1.Linux权限的概念

在说Linux权限的概念之前我来问大家一个问题,你们觉得什么是权限?
权限平时的体现呢,就比如不是校长的亲戚就不能逛办公室,没充会员的爱奇艺看不了VIP影视剧,没成会员的的蛋糕店拿不到会员价等等等等。
a.权限是限制人的,人=真实的人+身份角色(校长亲戚,VIP等)。
b.目标事物的属性,也会影响权限(就好比你在爱奇艺里想写CSDN,这不搞笑吗,爱奇艺属性摆在那里,用来look影视剧的,怎么会有写博客的权利)。
所以我们能得出来,权限=角色+事物属性,权限最终决定你能不能做某事。
1.1Linux下有两种用户:超级用户(root)、普通用户。
超级用户:超级管理员,可以再 linux 系统下做任何事情,几乎不受任何限制。
普通用户:Linux的使用者,处处受到权限的限制。
超级用户的命令提示符是 “#” ,普通用户的命令提示符是 “$”
命令 su [ 用户名 ]
功能 :切换用户。
例如,要从 root 用户切换到普通用户 user ,则使用 su user 。 要从普通用户 user 切换到 root 用户则使用 su root( root 可以省略),此时系统会提示输入 root 用户的口令。
root既然是管理员,那么它切换到任何用户都不要密码,但是普通用户之间切换以及切换到root都需要输入相对应的密码。
我们可以ctrl+d或者exit退回原来的用户。
这里有个点,当我们使用su切换身份时,我们当前的工作路径并没有变,如下图。
但我们使用su - 时,家目录会发生变化,工作路径会变。
所以我们想直接切换用户时就su,想重新登陆用户时就su -
1.2指令提权
那么我们如何不切换用户也可以执行更高权限的指令呢?这里就得谈谈指令提权了。
提权的使用sudo指令。这里的话可以看出来,提权需要的密码竟然不是超级用户root的,而是自己的,为什么呢?就是因为白名单的原因,白名单里有你,你才能提权,没有你就别想了,而白名单是管理员把你加进去的,说明他信任你,所以你才能提权,知道了吗。像我的话,还没学到vim,不会把我的用户加进白名单,所以后面再仔细说说这个。如果你在白名单里,这个操作就会成功,这里就不再说了。

2.Linux权限管理

2.1文件访问者的分类(人)
Linux里的角色分三类,文件拥有者,文件所属组,other。
文件和文件目录的所有者: u---User (中国平民 法律问题)
文件和文件目录的所有者所在的组的用户: g---Group (不多说)
其它用户: o---Others (外国人)
这里需要纠正一下,大家可能会想,咱们前面不才说了Linux之下有两种用户吗,现在怎么又冒出来三类角色了,其实很好理解,两种用户是具体的用户,而那三类只是角色,是由具体的用户扮演的,root既可以是拥有者,也可以是所属组所以二者并不冲突,恰恰相反,互补。
2.2文件类型和访问权限(事物属性)
a) 文件类型
d:目录 ,-:普通文件 ,c:字符设备文件(显示器&&键盘) ,b:块设备文件(磁盘) ,p:管道文件 ,l:链接文件。
b)基本权限
i. 读( r ): Read 对文件而言,具有读取文件内容的权限;对目录来说,具有浏览该目录信息的权限
ii. 写( w ): Write 对文件而言,具有修改文件内容的权限;对目录来说具有删除移动目录内文件的权限
iii. 执行( x ): execute 对文件而言,具有执行文件的权限;对目录来说,具有进入目录的权限
iv.“—” 表示不具有该项权限
2.3文件权限值的表示方法
a) 字符表示方法
b)8 进制数值表示方法
4.文件访问权限的相关设置方法
4.1chmod
功能: 设置文件的访问权限
格式: chmod [ 参数 ] 权限 文件名
常用选项:
R -> 递归修改目录文件的权限
说明:只有文件的拥有者和 root 才可以改变文件的权限
chmod
① 用户表示符 +/-= 权限字符
+: 向权限范围增加权限代号所表示的权限
-: 向权限范围取消权限代号所表示的权限
=: 向权限范围赋予权限代号所表示的权限
用户符号:  
u :拥有者
g :拥有者同组用
o :其它用户
a :所有用户
实例:
②三位 8 进制数字
实例:
4.2chown
功能 :修改文件的拥有者
格式 chown [ 参数 ] 用户名 文件名
实例:
4.3chgrp
功能 :修改文件或目录的所属组
格式 chgrp [ 参数 ] 用户组名 文件名
常用选项 -R 递归修改文件或目录的所属组
实例
4.4umask
功能
查看或修改文件掩码
新建文件夹默认权限 =0666
新建目录默认权限 =0777
但实际上你所创建的文件和目录,看到的权限往往不是上面这个值。原因就是创建文件或目录的时候还要受到umask的影响。假设默认权限是 mask ,则实际创建的出来的文件权限是 : mask & ~umask
格式 umask 权限值
说明 :将现有的存取权限减去权限掩码后,即可产生建立文件时预设权限。超级用户默认掩码值为 0022 ,普通用户默认为0002
实例
5.file指令
功能说明 :辨识文件类型。
语法 file [ 选项 ] 文件或目录 ... 
常用选项
-c 详细显示指令执行过程,便于排错或分析程序执行的情形。
-z 尝试去解读压缩文件的内容。
使用 sudo 分配权限
(1)修改 /etc/sudoers 文件分配文件
# chmod 740 /etc/sudoers
# vi /etc/sudoer
格式:接受权限的用户登陆的主机 = (执行命令的用户) 命令
(2)使用 sudo 调用授权的命令
sudo –u 用户名 命令
6.目录的权限
可执行权限 : 如果目录没有可执行权限 , 则无法 cd 到目录中 .
可读权限 : 如果目录没有可读权限 , 则无法用 ls 等命令查看目录中的文件内容 .
可写权限 : 如果目录没有可写权限 , 则无法在目录中创建文件 , 也无法在目录中删除文件 .
于是 , 问题来了 ~~
换句话来讲 , 就是只要用户具有目录的写权限 , 用户就可以删除目录中的文件 , 而不论这个用户是否有这个文件的写
权限 .
这好像不太科学啊 , 我张三创建的一个文件 , 凭什么被你李四可以删掉 ? 我们用下面的过程印证一下:
[root@localhost ~]# chmod 0777 /home/
[root@localhost ~]# ls /home/ -ld
drwxrwxrwx. 3 root root 4096 9 19 15:58 /home/
[root@localhost ~]# touch /home/root.c
[root@localhost ~]# ls -l /home/
总用量 4
-rw-r--r--. 1 root root 0 9 19 15:58 abc.c
drwxr-xr-x. 27 litao litao 4096 9 19 15:53 litao
-rw-r--r--. 1 root root 0 9 19 15:59 root.c
[root@localhost ~]# su - litao
[litao@localhost ~]$ rm /home/root.c #litao 可以删除 root 创建的文件
rm :是否删除有写保护的普通空文件 "/home/root.c" y
[litao@localhost ~]$ exit
logout
为了解决这个不科学的问题 , Linux 引入了粘滞位的概念.
7.粘滞位
[root@localhost ~]# chmod +t /home/ # 加上粘滞位
[root@localhost ~]# ls -ld /home/
drwxrwxrwt. 3 root root 4096 9 19 16:00 /home/
[root@localhost ~]# su - litao
[litao@localhost ~]$ rm /home/abc.c #litao 不能删除别人的文件
rm :是否删除有写保护的普通空文件 "/home/abc.c" y
rm: 无法删除 "/home/abc.c": 不允许的操作
当一个目录被设置为 " 粘滞位 "( chmod +t), 则该目录下的文件只能由
一、超级管理员删除
二、该目录的所有者删除
三、该文件的所有者删除

