Linux的权限管理操作
一、权限概述
总述:Linux系统一般将文件可存/取访问的身份分为3个类别:owner(拥有者)、group(和所有者同组的用户)、others(其他人,除了所有者,除了同组的用户以及除了超级管理员),且3种身份各有read(读)、write(写)、execute(执行)等权限。
1、权限介绍
什么是权限?
在多用户(可以不同时)计算机系统的管理中,权限是指某个特定的用户具有特定的系统资源使用权力,像是文件夹、特定系统指令的使用或存储量的限制。
在Linux中分别有读、写、执行权限:
读权限:
对于文件夹来说,读权限影响用户是否能够列出目录结构
对于文件来说,读权限影响用户是否可以查看文件内容
写权限:
对文件夹来说,写权限影响用户是否可以在文件夹下“创建/删除/复制到/移动到”文档
对于文件来说,写权限影响用户是否可以编辑文件内容
执行权限:
对于文件来说,特别脚本文件。执行权限影响文件是否可以运行。
2、身份介绍
Owner身份(文件所有者,默认为文档的创建者)
由于Linux是多用户、多任务的操作系统,因此可能常常有多人同时在某台主机上工作,但每个人均可在主机上设置文件的权限,让其成为个人的“私密文件”,即个人所有者。因为设置了适当的文件权限,除本人(文件所有者)之外的用户无法查看文件内容。
例如某个MM给你发了一封Email情书,你将情书转为文件之后存档在自己的主文件夹中。为了不让别人看到情书的内容,你就能利用所有者的身份去设置文件的适当权限,这样,即使你的情敌想偷看你的情书内容也是做不到的。
Group身份(与文件所有者同组的用户)
与文件所有者同组最有用的功能就体现在多个团队在同一台主机上开发资源的时候。例如主机上有A、B两个团体(用户组),A中有a1,a2,a3三个成员,B中有b1,b2两个成员,这两个团体要共同完成一份报告F。由于设置了适当的权限,A、B团体中的成员都能互相修改对方的数据,但是团体C的成员则不能修改F的内容,甚至连查看的权限都没有。同时,团体的成员也能设置自己的私密文件,让团队的其它成员也读取不了文件数据。在Linux中,每个账户支持多个用户组。如用户a1、b1即可属于A用户组,也能属于B用户组【主组和附加组】。
Others身份(其他人,相对于所有者与同组用户)
这个是个相对概念。打个比方,大明、二明、小明一家三兄弟住在一间房,房产证上的登记者是大明(owner所有者),那么,大明一家就是一个用户组,这个组有大明、二明、小明三个成员;另外有个人叫张三,和他们三没有关系,那么这个张三就是其他人(others)了。
同时,大明、二明、小明有各自的房间,三者虽然能自由进出各自的房间,但是小明不能让大明看到自己的情书、日记等,这就是文件所有者(用户)的意义。
Root用户(超级用户)
在Linux中,还有一个神一样存在的用户,这就是root用户,因为在所有用户中它拥有最大的权限 ,所以管理着普通用户。
3、Linux的权限介绍
要设置权限,就需要知道文件的一些基本属性和权限的分配规则。在Linux中,ls命令常用来查看文件的属性,用于显示文件的文件名和相关属性。
#ls -l 路径 【ls -l 等价于 ll】
标红的部分就是Linux的文档权限属性信息。
Linux中存在用户(owner)、用户组(group)和其他人(others)概念,各自有不同的权限,对于一个文档来说,其权限具体分配如下:
| - | 文件类型 |
|---|---|
| rwx | 拥有者的权限 |
| r-x | 所属组的权限 |
| r-x | 其他人的权限 |
| user1 | 拥有者 |
| user1 | 属组 |
| time | 最后修改时间 |
| FILENAME | 对象 |
十位字符表示含义:
第1位:表示文档类型,取值常见的有“d表示文件夹”、“-表示文件”、“l表示软连接”、“s表示套接字”、“c表示字符设备”、“b表示块状设备”等等;
第2-4位:表示文档所有者的权限情况,第2位表示读权限的情况,取值有r、-;第3位表示写权限的情况,w表示可写,-表示不可写,第4位表示执行权限的情况,取值有x、-。
第5-7位:表示与所有者同在一个组的用户的权限情况,第5位表示读权限的情况,取值有r、-;第6位表示写权限的情况,w表示可写,-表示不可写,第7位表示执行权限的情况,取值有x、-。
第8-10位:表示除了上面的前2部分的用户之外的其他用户的权限情况,第8位表示读权限的情况,取值有r、-;第9位表示写权限的情况,w表示可写,-表示不可写,第10位表示执行权限的情况,取值有x、-。
权限分配中,均是rwx的三个参数组合,且位置顺序不会变化。没有对应权限就用 – 代替。
例如:以下一个文档权限是怎么样的?
