Linux 权限管理核心概念与实践

1.2 权限访问者的三类人

• 文件和文件目录的所有者：u --- User
• 文件和文件目录的所有者所在的组的用户：g --- Group
• 其它用户：o --- Others

示例：

drwxr-xr-x 2 root root 4096 Dec 11 10:15 dir

如上面的代码，第一个 root 就是所有者 (user)，第二个 root 就是所属组，不是前面两个 (未匹配上) 就是 others。

1.3 文件的类型和基本权限

文件类型

• d：文件夹
• -：普通文件
• l：软链接（类似 Windows 的快捷方式）
• b：块设备文件（例如硬盘、光驱等）
• p：管道文件
• c：字符设备文件（例如屏幕等串口设备）
• s：套接口文件

基本权限

• 读 r (read)：对文件而言，具有读取文件内容的权限；对目录来说，具有浏览该目录信息的权限。
• 写 w (write)：对文件而言，具有修改文件内容的权限；对目录来说具有删除移动目录内文件的权限。
• 执行 x (execute)：对文件而言，具有执行文件的权限；对目录来说，具有进入目录的权限。
• -：代表没有该权限。

示例：

-rw-r--r-- 1 root root 20901 Dec 10 21:21 temp.txt

读写执行的顺序：

• 上面代码用户是 root，对应权限：rw-，即有读写的权限。
• 所属者是 root，对应权限是 r--，即只有读的权限。
• 其他是除了 root，对应权限 r--，只有读。

如，使用其他身份进行写入失败：

lisi@hcss-ecs-1cde:/root$ echo 'qqq' > temp.txt
bash: temp.txt: Permission denied

二、Linux 的两种权限表达方式：字符与 8 进制表达式

2.1 字符表达式

精确每个权限。

格式：chmod [访问者][±=][权限] 文件名，其中：

• +：增加权限，-：删除权限，=：强制设置权限；
• 访问者：u（所有者）、g（所属组）、o（其他用户）、a（所有用户）。

以下面为例：

-rw-r--r-- 1 root root 0 Dec 9 22:50 text.txt

• 给 text.txt 的用户删除 w 写的权限。
• 给 text.txt 的用户加 w 写，所属组加 w 写权限。

2.2 8 进制表达式

一次设置好所有。

格式：chmod 数字权限 文件名。

我们发现，上面每个组对应的每个权限都是二态的，不是有就是无，那不就是二进制中的 1/0 吗，三个组成一组，范围为 0~7，所以使用 8 进制表示。

依旧以为例：

-rw-r--r-- 1 root root 0 Dec 9 22:50 text.txt

• 设置所有角色都有读写执行权限。
• 设置用户有读写执行权限，所属组有读写权限，其他人只有读权限。

三、权限从理论到实践 (实践论)

3.1 修改权限：chmod

功能：设置文件的访问权限。 格式：chmod [参数] 权限 文件名。 常用选项：

• R -> 递归修改子目录及文件的权限。
• 说明：只有文件的拥有者和 root 才可以改变文件的权限。

示例：

• 将 text.txt 的所有用户都有读写执行权限。
• 递归设置 dir 目录及其文件为 777 (三种角色都可以读写执行)，并使用 tree -p 查看权限。

3.2 chown 和 chgrp：修改拥有者和所属组

chown (root 或者文件用户组) 功能：修改文件的拥有者。 格式：chown [参数] 用户名 文件名。

chgrp (root 或者文件用户组) 功能：修改文件或目录的所属组。 格式：chgrp [参数] 用户组名 文件名。 常用选项：

• R 递归修改文件或目录的所属组。

chmod 是自己修改用户组、所属组、其他对自己的访问权限，chown 与 chgrp 是修改自己用户组、所属组和其他是什么。

示例：

# 1. root 将 hello.txt 的所有者改为 zpw（普通用户无此权限）
[root@bite-alicloud ~]$ chown zpw hello.txt
[root@bite-alicloud ~]$ ls -l hello.txt
-rw------- 1 zpw whb 29 Oct 22 20:56 hello.txt
# 所有者从 whb 变为 zpw

# 2. 普通用户 whb 直接修改（无 sudo，导致权限不足，报错）
[whb@bite-alicloud ~]$ chown whb hello.txt
chown: changing ownership of 'hello.txt': Operation not permitted

# 3. 普通用户 whb 用 sudo 修改 hello.txt 的所有者为 litao（需输入 whb 自己的密码，且 whb 已在 sudoers 配置中）
[whb@bite-alicloud ~]$ sudo chown litao hello.txt
[sudo] password for whb:
# 输入 whb 的密码
[whb@bite-alicloud ~]$ ls -l hello.txt
-rw------- 1 litao zhangsan 29 Oct 22 20:56 hello.txt
# 所有者从 zpw 变为 litao

# 4. 修改 hello.txt 的所属组为 zhangsan（需 root 或所有者）
[root@bite-alicloud ~]$ chgrp zhangsan hello.txt
[root@bite-alicloud ~]$ ls -l hello.txt
-rw------- 1 zpw zhangsan 29 Oct 22 20:56 hello.txt
# 所属组从 whb 变为 zhangsan

# 5. 假设 whb 是 hello.txt 的所有者，且属于 zhangsan 组（主组或附加组）
[whb@bite-alicloud ~]$ chgrp zhangsan hello.txt
[whb@bite-alicloud ~]$ ls -l hello.txt
-rw-rw-r-- 1 whb zhangsan 29 Oct 22 20:56 hello.txt
# 所属组从原组变为 zhangsan

# 6. 普通用户 whb(此时他不是文件的所有者，且目标组不在自身组列表中) 用 sudo 修改 hello.txt 的所属组为 whb 组
[whb@bite-alicloud ~]$ sudo chgrp whb hello.txt
[whb@bite-alicloud ~]$ ls -l hello.txt
-rw------- 1 litao whb 29 Oct 22 20:56 hello.txt
# 所属组从 zhangsan 变为 whb

other 并不需要单独修改，因为 chown 与 chgrp 进行了修改了，other 也会跟着修改。

删除目录里的文件，不需要有文件的写权限，只需要有目录的写权限 (非 root) 即可。

file 指令

功能说明：辨识文件类型。 语法：file [选项] 文件或目录... 常用选项：

• -c：详细显示指令执行过程，便于排错或分析程序执行的情形。
• -z：尝试去解读压缩文件的内容。

sudo 分配权限

1. 修改 /etc/sudoers 文件分配文件。 格式：接受权限的用户登陆的主机 =（执行命令的用户）命令
2. 使用 sudo 调用授权的命令。

总结

掌握 root 与普通用户的关系与权限，以及修改权限和修改角色的指令，使项目开发可以灵活进行。通过合理配置 chmod、chown、chgrp 等命令，可以有效保障系统安全，实现精细化的权限控制。