前言
这节我们将学习linux
的权限控制,linux
的权限控制主要有 3 种方式来实现,分别是 chmod 权限控制、acl 权限控制 以及 sudo 权限控制。
Linux权限的认识
首先执行一条ll
命令,我们来说明其执行结果的组成部分:
drwxrwxr-x+ 2 root root 4096 12月 6 13:50 logs
-rw-r--r-- 1 root root 304 12月 6 11:24 result.txt
-rwxr-xr-x 1 root root 37 12月 6 11:15 test.sh
drwxr-xr-x 2 root root 4096 12月 6 13:48 webapps
上面的内容是我在某一路径下执行ll
命令得到的结果,我们来分析一下这每一部分代表的意思。
我使用空格将每一条的内容分为了较为明显的 7 个部分,下面来说明每一部分表示的意思,看第一条
第一部分drwxrwxr-x+
drwxrwxr-x+
这部分表示了文件的类型以及所有人对这个问你安所拥有的权限,具体看:
第一位是一个d
,表示该文件是一个目录,d
是 directory 的简写。linux 中有 7 中文件类型,最常见的是-
和d
,d
表示该文件是一个目录,-
表示该文件是一个普通文件。上面的四个文件我们可以看出第一条和第四条是目录,其它两个是普通文件。
接下来的第 2 到 10 位表示所有人对这个文件的权限,每三位表示一组权限,从左到右 3 组(rwx rwx r-x
)分别表示文件所有人(文件所属人)、文件所属组、其他用户对该文件所拥有的权限。
先看第一组rwx
,每位由r、w、x
或者是-
表示
r
read,表示对文件有读的权限
w
write,表示对文件有写的权限
r
(这个,这个 x 是怎么来的我也不知道),表示对文件有执行权限
-
表示没有权限,占位用
有了这些解释,我们再来看这个字符串rwxrwxr-x
就清楚多了,从左向右rwx
表示文件所属人对文件有读写执行
权限,第二个rwx
表示文件所属组用户对文件有读写执行
权限,最后一个r-x
表示其他人(第一种+第二种情况之外的用户)对文件有读和执行
的权限。最后一个+
表示该文件设置了额外的acl
权限,这个下面即将讲到。
第二部分 数字2
第二部分 数字2
表示链接数。
第三部分 root
第三部分 root
表示文件所属用户。
第四部分 root
第四部分 root
表示文件所属组。
第五部分 4096
第五部分 4096
表示文件大小,文件夹默认是 4096 ,和文件夹中内容多少无关。文件则显示的是文件的具体大小,单位是byte
。查看时可以使用-h
来方便查看文件大小(会转变为适合人阅读的形式 数字 + 单位)。
第六部分 12月 6 13:50
第六部分 12月 6 13:50
表示该文件最后修改时间。
第七部分 logs
第七部分 logs
表示该文件夹和文件的名称。
即
chmod 权限控制
基于chmod
的用户分组
通过上面的学习,我们知道基于chmod
的权限控制可以把用户分为 4 种人,即
u
------ 所有者
g
------ 所属组
o
------ 其他用户
a
------ 所有用户
用户管理
1.查看用户
语法 id 用户名
例如
id root
uid=0(root) gid=0(root) 组=0(root)
2.添加用户
语法 useradd 用户名
例如
useradd user1
# 使用以下命令可以查看该用户
id user1
多次添加同一个用户会给出用户已存在的提示信息。
3.删除用户
语法 userdel -r 用户名
例如
userdel -r user1
添加或删除用户会有以下几个文件受影响
/etc/passwd
存用户信息
/etc/group
存用户组信息
/etc/shadow
存用户密码信息 ,!!
