Linux权限及其理解

Linux权限的概念

与其它系统相比，Linux 系统的优点中最主要的一个便是 Linux 系统的安全漏洞和被攻击的隐患更少。Linux 无疑为用户提供了更灵活和精细化的文件系统安全权限控制。在 Linux 服务器中有严格的权限等级，若权限过高导致误操作会增加服务器的风险。所以了解 Linux 系统中的各种权限，以及如何给用户、服务等分配合理的权限是非常重要的！

在 Linux 系统下有两种用户：超级用户（root），普通用户。 超级用户（上帝视角）可以在 Linux 下执行任何操作，不会受到权限的限制。普通用户一般只能在自己的工作目录下操作，能在 Linux 系统中执行的操作是有限的。超级用户的命令提示符是"#“，普通用户的命令提示符是”$"。

❓如何实现用户账号之间的切换？

命令： su [用户名]
功能： 切换用户。root 用户切换到普通用户 user，使用 su user。从普通用户 user 切换到 root 用户，使用 su root(root可省略)，此时系统提示输入 root 用户的密码。

该指令也可以从一个普通的用户切换为另外一个普通用户，输入待切换的用户账号密码即可。
切换用户后，可以通过 exit 或者 logout 进行退出当前用户，也可以用 Ctrl+D 切回上一次的用户。

❓如何提升当前指令的权限

在一些情况下，想要提升普通用户的指令的权限并不需要都切换到 root 下。

例如：在当前云服务器下，以一名普通用户的身份去修改另外一个普通用户的密码。但是当你输入密码后系统提示你没有被添加到信任列表，因此无法执行该命令。

❓怎样将普通用户添加到信任列表

首先切换到超级用户 root ，因为 root 才有权限将普通用户添加到信任列表。然后在 root 下执行以下操作：

执行完上述操作之后，再用该用户执行 sudo 命令，该用户就拥有了执行该指令的权限了。

Linux权限管理

文件访问者的分类（人）

• 文件和文件目录的所有者：u（user），文件的拥有者。
• 文件和文件目录的所有者和所在的组的用户，g（group），文件的所属组。
• 其它用户：o（other），其他人。

输入 ll 指令可以查看文件的属性，可以看到文件的拥有者和所属组，除两者之外的都是 other。

文件类型和访问权限（事物属性）

文件由读、写、执行三个权限约束。超级用户 root 不受其中的权限约束，权限约束都是对于普通用户而言的。

如下图所示，文件的前10个字符代表着文件的类型和权限。

上图中的10个字符分别代表什么含义呢？我们用 myfile.txt 来分析一下：

不同的字符代表着不同的文件类型：

d ：文件夹
-：普通文件
l ：软链接（类似 Windows 的快捷方式）
b：块设备文件（例如光盘、光驱等）
p：管道文件
c：字符设备文件（屏幕等串口设备）
s：靠接口文件

注意：在 Linux 中，文件类型与文件后缀无关。第一个字符代表文件的类型，剩下的9个字符分为3组，分别代表文件相对于其拥有者、所属者、other 的权限。

其它内容所代表的含义如下所示：

基本权限：
r : read 对文件而言，具有读取文件内容的权限；而对目录来说，具有浏览该目录信息的权限。
w : wirte 对文件而言，具有修改文件内容的权限；而对目录而言，具有删除以及移动目录内文件的权限。
x : execute 对文件而言，具有执行文件的权限；而对目录而言，就有进入目录的权限。
- ：表示不具有该权限。

---

❓如何去描述一个文件的类型以及权限呢？以下面为例：

myfile.txt 文件是一个普通文件，该文件对拥有者和所属者都是可读可写的，而对该文件的 other 用户只有可读的权限。

---

文件权限值的表示方法

文件的权限值表示法有字符表示法和8进制数值表示法。

Linux字符表示法	二进制值	八进制值	说明
- - -	000	0	无权限
r - -	100	4	仅可读
- w -	010	2	仅可写
- - x	001	1	仅可执行
r w -	110	6	可读可写
r - x	101	5	可读可执行
- w x	011	3	可写可执行
r w x	111	7	可读可写可执行

文件访问权限的设置方法

更改文件权限的命令：chmod

语法格式：chmod 选项 权限 文件名
功能：设置文件的访问权限
常用选项：R -> 递归式的修改目录文件的权限
说明：只有文件的拥有者和 root 才能改变文件的权限

chmod 命令权限值得格式：

1️⃣用户表示符 +/-/= 权限字符
1.+ ：向权限范围增加权限代号所表示的权限
2. - ：向权限范围取消权限代号所表示的权限
3. =：向权限范围赋予权限代号所表示的所有权限

