linux权限

linux权限

1. 权限概念

什么是权限呢？举个例子，比如你想在爱奇艺上写代码，在校长办公室看球赛…是不可能的；爱奇艺是用来看影视剧的，校长办公室没有看球赛的功能而且你根本进不去。简单来说，权限是用来限制人的，其次你访问的对象天然可能没有这种“属性”。

权限：一件事情是否允许被谁“做"，权限 = 人 + 事物属性。下面就围绕这两个方面来讲。

1.1 linux下用户分类

Linux下有两种用户：超级用户（root）、普通用户。

• 超级用户：可以在linux系统下做任何事情，不受限制
• 普通用户：在linux下做有限的事情。
• 超级用户的命令提示符是“#”，普通用户的命令提示符是“$”。

命令：su [用户名]
功能：切换用户。
例如，要从root用户切换到普通用户user，则使用 su user。 要从普通用户user切换到root用户则使用 su root （root可以省略），此时系统会提示输入root用户的口令。

对比 su 和 su -

su 命令是在同一个bash下进行切换

su - 命令是让root重新登录

2. 权限管理

2.1 文件访问者的分类(人)

文件和文件目录的所有者：u—User
文件和文件目录的所有者所在的组的用户：g—Group
其它用户：o—Others

2.2 文件类型和访问权限(事物属性)

(1) 文件类型

linux下，不用文件后缀区分文件类型，而是用文件属性中第一列的第一个字符来区分文件类型

• d：目录(文件夹)
• -：普通文件，文本，可执行，归档文件等
• l：软链接（类似Windows的快捷方式）
• b：块设备文件（例如硬盘、光驱等）
• p：管道文件
• c：字符设备文件（例如屏幕等串口设备）
• s：套接口文件

(2) 基本权限

• 读（r）：read对文件而言，具有读取文件内容的权限；对目录来说，具有浏览该目录信息的权限
• 写（w）：write对文件而言，具有修改文件内容的权限；对目录来说具有删除移动目录内文件的权限
• 执行（x）：execute对文件而言，具有执行文件的权限；对目录来说，具有进入目录的权限
• “—”表示不具有该项权限

(3) 文件权限值的表示方法

<1> 字符表示方法

<2> 8进制数值表示方法

(4) 文件访问权限的相关设置方法

<1> chmod
功能：设置文件的访问权限
格式：chmod [参数] 权限 文件名
常用选项：

• R -> 递归修改目录文件的权限
• 说明：只有文件的拥有者和root才可以改变文件的权限

chmod命令权限的格式

① 用户表示符+/-=权限字符

• +: 向权限范围增加权限代号所表示的权限
• -: 向权限范围取消权限代号所表示的权限
• =: 向权限范围赋予权限代号所表示的权限

用户符号：

• u：拥有者

• g：拥有者同组用

• o：其它用户

• a：所有用户

实例：

# chmod u+w /home/abc.txt
# chmod o-x /home/abc.txt
# chmod a+rwx /home/abc.txt    // 给所有用户赋予rwx权限
# chmod a=x /home/abc.txt

② 三位8进制数字

# chmod 664 /home/abc.txt
# chmod 640 /home/abc.txt

<2> chown
功能：修改文件的拥有者
格式：chown [参数] 用户名 文件名
实例：

# chown user1 f1
# chown -R user1 filegroup1

<3> chgrp
功能：修改文件或目录的所属组
格式：chgrp [参数] 用户组名 文件名
常用选项：-R 递归修改文件或目录的所属组
实例：

# chgrp users /abc/f2

3. 目录权限

对于一个目录来说rwx权限分别代表什么呢？

• r：在没有r权限的目录下，我们无法查看当前目录下的 文件名 + 文件属性
• w：在没有w权限的目录下，我们无法直接在该目录下创建删除文件
• x：我们进入一个目录需要x权限

4. 默认权限

现象：我们在linux当前系统下创建普通文件(不包括可执行)，为什么默认权限是从664开始的；目录的默认权限是从775开始的？

首先我们先解释一下默认权限，起始权限概念

• 默认权限：你看到的
• 起始权限：系统设定的。普通文件起始权限：666(没有x)，目录文件起始权限：777(rwx)

出现上面默认权限与起始权限不同的原因：系统为了更好的控制文件权限，系统会有默认的权限。采用权限掩码umask来设置默认权限。

权限掩码：在起始权限中，去掉在umask中出现的权限，不能影响其他任何权限

最终权限 = 起始权限 & (~umask)

查看系统的权限掩码：

验证： 普通文件默认权限：664，目录文件默认权限：775

5. 粘滞位

背景：在使用linux的时候，未来可能会有一些共享目录，被所有的普通用户共享，用来保存普通用户产生的临时数据

准备：共享目录通常都是root提供的

现在root在根目录下创建共享目录public，并创建文件me.txt

一名yj的用户来了，进入到共享目录后，直接删除掉root的me.txt，立马可以删除成功。因为此目录是共享目录，对other就有rwx权限，w权限就可以在该目录下创建和删除文件。

即，我们发现：共享目录下的文件在被所有人共享时，授权限约束，但是无法拦住别人删除我的文件。由于共享目录存在w权限的原因

那么如何保护共享目录下的文件呢？

设定粘滞位，会让别人无法删除我的文件。那么谁能删除呢？文件拥有者，root

设定粘滞位：

chmod +t 共享目录名

验证：还是上面的例子public目录下有root创建的r.txt文件，此时我们给该目录添加粘滞位

当yj用户想要删除该目录下的文件时：就无法删除成功

总结：

当一个目录被设置为"粘滞位"(用chmod +t),则该目录下的文件只能由

• 超级管理员删除
• 该目录的所有者删除
• 该文件的所有者删除

6. 权限的总结

• 目录的可执行权限是表示你可否在目录下执行命令。
• 如果目录没有-x权限，则无法对目录执行任何命令，甚至无法cd 进入目录, 即使目录仍然有-r 读权限（这个地方很容易犯错，认为有读权限就可以进入目录读取目录下的文件）
• 而如果目录具有-x权限，但没有-r权限，则用户可以执行命令，可以cd进入目录。但由于没有目录的读权限
• 所以在目录下，即使可以执行ls命令，但仍然没有权限读出目录下的文档