表示用户没有密码
4.给用户设置或者更新密码
语法 passwd 用户名
例如
passwd user1
新增用户的时候,会在/home/
下创建一个和用户名同名的目录,也称为家目录,用户登录以后会默认进入到自己的家目录,同时也可以通过cd ~
快速切换到家目录,root
用户的家目录是 /root
而不是 /home/root
。
用户与组
1.把用户加入组
语法 gpasswd -a 用户名 目标用户组
例如,把 user1 用户加入到 root 组
gpasswd -a user1 root
通过执行id user1
发现用户 user1 的组信息变为了
组=1005(user1),0(root)
把一个用户加入到某个组之后,则该用户也就拥有了该组的权限。
用户与组之间是多对多的关系,即一个用户可以属于多个组,一个组也可以包含多个用户。当一个用户属于多个组时,则该用户拥有的权限是各个组的权限之和。
2.把组中用户删除
语法 gpasswd -d 用户名 目标用户组
把 user1 用户从 root 组删除
gpasswd -d user1 root
权限分配
1.基于用户分组的权限分配
基于chmod
的权限分配方式把用户分为了u
所有者、g
所属组、o
其他用户以及a
所有用户四个组,因此其权限分配也是针对这四个组的用户做权限分配。
基本语法 chmod 用户组(u、g、o、a) +\-(添加或者去除)权限(r、w、x) 需要授权的文件
,看起来有点复杂
# 给所有用户添加对test.sh文件的执行权限
chmod a+x test.sh
# 去除其他用户(除所有者、所属组用户)对文件 test.sh 写的权限
chmod o-x test.sh
# 给所属组用户增加读的权限,给其他用户去除读的权限
chmod g+r,o-r test.sh
相信经过上面的例子,大家对chmod
的权限分配方式都已经掌握了,记得要实际练习。
除了使用r w x
这种字母的方式来进行授权,还可以使用1-7
这 7 个数字组成 3 位数来表示 所有者、所属组、其他用户对指定文件的权限。
其中 r(读权限) 使用 4
表示,w(写权限) 使用 2
表示,x(执行权限) 使用 1
表示。因此通过数字这种方式就可以巧妙的表示读
、读写
、读执行
等权限。例如,我们要给所有用户设置对test.sh
拥有所有权限:
# 给所有用户设置对`test.sh`拥有所有权限
chmod 777 test.sh
# 设置所有者拥有所有权限,所属组拥有读权限,其他用户拥有执行+写的权限
chmod 743 test.sh
acl
权限控制
经过上面的学习,我们对linux
基于chmod
的权限分配方式已经熟悉了,而实际工作中使用chmod
这种权限分配方式也可以解决绝大多数问题了,但是同时我们也发现,chmod
这种权限分配方式也有它的缺陷,最突出的一点是它的权限没办法再细化了,例如我想给某个指定用户设置对某文件特有的权限。这时候就需要请出我们的acl
权限控制了,它可以做到精细化的权限控制。
acl
权限控制使用
基本语法
基本语法setfacl -m u:需要分配权限的用户:需要分配的权限(rwx) 目标文件
设置acl
权限
例如,我要设置 user1 对文件 test.txt 拥有读写的权限
setfacl -m u:user1:rw test.txt
看这条命令
setfacl -m u:user3:wx test.txt
我们设置 user3 对文件 test.txt 用有写和执行的权限,但是没有读的权限,看起来有点神奇,没有读的权限(无法打开)写的权限是不是也不生效?我们通过测试发现,文件确实没有读的权限,但是可以通过 可echo "test" >> test.txt
将"test"写入文件。
我们通过
setfacl -m u:user4:rwx test.txt
给 user4 设置对文件 test.txt 读写执行的权限,user4 可以查看、修改、执行该文件,但是用户不能删除该文件!这是为什么呢?这里所谓的读写执行权限只是对文件内容具有操作权限,对文件本身没有删除权限。
查看文件acl
权限
基本语法
语法 getfacl 目标文件
例如
getfacl logs/
j结果如下:
user::rwx
user:root:rw-
user:user1:rwx
group::r-x
mask::rwx
other::r-x
删除acl
权限
语法同设置acl
权限的方式类似
# 删除用户 user1 对 logs/ 的执行权限
setfacl u:user1:rw logs/
清空acl
权限
# 删除所有对test.txt设置的acl权限
setfacl -b test.txt
acl
权限最佳实践
- 创建、修改(文件名)、删除需要设置该目录的acl权限。
setfacl -m u:user1:rwx /mnt
执行结果是只对mnt有权限,对他的子目录没有权限。- 对目录设置执行权限是指进入目录的权限。
- 如果需要对文件夹及其及目录及文件设置acl权限,需要递归的方式进行设置,即
setfacl -m u:user1:rwx -R /mnt/
。 - 对目录递归设置了权限,但是对目录中后期添加的文件是没有权限的,这时的解决方式是,先设置权限
setfacl -m u:user1:rwx -R /mnt/
,然后再设置默认权限setfacl -m d:user4:rwx -R /mnt/
即可。
sudo
权限控制
sudo
授权主要用来控制某些用户在某台机器上拥有使用某些命令的权限。
管理员授权方式
执行 visudo
,设置用户对命令的执行权限,例如
user4 localhost=/uer/sbin/useradd,/usr/sbin/userdel
,被授权的用户在使用的时候需要在命令前添加 sudo
同时还需要密码认证。
当然也提供了无密码的sudo授权命令,例如
user5 localhost=NOPASSWD:/usr/bin/passwd
这时用户使用sudo 命令时,不再需要密码认证。
关于linux
的权限控制就说到这里了,要想真正掌握,还需要不断的练习
今天的内容就到这里了,各位晚安。
系列传送门如下:
Shell脚本基础从头开始(一)── 几个linux实操技巧
Shell脚本基础从头开始(二)── 输出重定向
Shell脚本基础从头开始(四)── 第一个shell脚本
Shell脚本基础从头开始(五)── shell的输入输出
Shell脚本基础从头开始(六) ── shell条件测试
Shell脚本基础从头开始(七)── shell的流程控制
Shell脚本基础从头开始(八)── shell的循环语句
Shell脚本基础从头开始(九)── shell的循环语句控制
Shell脚本基础从头开始(十)── shell的文本过滤
Shell脚本基础从头开始(十一)── shell的文本过滤(二)
Shell脚本基础从头开始(十二)── 制作一个字符菜单
Shell脚本基础从头开始(完结篇)── 利用shell编写监控脚本以及shell操作数据库