“权限之舞：Linux安全之道”

🍔前言：

在之前的Linux博客中，我们学习了基础的Linux指令，具体可以订阅一下博主的Linux专栏学习。当我们想进行递归删除文件时等等许多操作中，只有在root账号中有询问或只能在root账号中添加未安装的指令呢？今天我们来讲一下Linux的一些权限，长话短说我们开始今天的内容！

Linux权限的概念

Linux下有两种用户：超级用户（root）、普通用户。

超级用户：可以再linux系统下做任何事情，不受限制
普通用户：在linux下做有限的事情。
超级用户的命令提示符是"#"，普通用户的命令提示符是"$"。

当我们在Linux系统中可以进行来回的切换root与普通用户。

命令： su $用户名$
功能： 切换用户。

例如，要从root用户切换到普通用户user，则使用 su user。要从普通用户user切换到root用户则使用 su root（root可以省略），此时系统会提示输入root用户的口令。

举个例子：

我现在就是一个普通用户，想要进入root账户中去，只需要输入su指令后，正确输入root账户的密码即可进入root账户**(输入密码时，密码是不会显示的)**

当我们想要快速再返回到普通用户账户时，可以直接使用快捷键ctrl+d或者输入指令exit即可。

我们还有一种进入root账户的方法，输入指令su -即可。这样输入后与之前的操作相同，输入root账户密码即可进入，但是在命令行中会比上面指令多出几行内容。

就会出现上面类型之类的话语，虽然达到的结果是相同的，但是底层的意义是不同的。使用su指令就是暂时将身份提升至root，而su -指令本质是以root身份重新登陆一次，就如同点开xshell登录root账户一样。

同样root账户也可以切换普通用户，因为root账户下可能有许多普通用户，所以在切换时su + 用户名即可。

在普通账户切换root账户时需要输入root账户的密码，但是在root切换到普通用户时是不需要输入密码进行验证的！！！

当我使用的是普通用户切换到root账户下的另一个普通用户去，直接切换不用root作为媒介应该输入谁的密码呢？

输入自己账户的密码进不去，输入root账户的密码进不去，所以想要普通用户切换到另一个普通用户就要输入目标用户的密码进行切换。

但是如果我们有root账户的密码，我们就可以随意的进入每个普通用户中去，这是非常危险的行为，所以root账户的密码必须要复杂且保密！！！

但是如果我们就是想使用普通用户的账户来进行一条指令的短暂操作，我们应该怎么办呢？

sudo指令

sudo指令可以短暂的将我们的身份切换为root账户进行执行一条命令。

命令：sudo + 过去学到的各种指令

如果没有sudo指令的安装，我们可以在自己的root账户中输入：yum install sudo 指令即可。

我们在普通用户中想要以root的身份创建一个文件，应该怎么做？

我已经正确的使用sudo指令了，为什么还是创建不了呢？甚至报错！

那是因为在root账号中有一个类似于白名单的文件，将我们的普通用户进行加入才可以进行sudo指令操作。

我们的用户放在了以root创建的一个目录中去，一个用户只有在这个配置文件中，才可以使用sudo指令，反之则不能使用。

所以Linux系统考虑的非常周到，如果我们每个人都可以使用sudo指令，那么root账号将变得毫无意义。如何添加用户我们在后面的博客中讲解。

Linux权限管理

在生活中，我们都会遇到权限不足的问题，比如一个群聊是否为管理员、爱奇艺有无VIP会员等等，都与权限有关。当我们看那些需要vip的电影如果没有vip就是看不了。而Linux中也会有这些权限，而Linux一切路径下皆文件，所以我们Linux权限一般是针对用户与文件的，下面我们来了解一些Linux中的权限。

文件类型和访问权限（事物属性）

对于每个文件，我们也有相对应的属性，文件属性上我们分为w、r、x。

上图是一个文件的信息分布即意义，我们可以使用ll、ls -d等指令查看文件的详细信息内容。

文件类型：

d：文件夹

-：普通文件

l：软链接（类似Windows的快捷方式）

b：块设备文件（例如硬盘、光驱等）

p：管道文件

c：字符设备文件（例如屏幕等串口设备）

s：套接口文件

基本权限：

i.读（r/4）：Read对文件而言，具有读取文件内容的权限；对目录来说，具有浏览该目录信息的权限

ii.写（w/2）：Write对文件而言，具有修改文件内容的权限；对目录来说具有删除移动目录内文件的权限

iii.执行（x/1）：execute对文件而言，具有执行文件的权限；对目录来说，具有进入目录的权限

iv."---"表示不具有该项权限

文件访问者的分类（人）

对于我们的用户访问文件，Linux会将它们分为三种类型：拥有者、所属组、other。

文件和文件目录的所有者：u---User（中国平民法律问题）

文件和文件目录的所有者所在的组的用户：g---Group（不多说）

其它用户：o---Others （外国人）

这些分类不应该是对人，应该是每个人扮演的角色。那这些角色与root、普通用户都有什么关系呢？

上图就是我们文件所对应的拥有者与所属组。那什么是other呢？当其他用户访问我们的一个文件或目录时，Linux会将其用户看作other。

那一个文件会有拥有者就足够了，为什么还会有所属组呢？

Linux创建所属组就是为了方便管理，就如同微信中拉了一个群聊一样，几个人创建一个所属组以某个用户的用户名命名。但是现在的资源比较丰富，所以所属组已经不经常使用了。而所属组就是将一个人或一群人放入一个组里进行文件权限的共享。

文件权限值的表示方法

a)字符表示方法

文件权限内容与文件权限属性的后九个字符有关，前三个代表拥有者的权限，中间三个代表所属组的权限，最后三个代表other的权限。

而我们的rwx也可以用二进制的形式进行存储，000代表---，001--x......110代表rw-111代表rwx。这些二进制也可以转换成8进制从0~7。

b)8进制数值表示方法

文件访问权限的相关设置方法

其实这些文件的访问权限属性我们都可以进行更改，它们都是可以改变的，只要属于所有者的名下即可改变。修改时我们需要使用一个指令chmod。

chcod指令

功能：设置文件的访问权限

格式：chmod $参数$ 权限文件名

常用选项：

R -> 递归修改目录文件的权限

说明：只有文件的拥有者和root才可以改变文件的权限
用户表示符+/-=权限字符

+:向权限范围增加权限代号所表示的权限

-:向权限范围取消权限代号所表示的权限

=:向权限范围赋予权限代号所表示的权限

用户符号：

u：拥有者

g：拥有者同组用

o：其它用户

a：所有用户