Linux权限（重点）

什么是权限？

在多用户（可以不同时）计算机系统的管理中，权限是指某个特定的用户具有特定的系      统资源使用权力，像是文件夹、特定系统指令的使用或存储量的限制。

Linux系统一般将文件可存/取访问的身份分为3个类别：owner（拥有者）、group（和所有者同组的用户）、others（其他人，除了所有者，除了同组的用户以及除了超级管理员），且3种身份各有read（读）、write（写）、execute（执行）等权限

在Linux系统的分别有读，写，执行权限：

读权限：

　   对于目录来说，读权限影响用户是否能够列出目录结构

　 对于文件来说，读权限影响用户是否可以查看文件内容

写权限：

      对目录来说，写权限影响用户是否可以在文件夹下“创建/删除/复制到/移动到”文档

　   对于文件来说，写权限影响用户是否可以编辑文件内容

执行权限：

       对于目录来说：执行权限影响用户是否可以执行cd操作

　   对于文件来说，特别脚本文件。执行权限影响文件是否可以运行。

 

在Linux中，还有一个神一样存在的用户，这就是root用户，因为在所有用户中它拥有最大的权限 ，所以管理着普通用户。

 root用户可以无视读写权限，root用户无执行权限也是无法执行，但自身可以加上权限

 

Linux权限例如：

-rwx rwx rwx   文件的权限   r 代表读  w代表写  x 代表执行

 

drwx rwx rwx   目录的权限   r代表读   w代表写   x代表执行

标红的部分就是Linux的文档权限属性信息。

Linux中存在用户（owner）、用户组（group）和其他人（others）概念，各自有不同的权限，

权限分配中,均是rwx的三个参数组合，且位置顺序不会变化。没有对应权限就用 – 代替。

权限的设置：

语法：#chmod 选项 权限模式 文档

注意事项：

常用选项：

-R：递归设置权限 （当文档类型为文件夹的时候）

权限模式：就是该文档需要设置的权限信息

文档：可以是文件，也可以是文件夹，可以是相对路径也可以是绝对路径。

注意点：如果想要给文档设置权限，操作者要么是root用户，要么就是文档的所有者。

字母的形式：

给谁设置：

u：表示所有者身份owner（user）

g：表示给所有者同组用户设置（group）

o：表示others，给其他用户设置权限

a：表示all，给所有人（包含ugo部分）设置权限

如果在设置权限的时候不指定给谁设置，则默认给所有用户设置

 

权限的字符： 

r：读

w：写

x：表示执行

-：表示没有权限

 

权限分配方式：

+：表示给具体的用户新增权限（相对当前）

-：表示删除用户的权限（相对当前）

=：表示将权限设置成具体的值（注重结果）【赋值】

例如：需要给/root/anaconda-ks.cfg文件（-rw-------.）设置权限，要求所有者拥有全部的权限，同组用户拥有读和写权限，其他用户只读权限。

答案：

所有者：全部权限（rwx）

同组用户：读写（rw）

其他：只读（r）

[root@ken ~]# chmod u+x,g+rw,o+r anaconda-ks.cfg

数字形式：

经常会在一些技术性的网页上看到类似于#chmod  777  a.txt  这样的一个权限，这种形式称之为数字形式权限（777）。

读：r        4

写：w       2

执行：x    1

没有任何权限：0   对应---

例如：需要给anaconda-ks.cfg设置权限，权限要求所有者拥有全部权限，同组用户拥有读执行权限，其他用户只读。

所有者权限 = 全部权限 = 读 + 写 +执行 = 4 + 2 + 1 = 7

同组用户权限 = 读权限 + 执行权限 = 4 + 1 = 5

其他用户权限 = 读权限 = 4

最终得出的结果是754

[root@ken ~ ]# chmod 754 anaconda-ks.cfg

属主和属组设置：

属主：所属的用户（文件的主人），文档所有者

属组：所属的用户组

前面的那个root就是属主

后面的那个root就是属组

这两项信息在文档创建的时候会使用创建者的信息（用户名放在前面的root、用户所属的  主组名称放在后面的root）。

 

之所以需要设置这个：如果有时候去删除某个用户，则该用户对应的文档的属主和属组信息就需要去修改（类似离职之前的工作交接）。

chown用法：

作用：更改文档的所属用户（change owner）

语法：#chown  -R  新的username 文档路径

 

