Linux 权限完全指南

Linux 权限完全指南

Linux下有两种用户：超级用户（root）、普通用户。

超级用户：可以再linux系统下做任何事情，不受限制

• 普通用户：在linux下做有限的事情。
• 超级用户的命令提示符是"#"，普通用户的命令提示符是"$"。

命令：su [用户名]

功能：切换用户。

1.超级->普通

要从root用户切换到普通用户user，则使用su user。

2.普通->超级

要从普通用户user切换到root用户则使用su root（root可以省略），此时系统会提示输入root用户的口令。

sudo

sudo是用来短暂提权的

比如：安装软件，安装到系统中，需要管理员root权限---其实只安装了一份，允许大家同时使用

但用sudo之前我们要先把用户放到"白名单"里

用root用户，用vim打开该路径下的文件

vim /etc/sudoers

找到这一行，添加白名单用户,然后保存推出即可

Linux权限管理

1.文件访问者的分类（人）

角色分为：

1.拥有者

2.所属组

3.other

拥有者与所属组不冲突！是相互补充的

那么问题来了，怎么不见other呢？ other不需要记录

2.文件类型和访问权限（事物属性）

文件类型：

• d：文件夹
• -：普通文件
• l：软链接（类似Windows的快捷方式）
• b：块设备文件（例如硬盘、光驱等）
• p：管道文件
• c：字符设备文件（例如屏幕等串口设备）
• s：套接口文件

基本权限：

• 读（r/4）：Read对文件而言，具有读取文件内容的权限；对目录来说，具有浏览该目录信息的权限

• 写（w/2）：Write对文件而言，具有修改文件内容的权限；对目录来说具有删除移动目录内文件的权限

• 执行（x/1）：execute对文件而言，具有执行文件的权限；对目录来说，具有进入目录的权限

• "---"表示不具有该项权限

  简单来说 都是两态的

  

文件权限值的表示方法

字符表示法 8进制数值表示法

文件访问权限的相关设置方法

1. chmod

功能：设置文件的访问权限

格式：chmod [参数] 权限 文件名

常用选项：

• R → 递归修改目录文件的权限
  说明：只有文件的拥有者和root才可以改变文件的权限

chmod命令权限值的格式：

用户表示符 + / - / = 权限字符

+：向权限范围增加权限代号所表示的权限

-：向权限范围取消权限代号所表示的权限

=：向权限范围赋予权限代号所表示的权限

用户符号：

u：拥有者

g：拥有者同组用

o：其它用户

a：所有用户

实例：

chmod u+w /home/abc.txt
chmod o-x /home/abc.txt
chmod a=x /home/abc.txt

三位8进制数字

实例：

• chmod 664 /home/abc.txt
• chmod 640 /home/abc.txt

用八进制修改权限

如

2. chown

系统默认不能把文件给别人，要用root权限

功能：修改文件的拥有者

格式：chown [参数] 用户名 文件名

用户确定只确定一次，从左向右

3. chgrp

功能：修改文件或目录的所属组

格式：chgrp [参数] 用户组名 文件名

常用选项：-R 递归修改文件或目录的所属组

实例：chgrp users /abc/f2

三个问题

1.目录权限

rwx分别对目录意味着什么？

新建一个目录 默认会有rwx权限

如果要进入一个目录，需要的是x权限

如果对目录没有w,无法在指定目录内部新建文件

2.缺省权限

对于普通文件起始权限666，默认不带执行

对于目录文件七十权限777，默认带执行

最终权限=起始权限&(~umask)

umask

功能：

查看或修改文件掩码

• 新建文件夹默认权限 = 0666
• 新建目录默认权限 = 0777
• 但实际上你所创建的文件和目录，看到的权限往往不是上面这个值。原因就是创建文件或目录的时候还要受到umask的影响。假设默认权限是mask，则实际创建的出来的文件权限是：mask & ~umask

格式：umask 权限值

说明：将现有的存取权限减去权限掩码后，即可产生建立文件时预设权限。超级用户默认掩码值为0022，普通用户默认为0002。

实例：

umask 755
umask //查看
044 //设置

umask的目的是什么

希望凡是在umask中出现的权限，都不应该在最终权限中出现

为什么要有umask

a.默认权限，由OS自主决定，无法在创建前进行修改---系统可配置，可以灵活满足需要的一种表现

b.特殊情况下，配置umask,可以可控制文件的默认权限，让我们的代码都是可控的

3.看一个现象

一个文件是否能被删除，与文件本身无关，与目录有关

file指令

功能说明：辨识文件类型。

语法：file [选项] 文件或目录...

