Linux 系统权限全面解析

基本切换语法

su 用户名 # 切换到指定用户，保持当前工作目录
su - 用户名 # 切换到指定用户并重新加载环境（相当于登录）

2.3 sudo 命令：精准授权的提权方案

1. sudo 的核心概念

• 全称"superuser do"，允许普通用户以特权身份执行命令
• 基于白名单机制（/etc/sudoers）进行授权管理
• 避免直接使用 root 账户，提高系统安全性

2. 基本用法

sudo 命令 # 以 root 权限执行命令
sudo -u 用户 命令 # 以指定用户身份执行命令

3. 认证机制

• 首次执行 sudo 时，需输入当前用户密码（验证是否在 sudoers 白名单）
• 验证通过后，默认 15 分钟内无需再次输入密码
• 若用户不在白名单，需输入 root 密码才能执行

4. 白名单配置

# 以 root 身份编辑 sudoers 文件（推荐使用 visudo 以避免语法错误）
visudo

在文件中添加以下格式的授权规则：

用户名 主机名=(目标用户) 命令列表
# 示例：允许 user1 以 root 身份执行所有命令
user1 ALL=(ALL) ALL

三、文件权限的表示与管理

3.1 文件属性与权限标识

通过 ls -l 命令查看文件时，第一列字符包含了丰富的权限信息：

drwxr-xr-- 1 user1 dev 4096 Jun 1 10:00 documents
# ↑↑↑↑↑↑↑↑↑ 1 23456789

• 第 1 位：文件类型标识
  • -：普通文件
  • d：目录
  • l：符号链接
  • c：字符设备（如键盘、显示器）
  • b：块设备（如磁盘）
• 第 2-10 位：权限位，每 3 位一组
  • 2-4 位：拥有者权限
  • 5-7 位：所属组权限
  • 8-10 位：其他用户权限
• 权限位含义
  • r（读权限，4）：允许读取文件内容或列出目录条目
  • w（写权限，2）：允许修改文件内容或在目录中创建/删除文件
  • x（执行权限，1）：允许执行文件或进入目录
  • -：无对应权限

3.2 chmod 命令：权限修改的万能工具

1. 符号模式修改权限

chmod [u/g/o/a][+/-/=][rwx] 文件名

• u：拥有者（user）
• g：所属组（group）
• o：其他用户（other）
• a：所有用户（all）
• +：添加权限
• -：移除权限
• =：设置精确权限

示例：

chmod u+x script.sh # 为拥有者添加执行权限
chmod g-w,o-r file.txt # 移除所属组的写权限和其他用户的读权限
chmod a=rwx directory # 为所有用户设置读写执行权限

2. 八进制模式修改权限

将 rwx 转换为二进制，每 3 位对应一个八进制数：

• rwx = 111 = 7
• rw- = 110 = 6
• r-x = 101 = 5
• r-- = 100 = 4
• -wx = 011 = 3
• -w- = 010 = 2
• --x = 001 = 1
• --- = 000 = 0

示例：

chmod 755 script.sh # 拥有者 rwx，所属组 r-x，其他用户 r-x
chmod 644 config.txt # 拥有者 rw-，所属组 r--，其他用户 r--
chmod 700 private.sh # 仅拥有者有 rwx 权限，其他用户无任何权限

3. 权限修改的前提条件

• 只有文件的拥有者或 root 用户可以修改文件权限
• 目录的权限修改同样遵循此规则

3.3 chown 与 chgrp：拥有者与所属组管理

1. chown：修改文件拥有者

chown 新拥有者 文件名 # 单纯修改拥有者
chown 新拥有者：新所属组 文件名 # 同时修改拥有者和所属组
chown -R 拥有者 目录名 # 递归修改目录及其所有内容的拥有者

