权限管理
1、权限介绍(重点)
在Linux中分别有读、写、执行权限:
读权限:
对于文件夹来说,读权限影响用户是否能够列出目录结构
对于文件来说,读权限影响用户是否可以查看文件内容
写权限:
对文件夹来说,写权限影响用户是否可以在文件夹下“创建/删除/复制到/移动到”文档
对于文件来说,写权限影响用户是否可以编辑文件内容
执行权限:
一般都是对于文件来说,特别脚本文件。
对于文件来说,执行权限影响文件是否可以运行。
对于文件夹来说,执行权限影响对应的用户是否可以在文件夹内执行指令。
2、身份介绍(重点)
Owner身份(文档所有者,默认为文档的创建者)
由于Linux是多用户、多任务的操作系统,因此可能常常有多人同时在某台主机上工作,但每个人均可在主机上设置文件的权限,让其成为个人的“私密文件”,即个人所有者。因为设置了适当的文件权限,除本人(文件所有者)之外的用户无法查看文件内容。
Group身份(与文件所有者同组的用户)
与文件所有者同组最有用的功能就体现在多个团队在同一台主机上开发资源的时候。在Linux中,每个账户支持多个用户组。
Others身份(其他人,相对于所有者与同组用户)
这个是个相对概念。打个比方,大明、二明、小明一家三兄弟住在一间房,房产证上的登记者是大明(owner所有者),那么,大明一家就是一个用户组,这个组有大明、二明、小明三个成员;另外有个人叫张三,和他们三没有关系,那么这个张三就是其他人(others)了。
Root用户(超级用户)
在Linux中,还有一个神一样存在的用户,这就是root用户,因为在所有用户中它拥有最大的权限 ,所以管理着普通用户。因此以后在设置文档的权限的时候不必考虑root用户。
3、Linux的权限查看
要设置权限,就需要知道文件的一些基本属性和权限的分配规则。在Linux中,ls命令常用来查看文档的属性,用于显示文件的文件名和相关属性。
#ls -l 路径 【ls -l 等价于 ll】
标红的部分就是Linux的文档权限属性信息。
Linux中存在用户(owner)、用户组(group)和其他人(others)概念,各自有不同的权限,对于一个文档来说,其权限具体分配如下:
十位字符表示含义:
第1位:表示文档类型,取值常见的有“d表示文件夹”、“-表示文件”、“l表示软连接”、“s表示套接字”、“c表示字符设备”、“b表示块状设备”等等;
第2-4位:表示文档所有者的权限情况,第2位表示读权限的情况,取值有r、-;第3位表示写权限的情况,w表示可写,-表示不可写,第4位表示执行权限的情况,取值有x、-。
第5-7位:表示与所有者同在一个组的用户的权限情况,第5位表示读权限的情况,取值有r、-;第6位表示写权限的情况,w表示可写,-表示不可写,第7位表示执行权限的情况,取值有x、-。
第8-10位:表示除了上面的前2部分的用户之外的其他用户的权限情况,第8位表示读权限的情况,取值有r、-;第9位表示写权限的情况,w表示可写,-表示不可写,第10位表示执行权限的情况,取值有x、-。
注意:除了权限位上的rwx以及-之外,还有一些特殊的权限代码“s”、“t”,这些不在本次考虑范围内。(黏贴位,特殊权限位)
权限分配中,均是rwx的三个参数组合,且位置顺序不会变化。没有对应权限就用 – 代替。
4、权限设置(重点)
语法:
#chmod [选项] 权限模式 文档路径注意事项:
常用选项:
-R:递归设置权限 (当文档类型为文件夹的时候)
权限模式:就是该文档需要设置的权限信息
文档:可以是文件,也可以是文件夹,可以是相对路径也可以是绝对路径。
注意点:如果想要给文档设置权限,操作者要么是root用户,要么就是文档的所有者。
4.1、字母形式
给谁设置:
u:表示所有者身份owner(user)
g:表示给所有者同组用户设置(group)
o:表示others,给其他用户设置权限
