Linux权限管理
文章目录
- Linux权限管理
- 1、Linux下权限的概念
- (1)用户权限
- (2)文件权限
- 2、权限的相关命令
- (1)用户切换
- 超级->普通
- 普通->超级
- (2)用户提权
- (3)文件权限更改
- chmod
- chown
- chgrp
- 纠正思维
- 4、目录权限
- 5、默认权限
- 6、粘滞位
1、Linux下权限的概念
(1)用户权限
Linux既然是一个操作系统,那必然就有用户的概念,有了不同种类的用户需要区分,就产生了权限的概念
Linux下有两种用户:
- 超级用户(
root):可以在Linux系统下不受限制地进行操作- 普通用户:在
Linux系统下操作受到限制,只能做有限的操作- 超级用户的命令提示符是“
#”,普通用户的命令提示符是“$”
(2)文件权限
对文件进行操作的用户有三种:
- owner,拥有者
- group,所属组
- other,其他
对于个人(owner、other)的权限我们很容易理解,但是群体(group)的权限应该如何看待呢?
我们可以把group看作可以把权限赋给成员的一个群体,保证了工作中的安全
结合实际对应地看看:
Linux中文件类型不以后缀来区分文件,只看第一位的文件类型,对于后缀是一视同仁
- d:文件夹
- -:普通文件
- l:软链接(类似Windows的快捷方式)
- b:块设备文件(例如硬盘、光驱等)
- p:管道文件
- c:字符设备文件(例如屏幕等串口设备)
- s:套接口文件
权限r w x - 分别表示的含义为:
- 读(r):Read对文件而言,具有读取文件内容的权限;对目录来说,具有浏览该目录信息的权限
- 写(w):Write对文件而言,具有修改文件内容的权限;对目录来说具有删除移动目录内文件的权限
- 执行(x):execute对文件而言,具有执行文件的权限;对目录来说,具有进入目录的权限
- "-"表示不具有该项权限
| *权限* | *二进制值* | *八进制值* | *描述* |
|---|---|---|---|
| *—* | *000* | *0* | *没有任何权限* |
| *–x* | *001* | *1* | *只有执行权限* |
| *-w-* | *010* | *2* | *只有写入权限* |
| *-wx* | *011* | *3* | *有写入和执行权限* |
| *r–* | *100* | *4* | *只有读取权限* |
| *r-x* | *101* | *5* | *有读取和执行权限* |
| *rw-* | *110* | *6* | *有读取和写入权限* |
| *rwx* | *111* | *7* | *有全部权限* |
2、权限的相关命令
(1)用户切换
su(英文全拼:switch user)命令用于变更为其他使用者的身份,除 root 外,需要键入该使用者的密码
使用权限:所有使用者
语法:su [USER]
超级->普通
对于 root用户来说,使用
su 普通用户可以直接切换到普通用户
普通->超级
su:从普通用户切换到超级用户,所处工作目录不变化,只单纯地进行身份变化。su -:从普通用户切换到超级用户,会改变工作目录到**/root**
(2)用户提权
有时我们会碰见这种 permission denied的情况,这就说明当前用户并没有操作相应的权限,这时我们可以让当前无权限暂时在使用单条指令时拥有权限,这时就要用到 sudo指令,但在使用前需要稍微进行配置,可以查找相关文章来对着配置。
注:sudo的使用时间为五分钟,五分钟内再次使用 sudo 指令无需输入密码。
(3)文件权限更改
文件访问权限的修改主要分为对 拥有者、所属组、other权限的更改 和 对文件拥有者的更改 和 对文件所属组的用户的更改。
一般来说更改一个文件的权限,必须是文件的拥有者或者是 root 用户。
chmod
chmod(英文全拼:change mode)命令是控制用户对文件的权限的命令
Linux/Unix 的文件调用权限分为三级 : 文件所有者(Owner)、用户组(Group)、其它用户(Other Users)
只有文件所有者和超级用户可以修改文件或目录的权限。可以使用绝对模式(八进制数字模式),符号模式指定文件的权限
语法:chmod [-cfvR] mode file...
