一. 什么是权限?
首先权限是限制人的。人 = 真实的人 + 身份角色
权限 = 角色 + 事物属性
二. 认识人–用户
Linux下的用户分为超级用户和普通用户
- root :超级管理员,几乎不受权限的约束
- 普通用户 :受权限的约束
- 超级用户的命令提示符是
#,普通用户的命令提示符是$
命令: su [用户名]
功能: 切换用户
例如,要从root用户切换到普通用户user,则使用su user。也可以ctrl+d或者直接exit
要从普通用户user切换到root用户则使用su root(root可以省略),此时系统会提示输⼊root用户的密码。
普通用户切换为超级用户两种方式的区分:
- 单独的su:只进行两者之间的身份切换,家目录不发生变化。
- su -:以root的身份重新登陆Linux机器
普通人之间进行切换需要输入对方的密码;但root可以切换成任何人,不需要输入密码
如何不切换身份的情况下,执行更高权限的指令呢?
指令提权
sudoers:类似一张用户白名单
什么时候进行指令提权?
安装软件时,以root身份安装,任何人都可以使用,软件只需安装一次。
三. 文件属性
Linux下 权限 = 角色 + 事物属性
角色:
Linux下角色分为三类:
- 文件拥有者
- 文件所属组
- other
具体的用户:root 普通账号
角色:拥有者,所属组,other (由具体的角色扮演)
事物属性:
四. 权限
我们可以看到这里一行总共有九个字符。这九个字符三个为一对。
其中:
- r: 表示可读权限
- w: 表示可写权限
- x: 表示可执行权限
- -: 表示不具备此权限
超级用户不受权限的约束
例如这里的test.txt文件的拥有者是root,所属组是root,root对于test.txt文件没有读,写,执行权限,但是照样可以往test.txt文件中写入hello,并且能查看test.txt文件。
第一个位置表示是否可读,有就是r没有就是-
第二个位置表示是否可写,有就是w没有就是-
第三个位置表示是否具有可执行权限,有就是x没有就是-
所以说读,写,可执行这三个位置时固定的。
所以对于file.txt而言
拥有者所具有的权限是:
- 可读
- 可写
- 不可执行
所属组所具有的权限是:
- 可读
- 可写
- 不可执行
所属组所具有的权限是:
- 可读
- 不可写
- 不可执行
权限的修改:
只有文件的拥有者和超级用户(root)才可以修改权限。
chmod
功能: 设置文件的访问权限。
格式: chmod [参数] 权限 文件名
常用选项:
用法一: 用户表示符、+ - =、权限字符
u:拥有者g:所属组o:其他人a:所有用户(拥有者、所属组、其他人)+:增加权限-:取消权限=:赋予权限
示例:
chmod u+r test.txt:给拥有者加上test.txt文件的可读权限
chmod u-w test.txt:去掉拥有者test.txt文件的可写权限
chmod u+rw,g+r,o+x test.txt:给拥有者加上可读可写权限 ,给所属组加上可读权限,给other加上可执行权限
chmod a+rwx test:给所有用户加上test.txt文件的可读,可写,可执行权限
不是你有可执行权限这个文件就能执行
Linux下能执行 = 真的是一个可执行文件 + 可执行权限
user,group,other和我自己进行身份对比的时候,依次只对比一次!
用法二:文件权限修改的八进制方案
在计算机中,是用1表示,否用0表示,在Linux中一个用户对应三个权限
例如sp.txt文件拥有者是sp,所对应的权限是---;所属组是sp,对应的权限是rw-。
一个用户的权限全为否的话,所对应的就是---,用0,1表示就可以表示为000,000转化为八进制就是0。那么同理所属组的权限就可以表示为110,转化为八进制就是6。对于other来讲对应的八进制就是100,转化为八进制就是4。所以最终我们表示一个文件的权限就可以表示为064。
有了上面的经验,所以我们要修改一个文件的权限,就可以chmod 700 sp.txt,其中7对应的是111,0表示000。所以sp.txt文件的权限最终被修改成了rwx --- ---。
如果我想给所属组加上rw,那么就可以chmod 760 sp.txt,其中6表示110。
如果想给所有人去掉所有权限chmod 000 sp.txt。
总结:
修改文件权限的两种方式:
- chmod u/g/o/a +/- r/w/x filemane
- chmod 八进制 filename
不管是上面的那种该权限的方法,其实本质上都是改的文件的属性。上面我们已经说了,权限=角色+事物属性,我们可不可以修改角色呢?答案是可以的
chown指令
- 更改拥有者
例如我们想把sp.txt的拥有者改为root,chown root sp.txt
我们会发现不允许我们修改。原因其实很简单,就好比如我们给别人东西一样,别人也有可能不要,首先得征求别人的意见。但是在liunx中你想给别人东西征求别人意见这样的事无法实现。那怎么办呢?