a:表示all,给所有人(包含ugo部分)设置权限
如果在设置权限的时候不指定给谁设置,则默认给所有用户设置
什么权限-权限字符:
r:读
w:写
x:表示执行
-:表示没有权限
如何设置-权限分配方式:
+:表示给具体的用户新增权限(相对当前)
-:表示删除用户的权限(相对当前)
=:表示将权限设置成具体的值(注重结果)【赋值】
设置多个身份的权限时候,每个身份之间需要通过英文逗号分开。
例如:需要给/root/anaconda-ks.cfg文件(-rw-------.)设置权限,要求所有者拥有全部的权限,同组用户拥有读和写权限,其他用户只读权限。
答案:
\#chmod u+x,g+rw,o+r /root/anaconda-ks.cfg
或者:
\#chmod u=rwx,g=rw,o=r /root/anaconda-ks.cfg
提示:当文档拥有执行权限(任意部分),则其颜色在终端中是绿色。
\#chmod ug=rwx 形式,如果有两部分权限一样则可以合在一起写的
等价于:
\#chmod u=rwx,g=rwx
例如:如果anaconda-ks.cfg文件什么权限都没有,可以使用root用户设置所有的人都有执行权限,则可以写成
什么权限都没有应该是:----------
目标的效果:---x--x--x
#chmod a=x anaconda-ks.cfg
#chmod a+x anaconda-ks.cfg
#chmod u+x,g+x,o+x anaconda-ks.cfg
#chmod ugo=x anaconda-ks.cfg
#chmod ugo+x anaconda-ks.cfg
#chmod +x anaconda-ks.cfg
案例:设置文件“~/php/php.txt”权限,要求所有者全部权限,同组用户拥有读权限、写权限,其他人拥有读权限
\#chmod u=rwx,g=rw,o=r ~/php/php.txt
更改要求:所有者全部权限,同组用户拥有读权限、写权限,其他人拥有读权限、写权限
\#chmod o+w ~/php/php.txt
练习:
①设置文件夹/tmp/php的权限(如果文件夹不存在,自行创建),要求权限为递归权限,并且所有者有全部权限,同组用户有读执行权限,其他用户只读权限;
#mkdir /tmp/php
#chmod -R u=rwx,g=rx,o=r /tmp/php
②设置文件/tmp/php/class.sh权限,文件如果不存在则自行创建,要求权限为所有者全部权限,同组用户读和执行权限,其他用户没有权限;
#touch /tmp/php/class.sh
#chmod u=rwx,g=rx,o=--- /tmp/php/class.sh
③使用普通用户在/tmp/php目录下创建test目录,设置目录权限为所有者拥有全部权限,同组用户只读,其他用户只读;(创建不了test用户)
4.2、数字形式
经常会在一些技术性的网页上看到类似于#chmod 777 a.txt 这样的一个权限,这种形式称之为数字形式权限(777)。
读:r 4
写:w 2
执行:x 1
没有任何权限(-):0
组合权限数字的时候遵循,最短路径要求,并且最多只能出现一次。
例如:需要给anaconda-ks.cfg设置权限,权限要求所有者拥有全部权限,同组用户拥有读执行权限,其他用户只读。
分析:
所有者(第1位):全部权限 =读 + 写 + 执行 = 4 + 2 + 1 = 7
同组用户(第2位):读执行 = 读 + 执行 = 4 + 1 = 5
其他用户(第3位):读 = 4
组合: 754
最终得出的结果是754
\#chmod 754 anaconda-ks.cfg
面试题:用超级管理员设置文档的权限命令是#chmod -R 731 aaa,请问这个命令有没有什么不合理的地方?
