Linux下的权限：论老流氓root的存在

用户

Linux下有两中用户：超级用户（root）、普通用户

• 超级用户：可以在Linux系统下做任何事情，不受到限制
• 普通用户：在Linux下做有限的事情
• 超级用户的命令提示符是"#"，普通用户的命令提示符是"$"
• root用户只允许存在一个，普通用户可以存在多个。

身份切换

普通用户切换到root
将普通用户切换到root账号，普通向root进行切换需要输入root账号的密码

• su - 以root身份重新登录一次
• su 用户身份切换到root

root用户回退到普通用户

• CTRL + D

root用户切换到普通用户
在现在登录的账号为root的情况下，切换到普通用户，不需要输入普通用户的密码

• su username

• 普通用户切换到另一个普通用户，需要输入另一个普通用户的密码

• 普通用户切换到root用户，需要root账号的密码

• root用户切换到任何普通用户，都不需要密码

提权

普通用户在执行某个指令的时候临时使用root用户的权限进行执行。
不想将现在使用的账号切换到root，但是想要让普通用户短暂以root的权限，执行一条命令

• sudo

• 在root用户的目录中存在一个sudoers文件。`/etc/suders/
• 一个普通用户需要在sudoers这个配置文件中，才允许这个普通用户执行sudo。
• 默认普通用户是没有加入到sudoers配置文件中。

权限管理

权限

• 权限一定是限制人的，权限只有允许或者禁止
• 对应的操作对象，一定要有对应的满足于人的需求的属性

Linux下一切皆文件

• Linux操作对象的属性，主要集中在文件权限的属性上。

文件访问者

角色
权限限制不是某个特定的人，而是人所对应的角色。

• 拥有者 - user - u
• 所属组 - group - g
• 其他 - other - o
  对于一个文件/目录，不是这个文件/目录的拥有者或者所属组的用户都属于other。

任何一个角色都是由具体的人来扮演，不论是root还是普通用户，都可以扮演拥有者/所属组/other中任一个或者多个。

修改文件的拥有者
chown - 修改文件/目录的拥有者

• chown user filename
  将filename文件的拥有者修改为user

通常直接给是不被允许的，所以需要提权或者更换root

修改文件/目录所属组
chgrp - 修改文件或目录的所属组

• chgrp users filename
  将filename文件的所属组修改为users

通常直接给是不被允许的，所以需要提权或者更换root

同时更改拥有者和所属组

• chown user:user filename

文件访问权限

文件权限属性

• r：读
• w：写
• x：执行
• -：没有权限

文件权限更改
文件权限更改的前提是这个文件的拥有者是你。
文件权限更改使用的命令是 chmod

删除权限

• chmod u-r filename
  将filename文件的拥有者权限中的读r权限去除
• chmod u-w filename
  将filename文件的拥有者权限中的写w权限去除

添加权限

• chmod u+r filename
  将filename文件的拥有者权限中添加读r权限

• chmod u+wx filename
  同时给filename文件的拥有者权限添加写w和执行x权限

• chmod u-x,g-w,o+w filename
  对filename文件，拥有者删除执行权限，所属组删除写权限，其他添加写权限

• chmod u-rwx,g-rwx,o-rwx filename
  删除拥有者、所属组和其他的所有权限

• chmod a+r filename
  同时给拥有者、所属组、其他都添加读权限

• chmod a-rwx filename
  同时删除拥有者、所属组、其他的所有权限

• chmod ugoa+-rwx filename

Linux文件可执行

• 有执行权限
• 文件是不是一个可执行文件

Linux操作系统在对文件进行操作之前，先确认用户是拥有者还是所属组还是其他，然后确认用户的角色之后再匹配对应的文件权限，并且只匹配一次。

文件权限对root形同虚设，对于Linux，root就是王！！！

权限 二进制/八进制 修改

• 拥有者权限 - rwx - 111 - 7
• 所属组权限 - rwx - 111 - 7
• 其他权限 - rwx - 111 - 7

文件类型

表示文件类型
属性列的第一个字符，表示文件的类型

• -：普通文件，文本、源代码、图片、视频、库、可执行文件
• d：目录文件
• b：block，块设备文件
  支持随机访问的设备，通常称为块设备文件，例如磁盘
• c：char，字符设备文件
  按照顺序访问的设备，例如显示器
• l：链接文件
  类似Windows中的快捷方式
• p：管道文件
• s：socket文件

后缀

• 在Windows中，文件的类型依靠文件名的后缀

• 文件类型决定了文件属于哪个类别，之后可以被哪些软件操作

• Linux的文件类型不通过后缀进行区分，但是不代表Linux不使用后缀

• Linux系统本身不关心文件的后缀，但是在操作系统上运行的软件会使用后缀

虽然linux不通过后缀识别文件类型，但是我们应该使用后缀：

• 工具需要，运行在Linux上的文件可能通过后缀进行划分文件
• 人需要，操作人员可以通过后缀更清晰的识别文件

查看文件详细的类型
通过使用file命令查看文件的更详细的类型

• file filename使用file命令查看filename文件/目录的详细类型

目录权限

• r：控制是否允许查看目录的属性信息

• w：控制是否允许在目录下进行文件的创建、删除、修改（文件名，其余属性可以修改）

• x：控制是否允许进入目录

  一个文件能否被删除，不取决于文件本身，取决于这个文件所处的目录，这个目录所属的用户是否拥有写权限

默认权限

• 普通文件的起始权限是：666
• 目录文件的起始权限是：777

当umask的权限为002时：

• 普通文件的默认权限是：664
• 目录文件的默认权限是：775

权限计算公式

• 最终权限 = 起始权限 & （~umask）

权限掩码：定制一个文件/目录 被创建时的默认权限

• umask：查看系统中默认的权限掩码

修改权限掩码

• umask 八进制数字，将系统中的权限掩码修改为指定的八进制数字

• 从起始权限中去掉umask中出现的权限

例如：umask显示的权限时002 -> 000 000 010

666
110 110 110
000 000 010
------------
110 110 100
664

777
111 111 111
000 000 010
------------
111 111 101
775

粘滞位

/tmp：被所有用户共享的公共目录
这个目录为了实现让多个用户之间可以数据共享，将other的rwx权限全部放开了。
但是因为w权限的存在，任何人都可以删除其他人的文件。
为了解决这个问题linux新设置了一个权限 - t

粘滞位（t）：给目录中的other设置的一个权限位，具有x的意义，同时也进一步对目录权限进行了特殊的想定，该目录里面的文件，只有root或者文件的拥有者有权进行删除，其他人一概不被允许。