答案是强制操作 指令提权sudo chown root sp.txt。
chgrp指令
- 更改所属组
更改所属组和上面更改拥有者一样,也需要强制操作 指令提权sudo chgrp root sp.txt
拥有者和所属组可不可以同时改呢?答案是可以的
sudo sp:sp sp.txt我们就会发现文件的拥有者和所属组又变成了sp;
拓展: 如果对于一个文件没有读权限,那么用任何工具打开都会看不到内容。权限限制的是人。
关于权限的三个问题
-
目录权限
a. 如果我想进入一个目录需要什么权限?r权限
b.r对目录是什么意思? 无法查看指定目录下的文件信息
c.w对于目录? 无权在指定目录内部新建文件,删除文件,修改文件名的操作。 -
缺省权限
我们新建一个文件会发现它的权限默认是664110110100
我们新创建一个目录,会发现它的默认权限是775
知识点: 普通文件,起始权限:666,目录文件,起始权限:777
但是问题又来了,为什么我们新建的文件起始权限是664,目录是775呢?
原因是在我们liunx系统中存在默认的权限掩码umask
为什么会有权限掩码?
我们可以修改权限掩码,达到修改Liunx中文件缺省权限的问题
umask0002我们不必关心第一个零,只需关心umask的后三位。002即000 000 010的二进制位
结论:
最终权限(默认)= 起始权限 &(~umask)
比如普通文件的起始权限666-110 110 110,umask是000 000 010。所以最终权限就是664 - 110 110 100
如何改umask?
umask直接后面跟数字 ,例如 umask 0777(第一个0不写也可以)umask就被改成777了777的二进制表示方式为111 111 111,取反就为000 000 000,任何数与0按位与为0,所以我们现在创建一个新的文件它的权限就为全0了。
为什么有umask呢?
原因是人的需求是一种变化的,如果你的程序设计的过于死板,缺省权限,目录权限都是固定的样式,一旦碰到有特殊需求的人,就会很不方便。
所以有了umask:首先没有坏处,其次增加了权限新需求的灵活性。
粘滞位
当我们新建一个用户时,系统会自动在/home路径下创建一个用户的家目录,所有家目录的权限都是700,这就意味着,其他普通用户无法进入我的家目录,也不能查看我的家目录下的所有文件,更不能对我的家目录中的文件进行修改、删除,也不能在我的家目录中创建文件。
但有的时候,我们多个用户想进行文件数据的共享。家目录的特性,导致我们所建立的共享目录不能在任何一个用户的家目录下。那建立在哪里合适呢?答案是,通过超级用户在根目录下建立一个共享文件(根目录的拥有者和所属组都是root,普通用户作为other没有写权限,所以无法在根目录下创建文件),其他普通用户都以其他人的身份去操作这个共享文件。因此,这里还需要把共享文件针对其他人的权限设置为7,以保证普通用户可以进入到这个目录,并且查看该目录下的所有文件、在该目录下创建文件等。
于是,问题来了~~换句话来讲,就是只要用户具有目录的写权限w,就意味着可以在该目录下创建、删除、修改文件。(一个文件能否能够被删除是由它所在的目录决定的,并不由该文件本身所决定)
共享目录对其他人的权限都设置为7,这就意味着所有其他普通用户都可以删除共享目录下的任何文件。换句话说就是:用户A在共享目录下创建了一个文件,而用户B则可以随意的删除A用户所创建的文件。这好像不太科学啊,我张三创建的⼀个文件,凭什么被你李四可以删掉?如何解决这个问题呢?可能会有人想着,那就删除共享目录针对other的写权限w,但是这样我们同时也无法在共享目录下创建文件,就是失去了共享的意义。
为了解决上面的问题,引出了一个新的权限位:粘滞位。 粘滞位的出现,避免了前面提到的互删这种不合理的操作。可以给共享目录针对other角色加上粘滞位权限。
chmod o+t 目录名:给共享目录的other加上粘滞位权限
任何用户在设置了粘滞位的目录下
- 自己只能删自己的文件,其他人无法删除
- root无视
- 粘滞位只能给目录设置,普通文件不能设置
t是一种特殊的x
最后其实系统在根目录下已将帮我们建了一个共享的目录:
如果这篇文章对你有帮助,记得点赞,评论+收藏 ,最后别忘了关注作者,作者将带领你探索更多关于Liunx方面的问题。