用户符号：

• u — 拥有者
• g — 所属者
• o — 其他用户（other）
• a — 所有用户

例如：将可执行程序 a.out 的拥有者的可执行权限减去，那么拥有者将没有可执行此程序的权限。

需要设置多个用户的权限时，可同时设置不同用户的权限，中间需要用逗号分开。

2️⃣三位8进制数

使用三位8进制数来表示文件的权限，将8进制数写成对应的二进制数，按照1对应有权限，0对应没有权限来对文件的权限进行相应的设置。

❓如何修改文件的拥有者和所属者？

chown
功能：修改文件的拥有者
语法：chowm 选项 用户名 文件名
常用选项： -R 递归修改目录文件的拥有者

修改文件的拥有者和所属者需要使用 root 来进行操作，普通用户修改需要提升权限，可以用 sudo 来进行提升权限。

chgrp
功能：修改文件或者目录的所属组
语法：chgrp 选项 所属组名 文件名
常用选项：-R 递归修改文件或者目录的所属者

权限掩码

当我们创建一个文件或者目录时，系统会根据其属性给出默认的权限。

为什么我们创建的目录或者文件权限会是这样的？实际上，新建文件的默认权限是 0666，新建目录的默认权限是 0777。第一位0代表特殊权限，后三位是权限的八进制数值表示方法。

但是我们会发现，我们新建的文件默认权限是664，新建的目录默认权限是775。是因为创建文件和目录时的默认权限还受 umask 的影响。假设默认权限是 mask，则实际创建出来得文件权限是：mask & ~umask。

umask
功能：查看或修改文件掩码。
语法：umask 权限值
说明：将现有的存取权限减去权限掩码之后，即可以产生建立文件时的预设权限。超级用户默认掩码值为0022，普通用户默认掩码值为0002。

可以通过输入 umask 命令来查看文件的默认掩码：

但是我们创建出的文件或目录的实际权限需要进行再次运算才能够得出来，先将权限掩码的后三位八进制写成对应的二进制数，并且按位取反，将新建文件的默认权限值和新建目录的默认权限值分别与其进行按位与操作，最终得到的二进制数所对应的权限就是我们创建出的文件或目录的权限。

假设默认权限是 mask，则实际创建出来得文件权限是：mask & ~umask。

上述也可以理解为在 umask 中出现的权限为，不能在最终的实际权限中出现。一些场景下，我们可以修改 umask 来设置文件或目录创建时的权限。

目录的权限

可读权限：若目录没有可读权限，则无法用 ls 等指令查看目录中的内容。
可写权限：若目录没有可写权限，则无法在目录中创建文件，也无法删除文件。
可执行权限：若目录没有可执行权限，则无法进入到目录中。

但是，问题出现了。即用户只要具有目录的写权限，用户就可以删除目录中的文件，而不论此用户是否具有这个文件的写权限，这显然是不科学的！

在 Linux 下存在一些目录，拥有者和所属组都是 root，允许其他人以 other 的身份在该目录下进行文件的创建、读取、删除、修改等操作。在一个共享目录下，不让别人读写你的文件，但是防不住别人删除你的文件。

为了解决这个问题，Linux 引入了粘滞位的概念。

粘滞位

粘滞位（Stickybit），或黏着位，是 Linux 文件系统权限的一个旗标。 最常见的用法是在目录上设置粘滞位，如此以来，只有目录内文件的所有者或者 root 才可以删除或移动该文件。若不为目录设置粘滞位，任何具有目录写和执行权限的用户都可以删除和移动其中的文件。在实际应用中，粘滞位通常用于 /tmp 目录，以防止普通用户删除或移动其它用户的文件。

功能： 给目录加上粘滞位。
语法： chmod +t 目录名

加上粘滞位之后，目录权限的最后一个字符变为 ‘t’ ，目录颜色也发生了改变。

当一个目录被设置为"粘滞位"（用 chmod +t），则该目录下的文件只能由：

1. 超级管理员 root 删除
2. 该目录的所有者删除
3. 该文件的所有者删除

注意：增加粘滞位用 chmod +t 文件名，去掉粘滞位用 chmod -t 文件名。

总结

• 目录的可执行权限是表示你是否可以在目录下执行命令。
• 若目录没有 -x 权限，则无法对目录执行任何命令，甚至无法 cd 进入目录，即使目录有 -r 权限。
• 如果目录具有 -x 权限，但是没有 -r 权限，则用户可以执行命令，可以 cd 进入目录。但是没有目录的读权限，所以在目录下，即使可以执行 ls 指令，但是仍热没有权限读取目录下的文档。