文档类型是:文件夹
所有者:读写执行权限
同组用户:读执行权限
其他人:读执行权限
管理员:全部
- rwx — ---:文件所有者对文件具有读取、写入和执行的权限。
- rwx r-- r–: 文件所有者具有读、写与执行的权限,用户组里用户及其他用户则具有读取的权限
- rw- rw- r-x:文件所有者与同组用户对文件具有读写的权限,而其他用户仅具有读取和执行的权限。
drwx–x—x: 目录所有者具有读写与进入目录的权限,其他用户近能进入该目录,却无法读取任何数据。
drwx------: 除了目录所有者具有完整的权限之外,其他用户对该目录完全没有任何权限。
例: 你以什么用户身份登录,那么你创建的文件或目录,自动成为该文件的所属主和组
提问:
文档类型是:文件夹
所有者:读执行权限
同组用户:读执行权限
其他人:读执行权限
管理员:全部
注意:第1是一块,234是一块,567是块,8910是一块
文档类型是:文件夹
所有者:读写执行权限
同组用户:读执行权限
其他人:读执行权限
管理员:全部
二、权限设置(重点)
语法:#chmod 选项 权限模式 文档
注意事项:
常用选项:
-R:递归设置权限 (当文档类型为文件夹的时候)
权限模式:就是该文档需要设置的权限信息
文档:可以是文件,也可以是文件夹,可以是相对路径也可以是绝对路径。
注意点:如果想要给文档设置权限,操作者要么是root用户,要么就是文档的所有者。
1、字母形式
给谁设置:
u:表示所有者身份owner(user)
g:表示给所有者同组用户设置(group)
o:表示others,给其他用户设置权限
a:表示all,给所有人(包含ugo部分)设置权限
如果在设置权限的时候不指定给谁设置,则默认给所有用户设置
权限字符:
r:读
w:写
x:表示执行
-:表示没有权限
权限分配方式:
+:表示给具体的用户新增权限(相对当前)
-:表示删除用户的权限(相对当前)
=:表示将权限设置成具体的值(注重结果)【赋值】
例如:需要给/root/anaconda-ks.cfg文件(-rw-------.)设置权限,要求所有者拥有全部的权限,同组用户拥有读和写权限,其他用户只读权限。
答案:
所有者:全部权限(rwx)
同组用户:读写(rw)
其他:只读(r)
[root@localhost ~]# chmod u+x,g+rw,o+r anaconda-ks.cfg
还原:[root@localhost ~]# chmod u=rw,g-rwx,o-rwx anaconda-ks.cfg
提示:当文档拥有执行权限(任意部分),则其颜色在终端中是绿色。
#chmod ug=rwx 形式,如果有两部分权限一样则可以合在一起写的
等价于:
#chmod u=rwx,g=rwx
例如:如果anaconda-ks.cfg文件什么权限都没有,可以使用root用户设置所有人都有执行权限,则可以写成
#chmod a+x anaconda-ks.cfg 等价于 #chmod +x anaconda-ks.cfg
#chmod a=x anaconda-ks.cfg
#chmod ugo=x anaconda-ks.cfg
#chmod u+x,g+x,o+x anaconda-ks.cfg
案例:设置文件“~/yunwei/yunwei.txt”权限,要求所有者全部权限,同组用户拥有读权限、写权限,其他人拥有读权限
更改要求:所有者全部权限,同组用户拥有读权限、写权限,其他人拥有读权限、写权限
练习:
①设置文件夹/tmp/yunwei的权限(如果文件夹不存在,自行创建),要求权限为递归权限,并且所有者有全部权限,同组用户有读执行权限,其他用户只读权限;
#chmod -R u=rwx,g=rx,o=r yunwei/
②设置文件/tmp/yunwei/class03.txt权限,文件如果不存在则自行创建,要求权限为所有者全部权限,同组用户读和执行权限,其他用户没有权限;
[root@localhost ~]# touch yunwei/class03.txt
#chmod u=rwx,g=rx,o-r ./yunwei/class03.txt
2、数字形式
经常会在一些技术性的网页上看到类似于#chmod 777 a.txt 这样的一个权限,这种形式称之为数字形式权限(777)。
读:r 4
写:w 2
执行:x 1
没有任何权限:0 对应—
例如:需要给anaconda-ks.cfg设置权限,权限要求所有者拥有全部权限,同组用户拥有读执行权限,其他用户只读。
所有者权限 = 全部权限 = 读 + 写 +执行 = 4 + 2 + 1 = 7
同组用户权限 = 读权限 + 执行权限 = 4 + 1 = 5
其他用户权限 = 读权限 = 4
最终得出的结果是754
#chmod 754 anaconda-ks.cfg
面试题:用超级管理员设置文档的权限命令是#chmod -R 731 aaa,请问这个命令有没有什么不合理的地方?
