本文介绍了Linux系统中的文件权限管理方法,包括文件访问权限测试、使用权限屏蔽字、改变文件权限等功能的实现方式及其应用场景。
1.测试文件访问权限
#include<unistd.h>
定义函数 int access(const char * pathname,int mode);
函数说明 access()会检查是否可以读/写某一已存在的文件。参数mode有几种情况组合,R_OK,W_OK,X_OK
和F_OK。R_OK,W_OK与X_OK用来检查文件是否具有读取、写入和执行的权限。F_OK则是用来判断该文件是否存在。由于access()只作
权限的核查,并不理会文件形态或文件内容,因此,如果一目录表示为“可写入”,表示可以在该目录中建立新文件等操作,而非意味此目录可以被当做文件处理。
例如,你会发现DOS的文件都具有“可执行”权限,但用execve()执行时则会失败。
返回值 若所有欲查核的权限都通过了检查则返回0值,表示成功,只要有一权限被禁止则返回-1。
错误代码 EACCESS 参数pathname 所指定的文件不符合所要求测试的权限。
EROFS 欲测试写入权限的文件存在于只读文件系统内。
EFAULT 参数pathname指针超出可存取内存空间。
EINVAL 参数mode 不正确。
ENAMETOOLONG 参数pathname太长。
ENOTDIR 参数pathname为一目录。
ENOMEM 核心内存不足
ELOOP 参数pathname有过多符号连接问题。
EIO I/O 存取错误。
附加说明 使用access()作用户认证方面的判断要特别小心,例如在access()后再做open()的空文件可能会造成系统安全上的问题。
eg:
#include <stdio.h>
#include <stdlib.h>
#include <fcntl.h>
#include <unistd.h>
#include <sys/stat.h>
int main(void)
{
int fd;
struct stat statbuf;
pid_t pid;
uid_t ruid, euid; /* 进程的实际ID和有效ID */
if(stat("test.txt", &statbuf) == -1){ /* 取得文件的状态 */
perror("fail to stat");
exit(1);
}
/* 得到进程的实际用户ID和有效用户ID */
euid = getuid();
euid = geteuid();
/* 打印进程的实际用户ID和有效用户ID */
printf("real id is : %u, effective id is : %u /n", (unsigned int)ruid, (unsigned int)euid);
/* 打印文件所有者ID */
printf("file owner is : %u/n", statbuf.st_uid);
if(access("test.txt", R_OK) == -1){ /* 测试文件的权限 */
perror("fail to access");
exit(1);
}
printf("access successfully/n"); /* 输出提示信息 */
if((fd = open("test.txt", O_RDONLY)) == -1){ /* 如果读权限测试成功,尝试打开文件 */
perror("fail to open");
exit(1);
}
printf("ready to read/n"); /* 输出提示信息 */
close(fd); /* 关闭文件 */
return 0;
}
2.使用文件权限屏蔽字
unmask权限屏蔽字,如果设置了相关位,系统在创建文件时,就会忽略用户对该位指定的值,而将其设置为0。
#include<sys/types.h>
#include<sys/stat.h>
定义函数 mode_t umask(mode_t mask);
函数说明
umask()会将系统umask值设成参数mask&0777后的值,然后将先前的umask值返回。在使用open()建立新文件时,该参数
mode并非真正建立文件的权限,而是(mode&~umask)的权限值。例如,在建立文件时指定文件权限为0666,通常umask值默认为
022,则该文件的真正权限则为0666&~022=0644,也就是rw-r--r--返回值此调用不会有错误值返回。
返回值为原先系统的umask值
3.在程序中使用umask函数
在程序中使用umask函数,不会影响Shell环境,但是会影响程序中所有新文件的权限设置。
实例:
//mask.c
#include <stdio.h>
#include <sys/stat.h>
#define MASK S_IRUSR | S_IRGRP | S_IROTH //屏蔽所有用户的读权限
int main()
{
int fd;
mode_t mask;
mask=umask(MASK);//改变权限屏蔽字,并将原来的权限字保存
printf("the original mask is %s/n",(unsigned int )mask);
/*是新文件的所有权限位都被设置*/
if((fd=open("test.txt",O_CREAT,0777)==NULL){
perror("fail to creat");
exit(1);
close(fd);
return 0;
}
程序得到的屏蔽字和shell环境中的一样,可见屏蔽字是由mask程序的父进程Shell进程继承而来的。
实际创建的test.txt的权限为 --wx-wx-wx,可见相应的权限被屏蔽了。
shell环境的权限屏蔽字仍然未变。因为子进程没法改变父进程的环境。
4.改变文件访问权限
#include<sys/types.h>
#include<sys/stat.h>
定义函数 int chmod(const char * path,mode_t mode);
函数说明 chmod()会依参数mode 权限来更改参数path 指定文件的权限。
参数 mode 有下列数种组合
S_ISUID 04000 文件的(set user-id on execution)位
S_ISGID 02000 文件的(set group-id on execution)位
S_ISVTX 01000 文件的sticky位
S_IRUSR(S_IREAD) 00400 文件所有者具可读取权限
S_IWUSR(S_IWRITE)00200 文件所有者具可写入权限
S_IXUSR(S_IEXEC) 00100 文件所有者具可执行权限
S_IRGRP 00040 用户组具可读取权限
S_IWGRP 00020 用户组具可写入权限
S_IXGRP 00010 用户组具可执行权限
S_IROTH 00004 其他用户具可读取权限
S_IWOTH 00002 其他用户具可写入权限