所有者 = 7 = 4 + 2 + 1 = 读 + 写 + 执行
同组用户 = 3 = 2 + 1 = 写 + 执行
其他用户 = 1 = 执行
问题在权限731中3表示写+执行权限,但是写又不必须需要能打开之后才可以写,因此必须需要具备读权限,因此权限不合理。以后建议各位在设置权限的时候不要设置这种“奇葩权限”。单独出现2、3的权限数字一般都是有问题的权限
注意:在写权限的时候千万不要设置类似于上面的这种“奇葩权限”。如果一个权限数字中但凡出现2与3的数字,则该权限有不合理的情况。
4.3、注意事项
使用root用户创建一个文件夹(/oo),权限默认,权限如下:
需要在oo目录下创建文件(oo/xx.txt),需要给777权限:
扩展:
在Linux系统中,创建文档的权限有一个默认值,以当前的系统为例,其创建文件夹之后的默认权限是755,创建文件之后的权限是644。
之所以会这样是受到了系统中umask(掩码)的值的影响,其是用于指定文档创建好之后的权限,umask默认为022。
计算方式:
对于文件:文件的权限 = 666 – umask掩码
对于文件夹:文件夹的权限 = 777 - umask掩码
在Linux中,如果要删除一个文件,不是看文件有没有对应的权限,而是看文件所在的目录是否有写权限,如果有才可以删除。
5、属主与属组
属主:所属的用户(文件的主人),文档所有者
属组:所属的用户组(同组用户的组名称)
前面的那个root就是属主
后面的那个root就是属组
这两项信息在文档创建的时候会使用创建者的信息(用户名、用户所属的主组名称)。
之所以需要设置这个:如果有时候去删除某个用户,则该用户对应的文档的属主和属组信息就需要去修改(类似离职之前的工作交接)。
5.1、chown(重点)
作用:更改文档的所属用户(change owner)
语法:
#chown [-R] 新的username 文档路径
注意:修改所有者的人必须是root或者所有者自己,其他人无权修改所有者。
案例:将先前设置的/oo目录的所有者设置成成admin
\#chown -R admin /oo
5.2、chgrp(了解)
作用:更改文档的所属用户组(change group)
语法:
#chgrp [-R] groupname 文档的路径案例:将刚才oo目录的所有用户组名改为admin
\#chgrp -R admin /oo
思考,如何通过一个命令实现既可以更改所属的用户,也可以修改所属的用户组呢?
答:可以实现的,通过chown命令
语法:
#chown [-R] username:groupname 文档路径案例:将刚才oo的文档的所属组所属用户修改为root
\#chown -R root:root /oo
6、sudo(重点)
问题:reboot、shutdown、init、halt,在普通用户身份上都是操作不了,但是有些特殊的情况下又需要有执行权限。又不可能让root用户把自己的密码告诉普通用户,这个问题该怎么解决?
该问题是可以被解决的,可以使用sudo(switch user do)命令来进行权限设置。Sudo可以让管理员(root)事先定义某些特殊命令谁可以执行。
默认sudo中是没有除root之外用户的规则,要想使用则先配置sudo。
Sudo配置文件:/etc/sudoers
该文件默认只读,不允许修改,因此不能直接修改。
a. 配置sudo文件请使用“#visudo”,打开之后其使用方法和vim一致
b. 配置普通用户的权限
Root表示用户名,如果是用户组,则可以写成“%组名”
ALL:表示允许登录的主机(地址白名单)
(ALL):表示以谁的身份执行,ALL表示root身份
ALL:表示当前用户可以执行的命令,多个命令可以使用“,”分割
案例:使用admin这个用户,赋予其添加用户权限。
注意:在写sudo规则的时候不建议写直接形式的命令,而是写命令的完整路径。
路径可以使用which(whereis亦可)命令来查看
语法:
#which 指令名称
Whereis会找出一些非可执行文件,建议使用which
在添加好对应的规则之后就可以切换用户,切换到普通用户admin,再去执行:
此时要想使用刚才的规则,则以以下命令进行:
#sudo 需要执行的指令(就是放权的指令名称)
此时输入的密码是当前执行sudo指令的用户的密码,而非root密码,输入之后在接下来5分钟内再次执行sudo指令不需要密码。
补充:在普通用户下怎么查看自己具有哪些特殊权限呢?
#sudo -l 表示list
最后:sudo不是任何Linux分支都有的命令,常见centos与ubuntu都存在sudo命令。
1
1
1
1
1
1
1
1
1
1