所有者 = 7 = 4 + 2 + 1 = 读 + 写 + 执行
同组用户 = 3 = 2 + 1 = 写 + 执行
其他用户 = 1 = 执行
问题在权限731中3表示写+执行权限,但是写又不必须需要能打开之后才可以写,因此必须需要具备读权限,因此权限不合理。以后建议各位在设置权限的时候不要设置这种“奇葩权限”。
单独出现2、3的权限数字一般都是有问题的权限
注意:在写权限的时候千万不要设置类似于上面的这种“奇葩权限”。如果一个权限数字中但凡出现2与3的数字,则该权限有不合理的情况。
在Linux中,如果要删除一个文件,不是看文件有没有对应的权限,而是看文件所在的目录是否有写权限,如果有才可以删除。
三、属主(zhu)与属组(zu)设置
属主:所属的用户(文件的主人),文档所有者
属组:所属的用户组
前面的那个root就是属主
后面的那个root就是属组
这两项信息在文档创建的时候会使用创建者的信息(用户名放在前面的root、用户所属的主组名称放在后面的root)。
之所以需要设置这个:如果有时候去删除某个用户,则该用户对应的文档的属主和属组信息就需要去修改(类似离职之前的工作交接)。
1、chown
作用:更改文档的所属用户(change owner)
语法:#chown -R 新的username 文档路径
-R:表示选项 文件不需要-R
目录需要加-R
如果你要对目录进行操作,加参数 -R
#chown -R yw03/oo/ 更改所有者
chown
案例:
chown user:group filename 比如:chown hr:san a.txt 把文件的属主和属组改为hr,san
chown user filename 比如:chown san a.txt 把文件的属主改为san用户
chown :group filename 比如: chown :miao a.txt 把文件的属组改为miao这个组
chown user: filename 比如:chown san: a.txt 自动继承这个用户所有的组
chgrp hr filename 比如: chgrp hr f.txt
-R :递归(目录下的所有内容都更改,否则只修改目录)
例:
案例:
2、chgrp(了解)
作用:更改文档的所属用户组(change gro up)
语法:#chgrp -R groupname 文档的路径
[root@localhost ~]# chgrp -R yw03 /oo/
将刚刚的oo目录改为yw03
思考,如何通过一个命令实现既可以更改所属的用户,也可以修改所属的用户组呢?
答:可以实现的,通过chown命令
语法:#chown -R username:groupname 文档路径
案例:将刚才oo的文档的所属组所属用户修改为root
#chown -R root:root /oo
文件的特殊权限:suid sgid和文件扩展权限ACL
其实文件与目录设置不止这些,还有所谓的特殊权限。由于特殊权限会拥有一些“特权”.
特殊权限:
7.2.1 文件的特殊权限:suid sgid
1、SUID(set uid设置用户ID):限定:只能设置在二进制可执行程序上面。对目录设置无效
功能:程序运行时的权限从执行者变更成程序所有者的权限
2、SGID:限定:既可以给二进制可执行程序设置,也可以对目录设置
功能:在设置了SGID权限的目录下建立文件时,新创建的文件的所属组会,继承上级目录的所属组
SUID SGID
u+s或u=4 g+s或g=2
SUID属性一般用在可执行文件上,当用户执行该文件时,会临时拥有该执行文件的所有者权限。使用”ls -l” 或者”ll” 命令浏览文件时,如果可执行文件所有者权限的第三位是一个小写的”s”,就表明该执行文件拥有SUID属性。比如/usr/bin/passwd文件
案例:瞬间提升到roo用户权限
SGID:
限定:既可以给二进制可执行程序设置,也可以给目录设置。
功能:在设置了SGID权限的目录下建立文件时,新创建的文件的所属组会继承上级目录的权限。
实战:文件扩展权限ACL
扩展ACL :access control list
例:设置用户yw对文件a.txt拥有的rwx权限 ,yw不属于a.txt的所属主和组,yw是other。怎么做?
-m表示设置的意思
例:给目录下所有文件都加扩展权限(了解)
[root@localhost ~]# setfacl -R -m u:lee:rw- testdirectory/ #-R一定要在-m前面,表示目录下所有文件
[root@localhost ~]# setfacl -x u:yw /tmp/a.txt # 去掉单个权限
[root@localhost ~]# setfacl -b /tmp/a.txt # 去掉所有acl权限
四、实战sudo
问题:reboot、shutdown、init、halt、user管理,在普通用户身份上都是操作不了,但是有些特殊的情况下又需要有执行权限。又不可能让root用户把自己的密码告诉普通用户,这个问题该怎么解决?
