🎉🎉🎉欢迎来到我们的博客!无论您是第一次访问,还是我们的老朋友,我们都由衷地感谢您的到来。无论您是来寻找灵感、获取知识,还是单纯地享受阅读的乐趣,我们都希望您能在这里找到属于自己的收获,也欢迎评论和留言,分享您的想法和见解。
你的每一次阅读,都是我在键盘上敲下这些文字的勇气 (๑•̀ㅂ•́)و✧。
✨️✨️欢迎订阅本专栏✨️✨️
文章目录
前言
“在Linux的城堡里,每个文件都像上了三重魔法锁的宝箱,而权限系统就是打开它们的咒语书。” ——《Linux奇幻物语》
第一章 初探权限世界:三个神秘符号的传说
1.1 rwx:权限三剑客
想象你站在一扇魔法门🚪前:
- r(读):门上的猫眼,允许你偷瞄房内
- w(写):门把手,允许你进屋搞装修🧑🔧
- x(执行):启动传送阵,让房间变成可运行的魔法工坊
终端实战:
ls -l 神秘卷轴.txt
# 输出:-rw-r--r-- 1 alice mages 1024 Aug 1 10:00 神秘卷轴.txt
解读:
- 所有者alice可读写,但不能施法(无x)
- 同组mages成员只能读
- 其他访客也只能读
1.2 数字密码:777的真相
权限其实是三组二进制开关:
| 符号 | 二进制 | 十进制 |
|---|---|---|
| rwx | 111 | 7 |
| rw- | 110 | 6 |
| r-x | 101 | 5 |
| r– | 100 | 4 |
魔法公式:
chmod 755 屠龙宝刀.sh # 设置权限为rwxr-xr-x
(注:新手慎用777,这相当于把城堡大门钥匙🏰🗝️挂在城门上)
第二章 权限控制台:chmod的七十二变
2.1 符号模式:人类友好型咒语
- 用户类型:
- u(所有者)
- g(所属组)
- o(其他人)
- a(所有人)
变形案例:
chmod u+x 飞行扫帚 # 给主人添加执行权限
chmod go-w 机密日记.txt # 禁止组和其他人修改
chmod a=rw 公告栏.md # 所有人可读写不可执行
2.2 权限传染术:-R参数的黑魔法
chmod -R 750 /魔法仓库/ # 递归修改整个目录权限
灾难现场:
某巫师学徒误操作chmod -R 777 /,导致整个王国门户大开,最终被巨龙🐲(黑客)洗劫一空。
第三章 特殊权限:隐藏在符文中的秘密力量
3.1 SUID:临时皇冠
当普通用户需要暂时“加冕”👑为国王时:
chmod u+s /usr/bin/龙语翻译器
- 效果:普通用户执行该程序时,临时获得文件所有者的权限
- 经典应用:
passwd命令修改/etc/shadow文件
3.2 SGID:家族印记
让新建文件自动继承组身份:
chmod g+s /魔法研究部/
- 实验室妙用:团队协作时,所有新文件自动归属"mage"组
3.3 粘滞位:防熊孩子结界
chmod +t /公共储物柜/
- 神奇效果:用户只能删除自己文件,无法动他人物品
- 典型场景:
/tmp临时目录的防护罩
第四章 所有权游戏:chown与chgrp的权杖交接
4.1 改变文件领主
sudo chown merlin:mage 圣杯.c # 将文件所有者改为merlin,组改为mage
sudo chgrp mage 圣杯.c # 将文件所属用户组改为mage
4.2 批量转移领地
chown -R alice:alchemists /炼金术配方库/ # 递归修改整个目录归属
chgrp -R alchemists /炼金术配方库/ # 递归修改整个目录用户组
历史教训:
中世纪有个法师把/lib目录所有权改成自己,结果整个王国的魔法系统崩溃了三天三夜。
第五章 权限实战:从菜鸟到守卫长的成长之路
5.1 安全配置四原则
-
最小权限原则:
chmod 640 秘密配方.pdf # 所有者可读写,组员只读 -
隔离原则:
chmod 710 /私人实验室/ # 只有主人能进出 -
审计原则:
auditctl: -w /宝库大门 -p wa # 监控任何权限变动auditctl:Linux系统中的审计控制工具,用于配置审计系统-w /宝库大门:-w表示“watch”,即监控指定路径-p wa:指定需要监控的操作类型w= write(写操作)a= attribute(属性变更)