-R：表示选项  文件不需要-R

目录需要加-R

如果你要对目录进行操作，加参数  -R

案例：

chown user:group filename   比如：chown hr:san a.txt  把文件的属主和属组改为hr,san

chown user filename  比如：chown san a.txt  把文件的属主改为san用户

chown :group filename  比如： chown :miao a.txt   把文件的属组改为miao这个组

chown user: filename 比如：chown san: a.txt  自动继承这个用户所有的组

chgrp hr filename 比如： chgrp hr f.txt  

-R ：递归（目录下的所有内容都更改，否则只修改目录）

 

文件的特殊权限：suid sgid 和文件扩展权限ACL

特殊权限：suid sgid

 

1、SUID（set uid设置用户ID）：限定：只能设置在二进制可执行程序上面。对目录设置无效

功能：程序运行时的权限从执行者变更成程序所有者的权限

2、SGID：限定：既可以给二进制可执行程序设置，也可以对目录设置

功能：在设置了SGID权限的目录下建立文件时，新创建的文件的所属组会，继承上级目录的所属组

 

SUID: u+s 或 u=4

SGID: g+s 或 g=2

SUID用法：

例如：普通用户不能查看etc/shadow

[root@ken ~]# su - ken Last login: Wed Feb 27 22:26:26 CST 2019 on pts/0

 [ken@ken ~]$ cat /etc/shadow

 cat: /etc/shadow: Permission denied

现在赋予文件passwd特殊权限SUID

[root@ken ~]# chmod u+s `which cat`

[root@ken ~]# ls -l `which cat`

-rwsr-xr-x. 1 root root 27832 Jun 10  2014 /usr/bin/cat

再次切换普通用户执行cat,可以发现可以查看该文件了

 

SGID用法：

限定：既可以给二进制可执行程序设置，也可以给目录设置。

功能：在设置了SGID权限的目录下建立文件时，新创建的文件的所属组会继承上级目录的权限。

[root@ken ~]# mkdir test1

[root@ken ~]# ls -ld test1

drwxr-xr-x 2 root root 6 Feb 27 22:38 test1

[root@ken ~]# chmod g+s test1

[root@ken ~]# chown :ken test1

[root@ken ~]# touch test1/test.txt

[root@ken ~]# ls -ls test1/test.txt 0

-rw-r--r-- 1 root ken 0 Feb 27 22:40 test1/test.txt

SBIT用法：

对于设置sbit权限的文件，用户只能删除自己创建的文件，无法删除其他用户的文件

对目录/tmp添加sbit权限，删除文件的时候显示拒绝操作

[root@ken ~]# chmod o+t /tmp

[root@ken ~]# useradd t1

[root@ken ~]# useradd t2

[root@ken ~]# su - t1

Last login: Thu Mar 14 14:04:37 CST 2019 on pts/1

[t1@ken ~]$ touch /tmp/t1

[t1@ken ~]$ exit

logout

[root@ken ~]# su - t2

Last login: Thu Mar 14 14:03:59 CST 2019 on pts/1

[t2@ken ~]$ touch /tmp/t2

[t2@ken ~]$ rm -rf /tmp/t1

rm: cannot remove ‘/tmp/t1’: Operation not permitted

去掉SBIT权限，再次删除即可

[root@ken ~]# chmod o-t /tmp

[root@ken ~]# su - t2 Last

login: Fri Mar 15 12:49:54 CST 2019 on pts/4

[t2@ken ~]$ rm -rf /tmp/t1

 

文件扩展权限ACL：

扩展ACL  ：access control list

例：设置用户ken对文件a.txt拥有的rwx权限 ，ken不属于a.txt的所属主和组，ken是other。怎么做？

[root@ken ~]# setfacl -m u:ken:rwx a.txt

-m表示设置的意思

查看扩展权限getfacl：

[root@ken ~]# getfacl a.txt

# file: a.txt

# owner: root

# group: root

user::rw-

user:ken:rwx

group::r--

mask::rwx

other::r--

去除权限：

[root@ken ~]#  setfacl -R -m u:ken:rw- testdirectory/

[root@ken ~]#  setfacl -x u:ken /tmp/a.txt

[root@ken ~]#  setfacl -b  /tmp/a.txt

 

 

 

转载于:https://www.cnblogs.com/zp-1996/p/10849112.html