Linux权限的概念
在多用户计算机系统的管理中,权限(privilege)是指某个特定的用户具有特定的系统资源使用权力,像是文件夹,特定系统指令的使用或存储量的限制。
在Linux
下有两种用户:超级用户(root)、普通用户。
超级用户(root):可以再linux系统下做任何事情,不受限制
普通用户:在linux下做有限的事情。
超级用户的命令提示符是 “#” ,普通用户的命令提示符是 “$” 。
命令:su [用户名]
功能:切换用户。
例如,要从root用户切换到普通用户user,则使用 su user,不需要输入密码; 如果普通用户user切换到root用户,则使用 su root(root可以省略),此时系统会提示输入root用户的password。
sudo指令
提权:不切换用户,让普通用户以root的身份执行对应的指令。
优势:给受信任的用户,提供最少的执行障碍。
sudo [command] 短暂的提权 ->root执行命令
可以看到我们输入自己用户的密码之后并不能执行,而出现xxx is not in the sudoers file. This incident will be reported.
说明系统不信任我们当前用户(类似于黑名单的说法),需要将当前用户添加到系统的配置文件中/etc/sudoers
中
Linux权限管理
1.文件访问者分类
文件和文件目录的拥有者:user
所属组:group ;
其它用户:others
通俗一点来说,权限:就是一件事情是否允许被谁做;
谁指的就是人,而做指的是目标对象。
文件权限 = 人 + 文件属性
2.文件类型和访问权限
①文件类型
Linux和Windows下文件的后缀(拓展名)有很大的差别,比方说在Windows下,文本文件:.doc .pdf .txt等; 图片文件: .jpg .png .gif等等;我们通过不同的后缀来区分不同类型的文件。在Linux下,文件的类型与文件的后缀无关,与文件最前面的字母有关,这并不是说我们不可以使用后缀区分文件类型,但仅仅是给用户自己做提示来使用,后缀本质其实就是文件名。(gcc等工具,对文件后缀可能有要求)
d:目录文件
-:普通文件(源代码,库文件,可执行程序,文档压缩包等)
l:软链接(类似Windows的快捷方式)
b:块设备文件(例如硬盘、光驱等)
p:管道文件
c:字符设备文件(例如显示器,键盘等串口设备)
s:socket文件
②基本权限
1.读(r/4):Read对文件而言,具有读取文件内容的权限;对目录来说,具有浏览该目录信息的权限
2.写(w/2):Write对文件而言,具有修改文件内容的权限;对目录来说具有删除移动目录内文件的权限
3.执行(x/1):execute对文件而言,具有执行文件的权限;对目录来说,具有进入目录的权限
4. “-” 表示不具有该项权限
③文件权限值的表示方法
- 字符表示法
Linux表示 | 说明 | Linux表示 | 说明 |
---|---|---|---|
r– | 只读 | -w- | 仅可写 |
–x | 仅可执行 | rw- | 可读可写 |
-wx | 可写可执行 | r-x | 可读可执行 |
rwx | 可读可写可执行 | - - - | 无权限 |
- 八进制数值表示法
权限符号 | 八进制 | 二进制 |
---|---|---|
r | 4 | 100 |
w | 2 | 010 |
x | 1 | 001 |
rw | 6 | 110 |
rx | 5 | 101 |
wx | 3 | 011 |
rwx | 7 | 111 |
- - - | 0 | 000 |
3.如何操作权限?
①chmod指令
功能:设置文件的访问权限
语法:chmod [参数] 权限 文件名
说明:只有文件的拥有者和root才可以改变文件的权限。
1.用户表示符+ - 权限字符
+:向权限范围增加权限代号所表示的权限
-:向权限范围取消权限代号所表示的权限
用户符号:
u:拥有者
g:所属组
o:其他用户
a:所有用户
当我们给文件拥有者去掉读和写权限后,会出现 Permission denied ,拥有者不再有对文件的读写权限。但是root仍然可以对文件进行权限的修改和文件的文件的读写。
2.三位八进制数
② chown指令
功能:修改文件的拥有者
语法:chown [参数] 用户名 文件名
想把一个文件给别人需要征得别人的同意吗?当我们想要把lesson目录的拥有者更改为用户zxw,但是发现并不可以,此时需要用 sudo 提权或者root用户来操作。
③ chgrp指令
功能:修改文件或目录的所属组
格式:chgrp [参数] 用户组名 文件名
常用选项:
-R 递归修改文件或目录的所属组
chown [用户名]:[用户名] 文件名 可同时修改拥有者和所属组
④ umask
功能: 查看或修改文件掩码
格式: umask 权限值
为什么我们创建的目录或者普通文件,默认权限是我们所看到的样子?
Linux规定
目录 默认起始权限为777
普通文件 默认起始权限为666
实际我们所看到的目录为775;普通文件为664,这是由于权限掩码的影响。
在Linux下 系统默认配置umask权限掩码,凡是在umask中出现的权限,都必须在起始权限中去掉!
注意去掉并不是做减法!!!
最终权限 = 起始权限 & (~umask)
目录的权限
如果我们要进入目录需要什么权限?
1.可执行权限: 如果目录没有可执行权限, 则无法cd到目录中;
2.可读权限: 如果目录没有可读权限, 则无法用ls等命令查看目录中的文件内容;
3.可写权限: 如果目录没有可写权限, 则无法在目录中创建文件, 也无法在目录中删除文件。
那么就会有一个问题!
只要用户具有目录的写权限(w
),用户就可以删除目录中的文件,通俗来说,凭什么我创建的文件,别人可以删除掉?我们看下面这个例子:
为了解决这个不科学的问题,Linux引入粘滞位的概念
粘滞位
dir目录设置粘滞位后:
当一个目录被设置为"粘滞位"(用chmod +t),则该目录下的文件只能由
1.超级管理员删除
2.该目录的所有者删除
3.该文件的所有者删除
权限总结
- 目录的可执行权限是表示你可否在目录下执行命令。
- 如果目录没有x权限,则无法对目录执行任何命令,甚至无法cd 进入目录, 即使目录仍然有r读权限(这个地方很容易犯错,认为有读权限就可以进入目录读取目录下的文件)
- 而如果目录具有x权限,但没有r权限,则用户可以执行命令,可以cd进入目录。但由于没有目录的读权限
- 所以在目录下,即使可以执行ls命令,但仍然没有权限读出目录下的文档。