8.关于权限的三个问题

1.目录权限:
a.如果我要进入一个目录需要什么权限?(需要x)
b.r对目录来说有什么作用?(无权查看指定目录下的文件信息)
c.w对于目录呢?(无权在指定目录内部新建文件,删除文件,修改文件等操作)
2.缺省权限:
由上面的八进制可以看出rwx(7)rwx(7)r-x(5),775
由上面的八进制可以看出rw-(6)rw-(6)r--(4),664
普通文件起始权限是666,目录是777.
umask是权限掩码,不是说起始是666,777吗,为什么我们上面是664,775呢,这是因为有权限掩码的原因。
直接说结论:最终权限(默认)=起始权限&(~umask)。
我们来计算一下,我们上面的umask其实是0002(第一个0不用管,后面的内容才提到),转换成二进制就是000 000 010,翻译成反码就是111 111 101,最后再与起始权限666(110 110 110)取和,所以最终权限是110 110 100(664)。
所以我们修改权限掩码就能达到修改Linux文件缺省的问题。
3.共享目录下如何防止被删文件
a.假如有的人心里变态,你跟你对象创了共享文件,不给第三人看,而那个人就嫉妒,看不到就毁掉,那该怎么办呢,因为你既然能创建就说明目录的w是有的,所以就可以删文件。删除文件,只由所在目录的w权限决定,与其他无关。
b.这时候就得靠粘滞位了,因为任何用户在设置了粘滞位的目录下,只能删除自己的文件(当然root大魔王是无视规则的)。
c.粘滞位只能给目录设置,不需要给普通文件设置。

9.关于权限的总结

~目录的可执行权限是表示你可否在目录下执行命令。
~如果目录没有 -x 权限,则无法对目录执行任何命令,甚至无法 cd 进入目 , 即使目录仍然有 -r 读权限(这个地方很容易犯错,认为有读权限就可以进入目录读取目录下的文件)
~而如果目录具有-x 权限,但没有 -r 权限,则用户可以执行命令,可以 cd 进入目录。但由于没有目录的读权限
~所以在目录下,即使可以执行 ls 命令,但仍然没有权限读出目录下的文档。

这篇文章到这就结束啦,希望对大家有所帮助。

点赞(0) 打赏

评论列表 共有 0 条评论

暂无评论

微信公众账号

微信扫一扫加关注

发表
评论
返回
顶部