Linux权限管理

1、权限介绍

在多用户（能够不一样时）计算机系统的管理中，权限是指某个特定的用户具备特定的系统资源使用权力，像是文件夹、特定系统指令的使用或存储量的限制。

在Linux中分别有读、写、执行权限：

读权限：

　　对于目录来讲，读权限影响用户是否可以列出目录结构

　　对于文件来讲，读权限影响用户是否能够查看文件内容

写权限：

　　对目录来讲，写权限影响用户是否能够在文件夹下“建立/删除/复制到/移动到”文档

　　对于文件来讲，写权限影响用户是否能够编辑文件内容

执行权限：

　　对于目录来讲：执行权限影响用户是否能够执行cd操做

　　对于文件来讲，特别脚本文件。执行权限影响文件是否能够运行

2、身份介绍

Owner身份（文件全部者，默认为文档的建立者）

       因为Linux是多用户、多任务的操做系统，所以可能经常有多人同时在某台主机上工做，但每一个人都可在主机上设置文件的权限，让其成为我的的“私密文件”，即我的全部者。由于设置了适当的文件权限，除本人（文件全部者）以外的用户没法查看文件内容。

 Group身份（与文件全部者同组的用户）

       与文件全部者同组最有用的功能就体如今多个团队在同一台主机上开发资源的时候。例如主机上有A、B两个团体（用户组），A中有a1,a2,a3三个成员，B中有b1,b2两个成员，这两个团体要共同完成一份报告F。因为设置了适当的权限，A、B团体中的成员都能互相修改对方的数据，可是团体C的成员则不能修改F的内容，甚至连查看的权限都没有。同时，团体的成员也能设置本身的私密文件，让团队的其它成员也读取不了文件数据。在Linux中，每一个帐户支持多个用户组。如用户a一、b1便可属于A用户组，也能属于B用户组【主组和附加组】。

 Others身份（其余人，相对于全部者与同组用户）

       这个是个相对概念。打个比方，大明、二明、小明一家三兄弟住在一间房，房产证上的登记者是大明（owner全部者），那么，大明一家就是一个用户组，这个组有大明、二明、小明三个成员；另外有我的叫张三，和他们三没有关系，那么这个张三就是其余人（others）了。

同时，大明、二明、小明有各自的房间，三者虽然能自由进出各自的房间，可是小明不能让大明看到本身的情书、日记等，这就是文件全部者（用户）的意义。

Root用户（超级用户）

       在Linux中，还有一个神同样存在的用户，这就是root用户，由于在全部用户中它拥有最大的权限 ，因此管理着普通用户。

3、Linux中权限介绍

[root@li yum.repos.d]# ls -l /root
总用量 8
-rw-------. 1 root root 1536 5月 16 22:41 anaconda-ks.cfg
-rw-r--r--. 1 root root 1584 5月 16 22:43 initial-setup-ks.cfg
drwxr-xr-x. 2 root root 6 5月 16 22:51 公共
drwxr-xr-x. 2 root root 6 5月 16 22:51 模板
drwxr-xr-x. 2 root root 6 5月 16 22:51 视频
drwxr-xr-x. 2 root root 6 5月 16 22:51 图片
drwxr-xr-x. 2 root root 6 5月 16 22:51 文档
drwxr-xr-x. 2 root root 6 5月 16 22:51 下载
drwxr-xr-x. 2 root root 6 5月 16 22:51 音乐
drwxr-xr-x. 2 root root 6 5月 16 22:51 桌面

十位字符表示含义：

第1位：表示文档类型，取值常见的有“d表示文件夹”、“-表示文件”、“l表示软链接”、“s表示套接字”、“c表示字符设备”、“b表示块状设备”等等；

第2-4位：表示文档全部者的权限状况，第2位表示读权限的状况，取值有r、-；第3位表示写权限的状况，w表示可写，-表示不可写，第4位表示执行权限的状况，取值有x、-。

第5-7位：表示与全部者同在一个组的用户的权限状况，第5位表示读权限的状况，取值有r、-；第6位表示写权限的状况，w表示可写，-表示不可写，第7位表示执行权限的状况，取值有x、-。

第8-10位：表示除了上面的前2部分的用户以外的其余用户的权限状况，第8位表示读权限的状况，取值有r、-；第9位表示写权限的状况，w表示可写，-表示不可写，第10位表示执行权限的状况，取值有x、-。