-
备份原则:
getfacl -R / > 权限快照.txt # 保存整个文件系统中所有文件和目录的ACL设置到txt文件getfacl:用于显示文件访问控制列表(ACL)的命令-R:递归选项,表示对指定目录及其所有子目录和文件执行操作/:指定获取ACL信息的目录为根目录>:将命令的输出重定向到指定的文件中(这里是重定向到权限快照.txt)
5.2 灾难恢复指南
-
误删执行权限:
find /usr/bin -type f -exec chmod +x {} \; # 修复`/usr/bin`目录下所有文件执行权find /usr/bin:在/usr/bin目录中开始搜索-type f:指定搜索类型为普通文件(file)-exec:对找到的每个文件执行后续命令chmod +x {}:chmod +x:为文件添加执行权限{}:代表find命令找到的每个文件\;:表示-exec命令的结束
-
所有权混乱:
rpm --setperms -a # RedHat系系统修复权限 dpkg --configure -a # Debian系系统修复rpm --setperms -a:--setperms选项的作用:将每个已安装RPM包中文件的权限重置为该包中记录的原始权限,这意味着将文件的权限恢复到最初安装时的状态-a选项表示:该操作将应用于系统上所有已安装的RPM包,而不仅仅是特定的某个包
dpkg --configure -a:-configure:用于配置已安装但未完全配置的包-a:将尝试配置所有之前未完全配置的包
第六章 冷知识博物馆:权限世界的奇闻轶事
- 历史漏洞:2016年的Dirty COW漏洞(CVE-2016-5195),让普通用户能改写只读文件
- 文化彩蛋:早期Unix系统的
chmod 666被称为"恶魔模式"👿 - 哲学悖论:root用户能否删除自身?答案是可以,但需要特殊技巧:
rm -rf / # 系统会边删除自己边执行,直到崩溃前一刻 - 物理隐喻:文件权限就像量子叠加态,直到被访问时才会确定是否允许
终极挑战:权限迷宫大闯关
第一关:创建一个共享目录,要求:
- 所有组员可自由增删文件
- 非组员只能查看不能修改
- 禁止任何人删除他人文件
解法:
sudo mkdir /共享空间
sudo chmod 3770 /共享空间 # SGID+粘滞位+rwxrwx---
sudo chown :project_team /共享空间
第二关:让普通用户能临时修改系统时间
提示:
sudo setcap cap_sys_time+ep /usr/bin/date
setcap是用于设置文件的能力(capabilities)的命令。cap_sys_time+ep:cap_sys_time:这是系统时间相关的权限+:表示添加权限ep:表示有效权限(effective)和允许权限(permitted)/usr/bin/date:这是要设置能力的文件路径,即date命令的可执行文件
第三关:创建无法被root删除的文件(防御rm -rf)
秘籍:
chattr +i 终极防护.txt # 使用文件属性锁
chattr:用于更改文件属性的命令+i:表示添加“immutable”(不可变)属性- 只有root用户可以移除这个属性(使用
chattr -i命令)
结语:权限即文明
Linux的权限系统就像数字社会的法律体系:
- r 是言论自由
- w 是创作权利
- x 是行动许可
当我们理解:
- 每个权限位都是精妙的平衡⚖️
- 每次chmod都是责任的托付
- 每项特殊权限都是双刃剑🗡️
才能真正领悟《Unix编程艺术》中的箴言:
“优秀的权限设计,不是筑起高墙,而是引导河流。”
愿你在Linux的奇幻世界里,既能守护自己的数字珍宝,也能为他人开辟安全的通途! 🔐
扫一扫
7万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
