目录
linux权限操作与用户与用户组是兄弟操作
一、权限概述
总述:linux系统一般将文件可存/取访问的身份分为3个类别:owner、group、others,且3种身份各有read、write、execute等权限。
1、权限介绍
什么是权限?
在多用户(可以不同时)计算机系统的管理中,权限是指某个特点的用户具有特定的系统资源使用权力,像是文件夹、特定系统指令的使用或存储量的限制。
在linux中分别有读、写、执行权限:
①读权限
对于文件夹来说,读权限影响用户是否能够列出目录结构
对于文件来说,读权限影响用户是否能够查看文件内容
②写权限
对文件夹来说,写权限影响用户是否可以在文件夹下“创建/删除/复制到/移动到”文档
对文件来说,写权限影响用户是否可以编辑文件
③执行权限
一般都是对于文件来说,特别是脚本文件。
2、身份介绍
①owner身份(文件所有者,默认为文件的创建者)
由于linux是多用户、多任务的操作系统,因此可能常常有多人同时在某台主机上工作,但每个人均可在主机上设置文件的权限,让其成为个人的“私密文件”,即个人所有者,因为设置了适当的文件权限,除本人(文件所有者)之外的用户无法查看文件内容。
例如某个MM给你发了一封Email情书,你将情书转为文件之后存档在自己的主文件夹中,为了不让别人看到情书的内容,你就能利用所有者的身份去设置文件的适当权限,这样,即使你的情敌想偷看你的情书内容也是做不到的。
②group身份(与文件所有者同组的用户)
与文件所有者同组最有用的功能就体现在多个团队在同一台主机上开发资源的时候,例如主机上有A、B两个团体,A中有a1、a2、a3三个成员,B中有b1、b2两个成员,这两个团体要共同完成一份报告F。由于设置了适当的权限,A、B团队中的成员都能互相修改对方的数据,但是团体C的成员则不能修改F的内容,甚至连查看的权限都没有。同时,团体的成员也能设置自己的私密文件,让团队的其他成员也读取不了文件数据,在linux中,每个账户支持多个用户组。如用户a1、b1既可以属于A用户组,也能属于B用户组。【主组和附加组】
③others身份(其他人,相对于所有者)
简单来说就是除了owner和owner所属group的成员之外的人(与owner没有关系的用户)
这是一个相对概念,打个比方:大明、二明、小明一家三兄弟住在一间房,房产证上的登记者是大明(owner),那么大明一家就是一个用户组(group),这个组有大明、二明、小明三个成员;有个外人叫张三,和他们没有关系,张三就是其他人(others)。
同时,大明、二明、小明有各自的房间,三人虽然能随意进出各自的房间,但是小明不能让大明看到自己的情书、日记等,这就是文件所有者(用户)的意义。
④root用户(超级用户)
在linux中,还有一个神一样存在的用户,这就是root用户,因为在所有用户中它拥有最大的权限,所以管理着普通用户。
3、linux权限的介绍
要设置权限,就需要知道文件的一些基本属性和权限的分配规则。在linux中,ls命令常用来查看文件的属性,用于显示文件的文件名和相关属性。
#ls -l 路径 【ls -l 等价于 ll】
标红的部分就是linux文档的权限属性信息。
linux中存在用户、用户组和其他人的概念,各自有不同的权限,对于一个文档来说,其权限具体分配如下:
十位字符的表示含义:
第1位:表示文档类型,取值常见的:“-”表示文件,“d”表示文件夹,“l”表示软连接link,“s”表示套接字等等;
第2-4位:表示 文档所有者 的权限情况,第2位表示读权限的情况,取值有“r”、“-”;第3位表示写权限,“w”表示可写、“-”表示不可写,第4位表示执行权限的情况,取值有“x”、“-”。
第5-7位:表示 与所有者同在一个组的用户 的权限的情况,同上。
第8-10位:表示除了上面的前2部分的用户之外的 其他用户 的权限情况,同上。
权限分配中,均是rwx的三个参数组合,且位置顺序不会变化。没有对应权限就用“-”代替
例如对于install.log
a、其是文件类型;
b、所有者:可读可写,不可执行;
c、同组用户:可读,不可写不可执行;
d、其他用户:可读、不可写不可执行。
二、权限设置
语法:#chmod 选项 权限模式 文档
注意事项:
常用选项:
-R:递归设置权限(当文档类型为文件夹的时候)
权限模式:就是该文档需要设置的权限信息
文档:可以是文件,也可以是文件夹,可以是相对路径,也可以是绝对路径
注意点:如果想要给文档设置权限,操作者要么是root用户,要么就是文档的所有者。
1、字母形式
给谁设置:
u:表示所有者身份owner(user)
g:表示给所有者同组用户设置(group)
o:表示others,给其他用户设置权限
a:表示all,给所有人(包含ugo部分)设置权限
如果在设置权限的时候不指定给谁设置,则默认给所有用户设置
权限字符:
r:读
w:写
x:表示执行
权限分配方式:
+:表示给具体的用户新增权限(相对于当前权限)
-:表示删除用户的权限(相对于当前权限)
=:表示将权限设置成具体的值(注重结果)
例如,需要给anaconda-ks.cfg文件(-rw------)设置权限,要求所有者拥有全部权限,同组用户拥有读和执行权限,其他用户只读权限。
①#chmod u+x,g+rx,o+r anaconda-ks.cfg(利用+)
②#chmod u=rwx,g=rx,o=r anaconda-ks.cfg(利用=)
提示:当文档具有执行权限时就显示为绿色。
例如,如果anaconda-ks.cfg文件什么权限都没有,可以使用root用户设置所有人都有执行权限,则可以写成
①#chmod a=x anaconda-ks.cfg
②#chmod +x anaconda-ks.cfg
③#chmod a+x anaconda-ka.cfg
2、数字形式
经常会在一些技术性的网页上看到类似于#chmod 777 xx.txt 这样的一个权限,这种形式称之为数字形式权限(777)类似于二进制的形式“-”对应0,各位上的“r”或“w”或“x”对应1,3位数字对应3种身份。
例如:需要给anaconda-ks.cfg设置权限,权限要求所有者拥有全部的权限,同组用户拥有读和执行权限,其他用户只读
#chmod 754 anaconda-ks.cfg
面试题:用超级管理员设置文档的权限是#chmod -r 731 aaa,请问这个命令有没有什么不合理的地方?