 

权限分配中,均是rwx的三个参数组合，且位置顺序不会变化。没有对应权限就用 – 代替。

 

4、权限设置

语法：#chmod 选项 权限模式 文档

经常使用选项：

-R：递归设置权限 （当文档类型为文件夹的时候）

权限模式：就是该文档须要设置的权限信息

文档：能够是文件，也能够是文件夹，能够是相对路径也能够是绝对路径。

注意点：若是想要给文档设置权限，操做者要么是root用户，要么就是文档的全部者。

 一、字母形式

给谁设置：

u：表示全部者身份owner（user）

g：表示给全部者同组用户设置（group）

o：表示others，给其余用户设置权限

a：表示all，给全部人（包含ugo部分）设置权限

若是在设置权限的时候不指定给谁设置，则默认给全部用户设置

 权限字符：

r：读

w：写

x：表示执行

-：表示没有权限

 

权限分配方式：

+：表示给具体的用户新增权限（相对当前）

-：表示删除用户的权限（相对当前）

=：表示将权限设置成具体的值（注重结果）【赋值】

 

例如：须要给/root/anaconda-ks.cfg文件（-rw——-.）设置权限，要求全部者拥有所有的权限，同组用户拥有读和写权限，其余用户只读权限。

答案：

全部者：所有权限（rwx）

同组用户：读写（rw）

其余：只读（r）

[root@li yum.repos.d]# chmod o=rwx,g=rw,o=rw /root/anaconda-ks.cfg
[root@li yum.repos.d]# ls -l /root
-rw-rw-rw-. 1 root root 1536 5月 16 22:41 anaconda-ks.cfg
-rw-r--r--. 1 root root 1584 5月 16 22:43 initial-setup-ks.cfg

 

二、数字形式

常常会在一些技术性的网页上看到相似于#chmod  777  a.txt  这样的一个权限，这种形式称之为数字形式权限（777）。

读：r        4

写：w       2

执行：x    1

没有任何权限：0   对应—

 

例如：须要给anaconda-ks.cfg设置权限，权限要求全部者拥有所有权限，同组用户拥有读执行权限，其余用户只读。

全部者权限 = 所有权限 = 读 + 写 +执行 = 4 + 2 + 1 = 7

同组用户权限 = 读权限 + 执行权限 = 4 + 1 = 5

其余用户权限 = 读权限 = 4

最终得出的结果是754

[root@li ~]# chmod 754 /root/anaconda-ks.cfg
[root@li ~]# ls -l /root
总用量 8
-rwxr-xr--. 1 root root 1536 5月 16 22:41 anaconda-ks.cfg

 补充：

chmod +r test  #表示对test文件的ugo三类用户都添加r读权限

chmod +w test  #表示对test文件的u属主添加w写权限，属组和其余人无读权限

chmod +x test  #表示对test文件的ugo三类用户都添加x执行权限

 

面试题：用超级管理员设置文档的权限命令是#chmod -R 731 aaa，请问这个命令有没有什么不合理的地方？

全部者 = 7 = 4 + 2 + 1 = 读 + 写 + 执行

同组用户 = 3 = 2 + 1 = 写 + 执行

其余用户 = 1 = 执行

问题在权限731中3表示写+执行权限，可是写又没必要须须要能打开以后才能够写，所以必须须要具有读权限，所以权限不合理。之后建议各位在设置权限的时候不要设置这种“奇葩权限”。

单独出现二、3的权限数字通常都是有问题的权限。

5、属主与属组设置

一、chown

做用：更改文档的所属用户（change owner）

语法：#chown  -R  新的username 文档路径

 

-R：表示选项  文件不须要-R

目录须要加-R

若是你要对目录进行操做，加参数  -R

 

案例：

chown user:group filename   好比：chown hr:san a.txt  把文件的属主和属组改成hr,san

chown user filename  好比：chown san a.txt  把文件的属主改成san用户

chown :group filename  好比： chown :miao a.txt   把文件的属组改成miao这个组

chown user: filename 好比：chown san: a.txt  自动继承这个用户全部的组

chgrp hr filename 好比： chgrp hr f.txt

-R ：递归（目录下的全部内容都更改，不然只修改目录）

6、特殊权限

1.SUID（set uid设置用户ID）：限定：只能设置在二进制可执行程序上面。对目录设置无效

功能：程序运行时的权限从执行者变动成程序全部者的权限

[litong@li ~]$ cat /etc/shadow
cat: /etc/shadow: 权限不够（在普通用户下没法查看shadow文件）

 