2. chgrp：修改文件所属组

chgrp 新所属组 文件名 # 修改所属组
chgrp -R 所属组 目录名 # 递归修改目录及其内容的所属组

3. 权限要求

• 执行 chown 和 chgrp 需要 root 权限
• 普通用户可通过 sudo 提权执行（需在 sudoers 白名单中）

四、目录权限的特殊含义

4.1 目录权限的实际影响

目录作为特殊的文件类型，其 r/w/x 权限具有不同于普通文件的含义：

1. 读权限（r）
   • 允许用户读取目录中的文件列表
   • 例如：使用 ls 命令查看目录内容
2. 写权限（w）
   • 允许用户在目录中创建新文件或子目录
   • 允许用户删除或重命名目录中的文件（即使文件不属于该用户）
3. 执行权限（x）
   • 允许用户进入目录（使用 cd 命令）
   • 允许用户访问目录中的文件（如读取或执行）

4.2 权限组合的实际场景

场景 1：仅允许查看目录内容

chmod 555 目录名 # r-x r-x r-x

• 用户可以 ls 查看目录内容，但无法 cd 进入，也无法创建/删除文件

场景 2：允许团队协作目录

chmod 775 目录名 # rwx rwx r-x

• 拥有者和所属组可以读写执行（创建、修改、删除文件）
• 其他用户可以查看和进入目录，但无法修改内容

场景 3：严格私有目录

chmod 700 目录名 # rwx --- ---

• 仅拥有者具有所有权限，其他用户无法访问

五、默认权限与 umask 机制

5.1 缺省权限的生成规则

当创建新文件或目录时，系统会根据'起始权限'和'权限掩码（umask）'计算最终的默认权限：

• 普通文件起始权限：666（rw-rw-rw-）
• 目录起始权限：777（rwxrwxrwx）
• 最终权限 = 起始权限 & （~umask），即起始权限减去 umask 指定的权限

5.2 umask 命令详解

1. 查看当前 umask

umask # 输出如 0002，其中第一位为特殊权限标志，后三位为权限掩码

2. 设置 umask

umask 0002 # 设置权限掩码（临时生效，重启后恢复）

3. 权限计算示例

• 场景：umask=0002
  • 普通文件最终权限：666 & ~0002 = 664（rw-rw-r–）
  • 目录最终权限：777 & ~0002 = 775（rwxrwxr-x）
• 场景：umask=022
  • 普通文件最终权限：666 & ~022 = 644（rw-r–r–）
  • 目录最终权限：777 & ~022 = 755（rwxr-xr-x）

5.3 umask 的配置与持久化

1. 临时修改（当前会话有效）

umask 0002 # 修改当前 shell 的 umask

2. 永久修改（针对所有用户）

vim /etc/profile # 在文件末尾添加 umask 0002
source /etc/profile # 使修改立即生效

3. 针对特定用户修改

vim ~/.bashrc # 在用户配置文件中添加 umask 设置
source ~/.bashrc # 使修改立即生效

六、权限管理最佳实践

6.1 安全原则

1. 最小权限原则：只给用户分配完成任务所需的最低权限
2. 避免直接使用 root：通过 sudo 进行精确授权
3. 定期审查权限：检查系统中是否有过度授权的用户或文件

6.2 常见场景处理

1. 软件安装权限

• 安装到系统目录（如 /usr/local）需要 sudo 权限
• 说明：这些目录属于系统范围，安装的软件应为所有用户可用

2. 团队协作目录设置

1. 创建共享组：groupadd devteam
2. 将团队成员加入组：usermod -aG devteam user1
3. 设置目录所属组：chgrp devteam shared_dir
4. 配置权限：chmod 775 shared_dir

3. 安全的用户目录

• 用户家目录应设置为 700 权限（rwx— —）
• 避免其他用户访问和修改个人文件

6.3 权限故障排除

1. 无法访问文件：检查是否为文件拥有者，或属于文件所属组
2. 无法执行文件：确保文件有 x 权限，且所在目录有 x 权限
3. 无法删除文件：检查文件所在目录是否有 w 权限
4. sudo 权限问题：确认用户是否在 sudoers 白名单中，可通过 visudo 检查配置

通过深入理解 Linux 权限体系，系统管理员可以构建安全、灵活的访问控制机制，而普通用户也能更好地理解自己的操作权限边界，从而更安全高效地使用 Linux 系统。