常用选项：

• -c：详细显示指令执行过程，便于排错或分析程序执行的情形。
• -z：尝试去解读压缩文件的内容。

使用 sudo 分配权限

（1）修改/etc/sudoers文件分配文件

1 # chmod 740 /etc/sudoers
2 # vi /etc/sudoer

格式：接受权限的用户登陆的主机 =（执行命令的用户）命令

（2）使用 sudo 调用授权的命令

1 $ sudo -u 用户名 命令

实例：

1 $ sudo -u root /usr/sbin/useradd u2

目录的权限

• 可执行权限：如果目录没有可执行权限，则无法cd到目录中。
• 可读权限：如果目录没有可读权限，则无法用ls等命令查看目录中的文件内容。
• 可写权限：如果目录没有可写权限，则无法在目录中创建文件，也无法在目录中删除文件。

于是，问题来了～～换句话说来讲，就是只要用户具有目录的写权限，用户就可以删除目录中的文件，而不论这个用户是否有这个文件的写权限。

这好像不太科学啊，我张三创建的一个文件，凭什么被你李四可以删掉？我们用下面的过程印证一下。

1 [root@localhost ~] $ chmod 0777 /home/
2 [root@localhost ~] $ ls /home/ -ld
3 drwxrwxrwx. 3 root root 4096 9月 19 15:58 /home/
4 [root@localhost ~] $ touch /home/root.c
5 [root@localhost ~] $ ls -l /home/
6 总用量 4
7 -rw-r--r--. 1 root root 0 9月 19 15:58 abc.c
8 drwxr-xr-x. 27 litao litao 4096 9月 19 15:53 litao
9 -rw-r--r--. 1 root root 0 9月 19 15:59 root.c
10 
11 [root@localhost ~] $ su - litao
12 [litao@localhost ~] $ rm /home/root.c   # litao可以删除root创建的文件
13 rm:是否删除有写保护的普通空文件"/home/root.c"?y
14 
15 [litao@localhost ~] $ exit
16 logout

为了解决这个不科学的问题，Linux引入了粘滞位的概念。

在根目录下有一个tmp目录 它对other的权限最后一位是t

所以可以把文件放到该目录，共享文件(一般由root建立)

关于权限的总结

• 目录的可执行权限是表示你可否在目录下执行命令。
• 如果目录没有-x权限，则无法对目录执行任何命令，甚至无法cd进入目，即使目录仍然有-r读权限（这个地方很容易犯错，认为有读权限就可以进入目录读取目录下的文件）
• 而如果目录具有-x权限，但没有-r权限，则用户可以执行命令，可以cd进入目录。但由于没有目录的读权限，所以在目录下，即使可以执行ls命令，但仍然没有权限读出目录下的文档。

粘滞位

当一个目录被设置为"粘滞位"（用chmod +t），则该目录下的文件只能由

1. 超级管理员删除
2. 该目录的所有者删除
3. 该文件的所有者删除

可以把文件放到该目录，共享文件(一般由root建立)**

关于权限的总结

• 目录的可执行权限是表示你可否在目录下执行命令。
• 如果目录没有-x权限，则无法对目录执行任何命令，甚至无法cd进入目，即使目录仍然有-r读权限（这个地方很容易犯错，认为有读权限就可以进入目录读取目录下的文件）
• 而如果目录具有-x权限，但没有-r权限，则用户可以执行命令，可以cd进入目录。但由于没有目录的读权限，所以在目录下，即使可以执行ls命令，但仍然没有权限读出目录下的文档。

粘滞位

当一个目录被设置为"粘滞位"（用chmod +t），则该目录下的文件只能由

1. 超级管理员删除
2. 该目录的所有者删除
3. 该文件的所有者删除