[root@li ~]# chmod u+s /usr/bin/cat（把cat命令赋予特殊权限，发现普通用户能够查看shadow文件）
[root@li ~]# su - litong
上一次登陆：五 5月 17 17:43:50 CST 2019pts/0 上
[litong@li ~]$ cat /etc/shadow
root:$6$Gl199M/OSXJkob7M$d6p8J/jSaiiVWqyOJvwPCYew2PxDU6F6ysNW7vmnHC71oAfAm74sAVo20IXDg61GSoke/GdyOmPWb9aszCddv0::0:99999:7:::
bin:*:17110:0:99999:7:::
daemon:*:17110:0:99999:7:::
adm:*:17110:0:99999:7:::
lp:*:17110:0:99999:7:::
sync:*:17110:0:99999:7:::
shutdown:*:17110:0:99999:7:::

2.SGID

限定：既能够给二进制可执行程序设置，也能够给目录设置。

功能：在设置了SGID权限的目录下创建文件时，新建立的文件的所属组会继承上级目录的权限。

chmod g+s 目录

3.SBIT

对于设置sbit权限的文件，用户只能删除本身建立的文件，没法删除其余用户的文件。

4.ACL文件扩展权限

例：设置用户ken对文件a.txt拥有的rwx权限 ，ken不属于a.txt的所属主和组，ken是other。怎么作？

setfacl -m u:li:rwx a.txt

-m表示设置的意思

 查看扩展权限getfacl

去除权限

setfacl -R -m u:ken:rw- testdirectory/  #-R必定要在-m前面，表示目录下全部文件

setfacl -x u:ken /tmp/a.txt # 去掉单个权限

setfacl -b /tmp/a.txt# 去掉全部权限

5.实战sudo

问题：reboot、shutdown、init、halt、user管理，在普通用户身份上都是操做不了，可是有些特殊的状况下又须要有执行权限。又不可能让root用户把本身的密码告诉普通用户，这个问题该怎么解决？

该问题是能够被解决的，可使用sudo（switch user do）命令来进行权限设置。Sudo可让管理员（root）事先定义某些特殊命令谁能够执行。

默认sudo中是没有除root以外用户的规则，要想使用则先配置sudo。

 

Sudo配置文件：/etc/sudoers

该文件默认只读，不容许修改，所以不能直接修改。

 

a. 配置sudo文件请使用“#visudo”，打开以后其使用方法和vim一致

b. 配置普通用户的权限

91 ## Allow root to run any commands anywhere
92 root                 ALL=(ALL)                 ALL

在文件内92行处：

Root表示用户名，若是是用户组，则能够写成“%组名”

ALL：表示容许登陆的主机（地址白名单）

(ALL)：表示以谁的身份执行，ALL表示root身份

ALL：表示当前用户能够执行的命令，多个命令可使用“,”分割

 

案例：建立一个用户，自己该用户不能添加用户，要求使用sudo配置，将其设置为能够添加用户。

[litong@li ~]$ useradd ti
-bash: /usr/sbin/useradd: 权限不够

 修改sudo文件

91 ## Allow root to run any commands anywhere
92 root         ALL=(ALL)          ALL
93 litong       ALL=(ALL)         /usr/sbin/useradd

注意：在写sudo规则的时候不建议写直接形式的命令，而是写命令的完整路径。

路径可使用which命令来查看

语法：#which 指令名称

 

在添加好对应的规则以后就能够切换用户，切换到普通用户，再去执行：

此时要想使用刚才的规则，则以如下命令进行：

#sudo 须要执行的指令

[root@li ~]# su - litong
上一次登陆：五 5月 17 18:03:04 CST 2019pts/0 上
[litong@li ~]$ sudo useradd ti

咱们信任您已经从系统管理员那里了解了平常注意事项。
总结起来无外乎这三点：

#1) 尊重别人的隐私。
#2) 输入前要先考虑(后果和风险)。
#3) 权力越大，责任越大。

[sudo] litong 的密码：

 

在输入sudo指令以后须要输入当前的用户密码进行确认的操做（不是root用户密码），输入以后在接下来5分钟内再次执行sudo指令不须要密码。