- -c : 若该文件权限确实已经更改,才显示其更改动作
- -f : 若该文件权限无法被更改也不要显示错误讯息
- -v : 显示权限变更的详细资料
- -R : 对目前目录下的所有文件与子目录进行相同的权限变更(即以递归的方式逐个变更)
使用符号模式可以设置多个项目:who(用户类型),operator(操作符)和 permission(权限),每个项目的设置可以用逗号隔开。 命令 chmod 将修改 who 指定的用户类型对文件的访问权限,用户类型由一个或者多个字母在 who 的位置来说明,如 who 的符号模式表所示:
| who | 用户类型 | 说明 |
|---|---|---|
u | user | 文件所有者 |
g | group | 文件所有者所在组 |
o | others | 所有其他用户 |
a | all | 所有用户, 相当于 ugo |
operator 的符号模式表:
| Operator | 说明 |
|---|---|
+ | 为指定的用户类型增加权限 |
- | 去除指定用户类型的权限 |
= | 设置指定用户权限的设置,即将用户类型的所有权限重新设置 |
permission 的符号模式表:
| 模式 | 名字 | 说明 |
|---|---|---|
r | 读 | 设置为可读权限 |
w | 写 | 设置为可写权限 |
x | 执行权限 | 设置为可执行权限 |
X | 特殊执行权限 | 只有当文件为目录文件,或者其他类型的用户有可执行权限时,才将文件权限设置可执行 |
s | setuid/gid | 当文件被执行时,根据who参数指定的用户类型设置文件的setuid或者setgid权限 |
t | 粘贴位 | 设置粘贴位,只有超级用户可以设置该位,只有文件所有者u可以使用该位 |
八进制语法
chmod命令可以使用八进制数来指定权限。文件或目录的权限位是由9个权限位来控制,每三位为一组,它们分别是文件所有者(User)的读、写、执行,用户组(Group)的读、写、执行以及其它用户(Other)的读、写、执行。历史上,文件权限被放在一个比特掩码中,掩码中指定的比特位设为1,用来说明一个类具有相应的优先级。
| # | 权限 | rwx | 二进制 |
|---|---|---|---|
| 7 | 读 + 写 + 执行 | rwx | 111 |
| 6 | 读 + 写 | rw- | 110 |
| 5 | 读 + 执行 | r-x | 101 |
| 4 | 只读 | r– | 100 |
| 3 | 写 + 执行 | -wx | 011 |
| 2 | 只写 | -w- | 010 |
| 1 | 只执行 | –x | 001 |
| 0 | 无 | — | 000 |
//拥有者增加执行权限
chmod u+x test.c
//同时对两个用户进行权限更改
chmod u-x o+rw test.c
//对全部用户进行权限修改:chmod a ± 用户权限 文件名
chmod a-r test.txt
//对用户进行 = 方式权限修改:例如 u = g,就是让 拥有者获得所属组对等的权限
chmod u=g test.c//8进制表示法
chmod 514 test.c //拥有者r+x,所属组X,其他r
chown
Linux chown(英文全拼:change owner)命令用于设置文件所有者和文件关联组的命令
Linux/Unix 是多人多工操作系统,所有的文件皆有拥有者。利用 chown 将指定文件的拥有者改为指定的用户或组,用户可以是用户名或者用户 ID,组可以是组名或者组 ID,文件是以空格分开的要改变权限的文件列表,支持通配符
chown 需要超级用户 root 的权限才能执行此命令
只有超级用户和属于组的文件所有者才能变更文件关联组。非超级用户如需要设置关联组可能需要使用 chgrp 命令
使用权限 : root
语法:
chown [-cfhvR] user[:group] file...
- user : 新的文件拥有者的使用者 ID
- group : 新的文件拥有者的使用者组(group)
- -c : 显示更改的部分的信息
- -f : 忽略错误信息
- -h :修复符号链接
- -v : 显示详细的处理信息
- -R : 处理指定目录以及其子目录下的所有文件
//把 /var/run/httpd.pid 的所有者设置 root
chown root /var/run/httpd.pid
//将文件 file1.txt 的拥有者设为 dy,群体的使用者 dys :
chmod dy:dys file1.txt
注:普通用户无法直接修改文件拥有者,但是我们可以用 **root **强制把文件拥有者改掉
chgrp
chgrp(英文全拼:change group)命令用于变更文件或目录的所属群组
与 chown 命令不同,chgrp 允许普通用户改变文件所属的组,只要该用户是该组的一员
语法:
chgrp [-cfhRv][所属群组][文件或目录...]
-c 或 --changes:效果类似"-v"参数,但仅回报更改的部分。
-f 或 --quiet 或 --silent: 不显示错误信息。
-h 或 --no-dereference: 只对符号连接的文件作修改,而不改动其他任何相关文件。
-R 或 --recursive: 递归处理,将指定目录下的所有文件及子目录一并处理。
-v 或 --verbose: 显示指令执行过程。
纠正思维
Linux 上权限是约束普通用户的,root 不会被约束。对于普通用户,被权限约束了什么都干不了,哪怕他是这个文件的拥有者。
对于 root,即使没有权限还是能畅通无阻。
4、目录权限
- 可执行权限 -
x: 如果目录没有可执行权限, 则无法cd到目录中.- 可读权限 -
r: 如果目录没有可读权限, 则无法用ls等命令查看目录中的文件内容.- 可写权限 -
w: 如果目录没有可写权限, 则无法在目录中创建文件, 也无法在目录中删除文件.
5、默认权限
- 默认权限:文件和目录一创建就有的权限
- 起始权限:系统设定的权限
- 最终权限:系统为了更好的控制文件权限,系统会有默认的 权限掩码 的概念(umask),起始文件和权限掩码进行计算后得到最终权限
- 普通文件起始权限:666开始,目录文件的起始权限:777。它们默认都是八进制表示的
- Linux 上权限掩码可以用
umask指令查看- 权限掩码特性:在起始权限中,去掉在权限掩码 umask 中出现的权限,不能影响其他任何权限。只要在
umask中出现的权限,在 最终权限 里就不能出现
最终权限计算公式:最终权限 = 起始权限 & (~umask)
//举个例子
起始权限:110 110 110权限掩码:000 000 010权限掩码取反:111 111 101
起始权限 & 权限掩码取反 = 110 110 110111 111 101 &-----------110 110 100 = 创建文件的最终权限
6、粘滞位
粘滞位(Stickybit),或粘着位,是Unix文件系统权限的一个旗标。最常见的用法在目录上设置粘滞位,如此以来,只有目录内文件的所有者或者root才可以删除或移动该文件。如果不为目录设置粘滞位,任何具有该目录写和执行权限的用户都可以删除和移动其中的文件。实际应用中,粘滞位一般用于/tmp目录,以防止普通用户删除或移动其他用户的文件。
当目录被设置了粘滞位权限以后,即便用户对该目录有写入权限,也不能删除该目录中其他用户的文件数据,而是只有该文件的所有者和root用户才有权将其删除
粘滞位权限只能针对目录设置,对于文件无效
