Linux的权限管理操作
Linux的权限操作与用户、用户组是兄弟操作。
总述:Linux系统一般将文件可存/取访问的身份分为3个类别:owner、group、others,且 3种身份各有read、write、execute等权限。
一、权限概述
1、权限介绍
什么是权限?
在多用户(可以不同时)计算机系统的管理中,权限是指某个特定的用户具有特定的系统资 源使用权力,像是文件夹、特定系统指令的使用或存储量的限制。
读权限:
- 对于文件夹来说,读权限影响用户是否能够列出目录结构
- 对于文件来说,读权限影响用户是否可以查看文件内容
写权限:
- 对文件夹来说,写权限影响用户是否可以在文件夹下“创建/删除/复制到/移动到”文 档
- 对于文件来说,写权限影响用户是否可以编辑文件内容
执行权限:
- 一般都是对于文件来说,特别脚本文件。
2、身份介绍
Owner身份(文件所有者,默认为文档的创建者)
由于Linux是多用户、多任务的操作系统,因此可能常常有多人同时在某台主机上工作, 但每个人均可在主机上设置文件的权限,让其成为个人的“私密文件”,即个人所有者。因 为设置了适当的文件权限,除本人(文件所有者)之外的用户无法查看文件内容。
例如某个MM给你发了一封Email情书,你将情书转为文件之后存档在自己的主文件夹 中。为了不让别人看到情书的内容,你就能利用所有者的身份去设置文件的适当权限,这样,即使你的情敌想偷看你的情书内容也是做不到的。
Group身份(与文件所有者同组的用户)
与文件所有者同组最有用的功能就体现在多个团队在同一台主机上开发资源的时候。 例如主机上有A、B两个团体,A中有a1,a2,a3三个成员,B中有b1,b2两个成员,这两个团 体要共同完成一份报告F。由于设置了适当的权限,A、B团体中的成员都能互相修改对方 的数据,但是团体C的成员则不能修改F的内容,甚至连查看的权限都没有。同时,团体的 成员也能设置自己的私密文件,让团队的其它成员也读取不了文件数据。在Linux中,每个 账户支持多个用户组。如用户al、b1即可属于A用户组,也能属于B用户组【主组和附加 组】。
Others身份(其他人,相对于所有者)
这个是个相对概念。打个比方,大明、二明、小明一家三兄弟住在一间房,房产证上的 登记者是大明(owner所有者),那么,大明一家就是一个用户组,这个组有大明、二明、 小明三个成员;另外有个人叫张三,和他们三没有关系,那么这个张三就是其他人了。 同时,大明、二明、小明有各自的房间,三者虽然能自由进出各自的房间,但是小明不 能让大明看到自己的情书、日记等,这就是文件所有者(用户)的意义。
Root 用户(超级用户)
在Linux中,还有一个神一样存在的用户,这就是root用户,因为在所有用户中它拥有最大 的权限,所以管理着普通用户。
3、LInux的权限介绍
要设置权限,就需要知道文件的一些基本属性和权限的分配规则。在Linux中,Is命令常用 来查看文件的属性,用于显示文件的文件名和相关属性。
#ls-l路径
【ls-l等价于ll】
![image-20200213101311825](Linux04权限管理.assets/image-20200213101311825.png)
标红的部分就是Linux的文档权限属性信息。
Linux中存在用户、用户组和其他人概念,各自有不同的权限,对于一个文档来说,其权限 具体分配如下:
![image-20200213101426163](Linux04权限管理.assets/image-20200213101426163.png)
十位字符表示含义:
- **第1位:表示文档类型,**取值常见的有“d 表示文件夹”、“- 表示文件”、“l 表示软连接”、“s 表示套接字”等等;
- 第2-4位:表示文档所有者的权限情况,
- 第2位表示读权限的情况,取值有r、-;
- 第3位 表示写权限的情况,w表示可写,-表示不可写,
- 第4位表示执行权限的情况,取值有x、-。
- 第5-7位:表示与所有者同在一个组的用户的权限情况,
- 第5位表示读权限的情况,取值 有r、-;
- 第6位表示写权限的情况,w表示可写,-表示不可写,
- 第7位表示执行权限的情 况,取值有X、-。
- 第8-10位:表示除了上面的前2部分的用户之外的其他用户的权限情况,
- 第8位表示读权 限的情况,取值有r、-;
- 第9位表示写权限的情况,w表示可写,-表示不可写,
- 第10位 表示执行权限的情况,取值有x、-。
权限分配中,均是rwx的三个参数组合,且位置顺序不会变化。没有对应权限就用 “-” 代替。
二、权限设置
语法:
#chmod 选项 权限模式 文档
注意事项:
常用选项:
- -R:递归设置权限(当文档类型为文件夹的时候)
权限模式:就是该文档需要设置的权限信息
文档:可以是文件,也可以是文件夹,可以是相对路径也可以是绝对路径。
注意点:如果想要给文档设置权限,操作者要么是root用户,要么就是文档的所有者。
1、字母形式
![image-20200213102636626](Linux04权限管理.assets/image-20200213102636626.png)
给谁设置:
-
u:表示所有者身份owner(user)
-
g:表示给所有者同组用户设置(group)
-
o:表示others,给其他用户设置权限
-
a:表示all,给所有人(包含ugo部分)设置权限
如果在设置权限的时候不指定给谁设置,则默认给所有用户设置
权限字符:
- r:读
- w:写
- x:表示执行
权限分配方式:
- +:表示给具体的用户新增权限(相对当前)
- -:表示删除用户的权限(相对当前)
- =:表示将权限设置成具体的值(注重结果)
例如:需要给 anaconda-ks.cfg文件(-rw-----.)设置权限,要求所有者拥有全部的权限, 同组用户拥有读和执行权限,其他用户只读权限。
答案:
#chmod u+x,g+rx,o+r anaconda-ks.cfg