该问题是可以被解决的,可以使用sudo(switch user do)命令来进行权限设置。Sudo可以让管理员(root)事先定义某些特殊命令谁可以执行。
默认sudo中是没有除root之外用户的规则,要想使用则先配置sudo。
Sudo配置文件:/etc/sudoers
该文件默认只读,不允许修改,因此不能直接修改。
a. 配置sudo文件请使用“#visudo”,打开之后其使用方法和vim一致
b. 配置普通用户的权限
Root表示用户名,如果是用户组,则可以写成“%组名”
ALL:表示允许登录的主机(地址白名单)
(ALL):表示以谁的身份执行,ALL表示root身份
ALL:表示当前用户可以执行的命令,多个命令可以使用“,”分割
案例:创建test用户,本身test用户不能添加用户,要求使用sudo配置,将其设置为可以添加用户。
添加test用户:
注意:在写sudo规则的时候不建议写直接形式的命令,而是写命令的完整路径。
路径可以使用which命令来查看
语法:#which 指令名称
在添加好对应的规则之后就可以切换用户,切换到普通用户test,再去执行:
此时要想使用刚才的规则,则以以下命令进行:
#sudo 需要执行的指令
在输入sudo指令之后需要输入当前的用户密码进行确认的操作(不是root用户密码),输入之后在接下来5分钟内再次执行sudo指令不需要密码。
如果要删除用户则会提示:
因此要想实现删除则必须先配置sudo规则
/usr/sbin/userdel
补充:在普通用户下怎么查看自己具有哪些特殊权限呢?
#sudo -l 表示list
最后:sudo不是任何Linux分支都有的命令,常见centos与ubuntu都存在sudo命令。
软连接:就是相当于windows下面的快捷方式
【软链接相当于快捷方式,硬链接相当于复制粘贴】
创建完成后,源文件、软链接和硬链接均可以查看到文件内容。
编辑源文件,软、硬链接跟着动。
删除源文件,软链接失效,硬链接无影响。再重新建一个与源文件同名的文件,软链接就直接链接到新的文件,而硬链接不变。因为软链接是按着名称进行链接。
ln -s
-s:指定源文件是谁 后面接 连接目标文件
接下来查看源文件里面会不会发生变化?
第二步:修改原文件
查看目标文件有没有发生变化:
删除目标文件:相当于删除快捷方式,对源文件没有丝毫影响
现在删除源文件看效果:
软连接代码实现:
硬链接代码实现:
总结:
软连接
Ln - s 原路径 目标路径
特点:
1、就是相当于win中的快捷方式
2、删除链接文件,源文件无影响
3、删除源文件,链接文件失效
4、修改源文件\链接文件,内容都发生改变
硬链接:
修改目标文件,并查看是否发生变化
删源文文件:
2、归档文件和归档技术
- 掌握归档的定义:归档(archiving)就是将许多文件(或目录)打包成一个文件。
- 了解归档的目的:归档的目的就是方便备份、还原及文件的传输操作。
- 掌握tar命令的功能:将多个文件(也可能包括目录,因为目录本身也是文件)放在一起存放到一个磁带或磁盘归档文件中。并且将来可以根据需要只还原归档文件中的某些指定的文件。
4)掌握tar命令的常用选项:
c:创建一个新的tar文件。
t:列出tar文件中目录的内容。
x:从tar文件中抽取文件。
f:指定归档文件或磁带(也可能是软盘)设备(一般都要选)。
v:显示所打包的文件的详细信息,v是verbose的第1个字母。
z:使用gzip压缩算法来压缩打包后的文件。
j:使用bzip2压缩算法来压缩打包后的文件
打包:
CD-:表示回到上一级
解压:
x:从tar文件中抽取文件。
f:指定归档文件或磁带(也可能是软盘)设备(一般都要选)。
-C表示指定目录
压缩:
4、文件的压缩和解压缩 - 掌握压缩的定义:压缩就是将一个大的文件通过一些压缩算法变成一个小文件。
- 了解压缩的目的:主要是缩小文件的大小,这样会节省存储文件的磁盘或磁带的空间,另外在网络上传输这些小文件也会减少网络的浏览(也就是节省网络的带宽)。
- 掌握解压缩的定义:解压缩就是将一个通过一些压缩算法的文件恢复到压缩之前的样子。
gunzip:表示解压
第二种方式:
Tar命令压缩:
压缩:(整个目录)
查看里面内容:
案例二:
打包
解包:
打包解包案例:
223
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