S_IXOTH 00001 其他用户具可执行权限
只有该文件的所有者或有效用户识别码为0,才可以修改该文件权限。基于系统安全,如果欲将数据写入一执行文件,而该执行文件具有S_ISUID 或S_ISGID 权限,则这两个位会被清除。如果一目录具有S_ISUID 位权限,表示在此目录下只有该文件的所有者或root可以删除该文件。
返回值 权限改变成功返回0,失败返回-1,错误原因存于errno。
错误代码 EPERM 进程的有效用户识别码与欲修改权限的文件拥有者不同,而且也不具root权限。
EACCESS 参数path所指定的文件无法存取。
EROFS 欲写入权限的文件存在于只读文件系统内。
EFAULT 参数path指针超出可存取内存空间。
EINVAL 参数mode不正确
ENAMETOOLONG 参数path太长
ENOENT 指定的文件不存在
ENOTDIR 参数path路径并非一目录
ENOMEM 核心内存不足
ELOOP 参数path有过多符号连接问题。
EIO I/O 存取错误
范例:
/* 将/etc/passwd 文件权限设成
S_IRUSR|S_IWUSR|S_IRGRP|S_IROTH */
#include<sys/types.h>
#include<sys/stat.h>
main()
{
chmod(“/etc/passwd”,S_IRUSR|S_IWUSR|S_IRGRP|S_IROTH);
}
5.改变一个打开文件的权限
#include<sys/types.h>
#include<sys/stat.h>
定义函数 int fchmod(int fildes,mode_t mode);
函数说明 fchmod()会依参数mode权限来更改参数fildes所指文件的权限。参数fildes为已打开文件的文件描述词。参数mode请参考chmod()。
返回值 权限改变成功则返回0,失败返回-1,错误原因存于errno。
错误原因 EBADF 参数fildes为无效的文件描述词。
EPERM 进程的有效用户识别码与欲修改权限的文件所有者不同,而且也不具root权限。
EROFS 欲写入权限的文件存在于只读文件系统内。
EIO I/O 存取错误。
范例:
//fchmod.c
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <fcntl.h>
#include <sys/stat.h>
/* 读操作掩码,将所有者用户、组用户和其它用户的读权限全部添加 */
#define READ_MASK S_IRUSR | S_IRGRP | S_IROTH
/* 写操作掩码,将所有者用户、组用户和其它用户的写权限全部添加 */
#define WRITE_MASK S_IWUSR | S_IWGRP | S_IWOTH
int main(void)
{
int fd;
struct stat statbuf;
/* 打开一个文件,如果该文件不存在,则使用读操作掩码作为权限字创建该文件 */
if((fd = open("test.txt", O_RDONLY | O_CREAT, READ_MASK)) == -1){
perror("fail to open");
exit(1);
}
printf("before changing mode/n"); /* 输出提示信息 */
if(fstat(fd, &statbuf) == -1){ /* 在打开的文件上得到文件状态 */
perror("fail to get status");
exit(1);
}
if(statbuf.st_mode & S_IRUSR) /* 所有者用户具有读文件的权限 */
printf("user can read/n");
if(statbuf.st_mode & S_IRGRP) /* 组用户具有读文件的权限 */
printf("group user can read/n");
if(statbuf.st_mode & S_IROTH) /* 其它用户具有读文件的权限 */
printf("other user can read/n");
printf("/n");
/* 使用写操作权限字改变文件的权限,
* 改变后文件的的所有读权限消失,
* 取而代之的是所有的写权限
*/
if(fchmod(fd, WRITE_MASK) == -1){
perror("fail to change model");
exit(1);
}
printf("after changing mode/n");
if(fstat(fd, &statbuf) == -1){ /* 再次去得到文件的状态 */
perror("fail to get status");
exit(1);
}
printf("check the file by file-descriptor/n");
/* 直接使用该文件的描述符取得文件状态,检查文件权限是否更新 */
if(statbuf.st_mode & S_IWUSR) /* 所有者用户具有写文件的权限 */
printf("user can write/n");
if(statbuf.st_mode & S_IWGRP) /* 组用户具有写文件的权限 */
printf("group user can write/n");
if(statbuf.st_mode & S_IWOTH) /* 其它用户具有写文件的权限 */
printf("other user can write/n");
printf("/n");
/* 再次从磁盘上取得该文件的文件状态,检查磁盘上的文件的权限是否也已经更新 */
if(stat("test.txt", &statbuf) == -1){
perror("fail to get status");
exit(1);
}
printf("check the file in the disk/n");
/* 磁盘上的文件权限也已经更新
*/
if(statbuf.st_mode & S_IWUSR) /* 所有者用户具有写文件的权限 */
printf("user can write/n");
if(statbuf.st_mode & S_IWGRP) /* 组用户具有写文件的权限 */
printf("group user can write/n");
if(statbuf.st_mode & S_IWOTH) /* 其它用户具有写文件的权限 */
printf("other user can write/n");
printf("/n");
sleep(10); /* 休眠10秒钟 */
printf("done/n"); /* 打印提示信息 */
close(fd); /* 文件关闭,所有缓冲区的内容冲洗到磁盘上 */
return 0;
}
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