#chmod u=rwx,g=rx,o=r anaconda-ks.cfg
例如:如果anaconda-ks.cfg文件什么权限都没有,可以使用root用户设置所有人都有执行 权限,则可以写成
#chmod +x anaconda-ks.cfg
#chmod a=x anaconda-ks.cfg
#chmod atx anaconda-ks.cfg
提示:当文档拥有执行权限,则其颜色则终端是绿色。
2、数字形式
经常会在一些技术性的网页上看到类似于#chmod 777a.txt
这样的一个权限,这种形式 称之为数字形式权限(777)。
读:r 4
写:w 2
执行:x 1
没有任何权限:0
![image-20200213103916004](Linux04权限管理.assets/image-20200213103916004.png)
例如:需要给anaconda-ks.cg设置权限,权限要求所有者拥有全部权限,同组用户拥有读执行权限,其他用户只读。
全部权限(u):读+写+执行=4+2+1=7
读和执行(g):读+执行=4+1=5
读权限(o):读=4
由上得知权限为:754
#chmod 754 anaconda-ks.cfg
面试题:用超级管理员设置文档的权限命令是
#chmod -R 731 aaa
请问这个命令有没有什么 不合理的地方?
拥有者:7=4+2+1=读+写+执行
同组用户:3-2+1=写+执行1
其他用户:1=1=执行注意:在写权限的时候千万不要设置类似于上面的这种“奇葩权限”。如果一个权限数字中 但凡出现2与3的数字,则该权限有不合理的情况。
在Linux中,如果要删除一个文件,不是看文件有没有对应的权限,而是看文件所在的目录 是否有写权限,如果有才可以删除。
三、属主与属组设置
属主:所属的用户(文件的主人)
属组:所属的用户组
![image-20200213105720933](Linux04权限管理.assets/image-20200213105720933.png)
前面的那个root就是属主
后面的那个root就是属组
这两项信息在文档创建的时候会使用创建者的信息(用户名、用户所属的主组名称)。
如果有时候去删除某个用户,则该用户对应的文档的属主和属组信息就需要去修改。
1、chown (重点)
作用:更改文档的所属用户
语法:
#chown -R username 文档路径
案例:将刚才root用户创建的oo目录,所有者更改为test
#chown test oo/
2、chgrp
作用:更改文档的所属用户组
语法:
#chgrp -R groupname 文档的路径
案例:将刚才root用户创建的oo目录,所有者更改为test,并且将所属用户组也改为test
#chgrp test oo/
思考,如何通过一个命令实现既可以更改所属的用户,也可以修改所属的用户组呢?
答:可以实现的,通过chown命令
语法:#chown -R username:groupname 文档路径
四、扩展(1)
问题:reboot、shutdown、init、halt、user管理,在普通用户身份上都是操作不了,但是有 些特殊的情况下又需要有执行权限。又不可能让root用户把自己的密码告诉普通用户,这 个问题该怎么解决?
该问题是可以被解决的,可以使用sudo(switch user do)命令来进行权限设置。Sudo可以 让管理员(root)事先定义某些特殊命令谁可以执行。
默认sudo中是没有除root之外用户的规则,要想使用则先配置sudo。
Sudo 配置文件:/etc/sudoers
-
a.配置sudo文件请使用“
#visudo
”,打开之后其使用方法和vim一致 -
b.配置普通用户的权限
![image-20200213111341251](Linux04权限管理.assets/image-20200213111341251.png)
-
- Root 表示用户名 ,如果是用户组,则可以写成“%组名”
- ALL:表示允许登录的主机(地址白名单)
- (ALL):表示以谁的身份执行,ALL表示root身份
- ALL:表示当前用户可以执行的命令,多个命令可以使用“,”分割
案例:本身test用户不能添加用户,要求使用sudo配置,将其设置为可以添加用户,并且 可以修改密码(但是不能修改root 用户密码)。
注意:在写sudo规则的时候不建议写直接形式的命令,而是写命令的完整路径。 路径可以使用which命令来查看
语法:
#which 指令名称
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-kDzMCONb-1581832989533)(Linux04权限管理.assets/image-20200213113039923.png)]
在添加好对应的规则之后就可以切换用户,切换到普通用户test,再去执行:
此时要想使用刚才的规则,则以以下命令进行
#ssudo 需要执行的指令
在输入sudo指令之后需要输入当前的用户密码进行确认的操作(不是root用户密码),输 入之后在接下来5分钟内再次执行sudo指令不需要密码。
特别注意:此处按照案例要求,不能让test用户修改root 密码,因此规则还需要调整,不 然其可以修改root密码的:
禁止修改root 密码的配置:
/usr/bin/passwd [A-Za-z]*,!/usr/bin/passwd root
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-MN3YWnLM-1581832989541)(Linux04权限管理.assets/image-20200213113438730.png)]
补充:在普通用户下怎么查看自己具有哪些特殊权限呢?
#sudo -l
最后:sudo不是任何Linux分支都有的命令,常见centos与ubuntu都存在sudo命令。