Linux 权限管理涵盖 Shell 命令原理、用户体系及文件访问控制。主要内容包括超级用户与普通用户的区别,su 和 sudo 提权机制,以及 rwx 基本权限模型。通过 chmod、chown、chgrp 命令可调整所有者、所属组及其他用户的读写执行权限。umask 用于设定新建文件的默认掩码。目录权限中 x 决定进入能力,w 决定创建删除能力。粘滞位防止共享目录下非所有者误删文件。掌握这些规则是保障系统安全与资源规范访问的基础。
严格来说,Linux 的核心是内核(kernel),但普通用户无法直接与内核交互。Shell 是内核的'外壳'程序,作为命令行解释器(command Interpreter),主要承担两大任务:
类比 Windows 系统,我们操作 Windows 并非直接与内核交互,而是通过图形界面。在 Linux 中,Shell 有着相同的作用,它解析我们的指令并传递给内核,再将内核运行的结果解析后反馈给用户。
Shell 与 Bash/Sh 的关系:
指令的本质,是编译好的程序或脚本,它们会存放在系统的特定路径下。输入指令的过程,本质就是输入字符串。比如在 bash 命令行中输入 ls 这样的命令,其实就是输入了一串字符,而这串字符对应着系统中特定的程序或脚本。
Linux 下有两种用户:超级用户(root)、普通用户。
语法: su [用户名]
功能: 切换用户身份(获取目标用户的权限),但保留原用户核心环境变量(仅工作目录切换到目标用户家目录)。
事项:
su [普通用户] 无需密码,切换后获得目标普通用户的权限,工作目录到其家目录,但核心环境变量保留 root 配置。su 或 su root 需输入 root 密码,切换后获得 root 的最高权限,工作目录到 /root,但核心环境变量保留原普通用户配置。su [普通用户] 需输入目标用户密码,切换后获得该普通用户的权限,工作目录到其家目录,核心环境变量保留原用户配置。语法: su - [用户名]
功能: 切换用户身份(获取目标用户的权限),并加载其完整环境(环境变量、工作目录等,完全模拟目标用户登录)。
事项:
su - [普通用户] 无需密码,切换后获得目标普通用户的权限,进入其家目录,加载其完整环境变量。su - 或 su - root 需输入 root 密码,切换后获得 root 的最高权限,进入 /root 目录,加载 root 的完整环境变量。su - [普通用户] 需输入目标用户密码,切换后获得该普通用户的权限,进入其家目录,加载其完整环境变量。上述指令本质上属于 su 命令的范畴,其中 - 是 su 命令的一个功能性选项。
在 Linux 环境中,exit 命令或者按下 Ctrl + D 组合键,主要作用是退出当前的用户会话,可以理解为'返回'到上一级操作环境或者退出登录状态。
功能: 普通用户临时获取高权限执行特权操作,无需切换到 root 账号。
语法: sudo [需高权限的命令]
事项:
/etc/sudoers 文件中配置授权(列入可使用 sudo 的白名单)。root 用户和普通用户,都能当上面说的所有者、所属组用户或者其他用户里的任意一种。不同类型的用户会以这三种身份里的一种,去和文件的权限规则打交道。
目前主要学习目录文件和普通文件,别的只做了解。
注意: 连接数先不管,后续会学到。
文件名后缀: 在 Linux 系统下,文件名后缀没有直接意义,不代表不用。像 gcc 这样的特定软件,会通过后缀来判断文件是否是它能处理的类型(比如 gcc 认 .c 为 C 源文件)。所以虽然系统不强制,但为了让这些软件能正常工作,实际使用中还是会用符合软件预期的后缀。
权限是指是否允许主体(如用户)对对象(如文件)执行特定操作的规则,和主体身份、对象属性都有关。当然权限并不能限制 root 用户,root 用户拥有最高权限。
cd 命令进入该目录。字符表示:
| 符号 | 含义 | 符号 | 含义 |
|---|---|---|---|
| r-- | 只读 | -w- | 仅可写 |
| --x | 仅可执行 | rw- | 可读可写 |
| -wx | 可写和可执行 | r-x | 可读可执行 |
| rwx | 可读可写可执行 | --- | 无权限 |
8 进制数值表示:
| 符号 | 数值 | 二进制 |
|---|---|---|