给同组用户设置的权限不合理,3表示不可读,可写可执行,但是不可读都打不开文件,就无法执行写操作,所以设置不合理。
注意:在写权限的时候千万不要设置类似于上面的这种”奇葩权限“。
3、注意事项
使用root用户创建一个文件夹(/oo),权限默认,权限如下:
需要在oo目录下创建文件(oo/xx.txt),需要给777权限
切换到test用户(不是文档所有者,也不是同组用户,属于other部分)
问题1:test用户是否能打开oo/xx.txt文件?【能打开】
问题2:test用户是否可以编辑oo/xx.txt文件?【可以】
问题3:test用户是否可以删除oo/xx.txt文件?【不可以,同样还不允许创建文件/文件夹、移动文件、重命名文件】
linux种,如果要删除一个文件,不是看文件有没有对应的权限,而是看文件所在的目录是否有写权限,如果有才可以删除
三、属主与属组设置
属主:所属的用户(文件的主人)
属组:所属的用户组
前面那个root就是属主
后面那个root就是属组
这两项信息在文档创建的时候默认使用创建者信息(用户名,用户所属的主组名称)。
如果有时候需要去删除某个用户,则该用户对应的文档的属主和属组信息就需要去修改。
1、chown(重点)
作用:更改文档的所属用户
语法:#chown (-R) username 文档路径
案例:将刚才root用户创建的oo文件夹更改所属用户为test
#chown test /oo
2、chgrp (了解)
作用:更改文档的所属用户组。
语法:#chgrp (-R) groupname 文档路径
案例:将刚才root用户创建的oo文件夹更改所属用户为test,并且将所属用户组更改为test
#chgrp test /oo
思考:如何通过一个命令实现既可以更改所属的用户,也可以修改所属的用户组呢?
可以实现,通过chown命令
语法:#chown(-R) username:groupname 文档路径
通过上述命令将/oo所属的用户和用户组更改回root,并且包含其子目录
#chown -R root:root /oo
四、扩展
问题:reboot、shutdown、init、halt、user管理等等,在普通用户身份上都是操作不了的,但是有些特殊的情况下又需要有执行权限。又不可能让root用户将密码告诉普通用户,这个问题该怎么解决?
该问题是可以被解决的,可以使用sudo(switch user do)命令来进行权限设置。sudo可以让管理员(root)事先定义某一些特殊命令谁可以执行。
默认sudu中是没有除了root之外用户的规则,要想使用则先配置sudu。
sudo配置文件:/etc/sudoers
①配置sudo文件请使用“#visudo”,打开之后其使用方法和vim一致
②配置普通用户的权限
root:表示用户名,如果是用户组可以写成“%组名”
ALL:表示允许登录的主机(地址白名单)
(ALL):表示以谁的身份去执行,ALL表示root身份
ALL:表示当前用户,可以执行的命令,多个命令可以使用“,”分割
案例:本身test用户不能添加用户,要求使用sudo配置,将其设置为可以添加用户,并且可以修改密码(但是不能修改root用户)
注意:在写sudo规则的时候不建议写直接形式的命令,而是写命令的完整路径。
路径可以用which命令来查看
语法:#which 指令名称
在添加好对应的规则之后就可以切换用户,切换到普通用户test,再去执行
此时要想使用刚才的规则,则以以下命令进行:
#sudo 需要执行的指令
在输入sudo指令之后一般需要输入当前用户的密码(不是root用户密码)进行确认操作(如果输入过,后续同样操作五分钟之内都不用再次输入密码)。
但是案例要求还没有完成,此时test用户能够通过sudo更改root用户的密码,这是非常危险的,需要进一步操作。
解释:
!/usr/bin/passwd 先拒绝修改所有用户的密码
/usr/bin/passwd [A-Za-z]* 允许修改任意大小写字母用户密码
!/usr/bin/passwd root 拒绝修改root用户密码
补充:在普通用户下怎么查看自己具有那些特殊权限呢?
#sudo -l
最后:sudo不是任何linux分支都有的命令,常见centos与ubuntu都存在sudo命令。