除和復制等操

作時，需要用戶對于目錄和文件的所屬目錄具有可寫權限。

另外，為了數(shù)據(jù)的安全，這個目錄文件中的內(nèi)容是不可以手動編輯的。

當嘗試將vim命令變?yōu)榫庉嬆Ｊ綍r會提示錯誤信息，如圖3-61所示。

圖3-61目錄文件為只讀文件

3.6.4文件的默認權限設置

通過之前的學習，我們知道root用戶創(chuàng)建的目錄的默認權限是755,

創(chuàng)建的文件的默認權限是644.那么默認權限是怎樣設定的呢？默認

權限是否可以更改呢？

1.umask掩碼和默認權限

14

我們知道安全性是頓就系統(tǒng)的重要特性之一，安全性的基礎就在于權

限的設定。對于新建目錄和文件來說，如果初始權限過高(如777),

則可能會在管理員沒有來得及修改權限之前就造成了安全問題:如果

初始權限過低($11000)，則會導致新建目錄和文件必須由管理員來

修改權限，否則無法使用。為了尋找一個安全與便捷的平衡，飆歌系

統(tǒng)中為目錄和文件設置了初始權限。設置初始權限的方式就是通過

umask命令字，稱為權限撞碼或權限補碼。

先來看?卜umask是什么。使用:ooi用戶在命令行中輸入"umask”

命令?即可看到umask的顯示內(nèi)容，如圖3-62所示。

圖3-62宜看umask

由圖3-62可知，當前默認的umask值為“0022”.其中，第1位是

特殊權限位，不影響之前學習的文件基礎權限，哲時不用管它。我們

需要注意的是后3位，即“022”。

有人會想到：文件可被賦予的最高權限是777,減去掩碼的022之后

就是目錄的默認權限755.這里必須注意，這樣計算并不完全正確，

真正的計算方式要從文件基礎權限的原理上說起。

再次回到文件權限的字符模式，如目錄的初始權限為“rwxr-xr-x”，

這是為了便于我們閱讀的表示方式。文件權限真正的含義是9位二進

制數(shù)，每一位的可用值為。和1,1表示有權限，。表示沒有權限。

所以，文件權限的真實表示方式如圖323所示。

rwxr-xr-x權哂識

111101101二2Q

755十送*.識

圖3-63文件權限的克實表示方式

還是保持每3位標識為一組,那么將每組.?進制的值轉(zhuǎn)化為十進制后

再組合到一起，就是chmod命令的數(shù)字模式的表示方式了。

umask掩碼的表示方式與上述的推演方式相反，如圖3-64所示。

通過圖3-64所示的反向推演可以知道,“022”代表文件所屬用戶組

的可寫權限和其他用戶的可寫權限。掩碼的意思就是“不給”，也就

是說,掩碼022表示不賦予文件所屬用戶組和其他用戶可寫權限。

022十四標識

000010010二進制標識

————N——W—權組標識

圖3.64umask掩碼的表示方式

那么，目錄默認權限的計算方式如圖3/5所示.

15

字符標識二選制+進制

r.vxrvxrvx111111111ill

---------w--w-000010010022

rwxr-xr-x1111011017ss默認權儂

圖3-65目錄默認權限的計算方式

再來看一下普通文件默認權限的計算方式。

處鑿系統(tǒng)認為文件的執(zhí)行權限對系統(tǒng)的影響是最大的。如果文件具有

可執(zhí)行權限，則可以直接執(zhí)行該文件，由于一些腳本文件可以調(diào)用系

統(tǒng)內(nèi)核的函數(shù)，如果這些腳本文件中包含惡意代碼，則對系統(tǒng)的損害

會非常嚴困。因此，系統(tǒng)默認文件的可執(zhí)行權限是不能自動賦予的，

必須由管理員手動設置。所以，系統(tǒng)設計時根本沒有考慮給文件的執(zhí)

行權限授權的情況，文件的默認最高權限就是666。

文件默認權限的計算方式與目錄默認權限的計算方式相同，如圖3-66

所示。

字籽標識二進制十戰(zhàn)制

rv-rv-rv-110110110666?高權限

---------w--w-000010010022

rw-r—r--110100100644Jtt認權殂

S3-66文件默認權限的計算方式

由圖3-66就可以知道普通文件默認權限為644的原因了。

2.修改umask

權限掩碼umask是為了尋找一個安全和便捷的平衡。如果服務器中

有了新的業(yè)務要求，即在原有的業(yè)務規(guī)則下，增加一個業(yè)務要求''可

執(zhí)行權限也將不再賦予”，則這個業(yè)務要求也可以通過umask來完

成，這時就需要修改權限掩碼umask。

修改umask的方式有兩種：臨時修改和永久修改。

臨時修改用于本次操作，當系統(tǒng)重啟后，umask將恢蛻原值。當然.

修改umask之后創(chuàng)建的文件和目錄的權限不會發(fā)生改變.

臨時修改umask的命令格式如下：

umask[code]

其中，“code”是權限的數(shù)字模式。

實際操作一下，例如，對于上述業(yè)務要求，我們將要“能去”文件所

屬用戶組的可寫權限、其他用戶的可寫權限和可執(zhí)行權限。通過計算

可知，新的掩碼umask應為023■:嘗試修改一下，如圖3-67所示。

16

由圖3-67可知，我們先將掩碼umask臨時修改為023,然后創(chuàng)建目錄

mydir,可見mydir目錄的權限為dr\vxr-xr--,對應的數(shù)值為754,而

不是默認的755,掩碼umask修改成功。

但是重啟系統(tǒng)后，掩碼umask將恢豆為022。

如果梯務要求是持續(xù)的、長久的，就需要永久修改umask。

永久修改umask的方式為修改配置文件/etc/profile,我們使用vi/vim

命令打開該文件進行編陰，如圖3-68所示。

圖3-68/etobrofile文件內(nèi)容

圖3-68所示為截取的/etc/proEe叉件中設置umask的段落。“if”段

落中的“umask”為系統(tǒng)用戶的掩碼設置，“else”段落中的“umask”

為普通用戶的掩碼設苴,我們修改對應的值就可以了.需要注意的是，

修改完配置文件后需要重啟系統(tǒng)健之生效。

3.權限計算的常見錯誤

回到之前的問題，無論是字符模式還是二進制或十進制，通過“減法”

的方式計算默認權限都是沒有問題的（見圖3心5和圖3-66）,那為

什么說不完全正確呢？

問題就在于目錄文件的最高權限與普通文件的最高權限不一致。目錄

文件的最高權限為777,即9個權限位均為1.所以計算時可以通過

減法完成計算。而普通文件的最高權限為666,9個權限位不都是I.

所以在進行減法運算時可能會產(chǎn)生“借位”，從而導致規(guī)則錯誤。

例如，將掩碼設置為023,通過減法方式計尊文件權限，為666-023

=643,轉(zhuǎn)換為字符標識則是rw-r---wx（為了直觀展示，中間增

加了空格隔開＞.但是業(yè)務要求的是不能賦予文件其他用戶可寫權限

和可執(zhí)行權限，這就發(fā)生了嚴重錯誤。產(chǎn)生這個錯誤的根本原因如圖

3-69所示.

17

字符標識二進制+進制

rw-rw-rw-110110110666最鬲松限

----w--wx0000