| r | 4 | 100 |
| w | 2 | 010 |
| x | 1 | 001 |
| rw | 6 | 110 |
| rx | 5 | 101 |
| wx | 3 | 011 |
| rwx | 7 | 111 |
| --- | 0 | 000 |
二进制中三位分别对应读、写、执行权限,1 代表有对应权限(真)、0 代表无对应权限(假);八进制中每一位分别对应所有者、所属组、其他用户这三个身份。
功能: 设置文件的访问权限。
语法: chmod [参数] 权限 文件名
常用选项:
R:递归修改目录文件的权限。说明: 只有文件的拥有者和 root 才可以改变文件的权限。
权限值格式:
+:向权限范围增加权限代号所表示的权限。-:向权限范围取消权限代号所表示的权限。=:向权限范围赋予权限代号所表示的权限。用户符号:
u:拥有者。g:拥有者同组用户。o:其它用户。a:所有用户。演示:
chmod u+x test.c
给 test.c 文件的所有者添加执行权限。
chmod a=rwx test.c
将 test.c 文件的所有者、所属组、其他用户权限都设为可读、可写、可执行。
chmod 777 test.txt
把 test.txt 文件的所有者、所属组、其他用户权限都设为可读、可写、可执行。
功能: 修改文件的拥有者。
语法: chown [参数] 用户名 文件名
常用选项:
-R:递归修改目录及其下所有文件的拥有者。说明: 普通用户不能将文件随便给别人,一般通过 sudo 提权强制给别人文件。
演示: 普通用户不能将文件随便给别人,root 可以强制给。
功能: 修改文件或目录的所属组。
语法: chgrp [参数] 用户组名 文件名
常用选项:
-R:递归修改目录及其下所有文件、子目录的所属组。说明: 只有文件的所有者、root 才可以改变文件的所属组(普通用户需通过 sudo 提权后操作)。
【案例 1】:root 不受任何权限约束 对于 div 目录 root 属于其他人,其他人没任何权限,但是 root 可以进去 div 目录,代表他无视了执行权限的约束。
【案例 2】:文件的拥有者没有读写执行权限 在权限判断时,系统会优先检查是否为文件所有者,再依次判断所属组和其他用户;即便用户同时是所有者和所属组成员,也仅以所有者权限为准。若所有者自身没有读写执行权限,那么即便身为所有者,也无法对文件执行对应操作。
默认给普通文件的起始权限是 666,目录文件的起始权限是 777。 但是从实际情况得知,新创建的普通文件和目录文件相对应的权限分别是 664、775。 这里大家就会疑惑为啥不一样,这个时候就引进了权限掩码这个概念。
功能: 查看或修改文件权限掩码,影响新建文件和目录的默认权限。
格式: umask 权限值
说明: 将默认的存取权限减去 umask 设定的权限掩码后,得到文件或目录的预设权限。超级用户(root)默认掩码值为 0022(8 进制),普通用户默认为 0002(8 进制)。
新建文件默认最大权限为 0666,新建目录默认最大权限为 0777。但实际创建的文件和目录权限并非上述值,因为会受到 umask 影响。假设默认最大权限为 mask,则实际创建的文件权限为:mask & (~umask)(& 为按位与运算,~ 为按位取反运算)。
演示:
umask // 查看
umask 044 // 设置
计算示例: 普通用户默认 umask 是 0002(八进制),转换为二进制为 000 000 010。对该二进制进行按位取反操作,得到 111 111 101。 实际创建文件或目录时,会将文件默认最大权限(文件为 0666,目录为 0777)与取反后的 umask 值进行按位与运算,最终得到的结果就是新创建文件或目录的实际权限。
【问题】:如何通过修改默认权限掩码,让新创建的目录文件只有执行权限 那就是要去掉三种权限的前两个位置的权限,对应的二进制掩码是 110,八进制就是 6,删除 3 种身份的所有读写权限的八进制掩码就是 0666。
上面基本都是基于普通文件的权限进行介绍的,接下来讲解下目录文件的权限问题。
我们从这个新创建的 div 文件进行探讨,刚开始的权限是 111 111 101。
1. 去掉读权限 图中观察得知,没有查看 div 目录下文件的权限了,但是可以进入这个目录。
2. 去掉写权限 不能进行文件的创建、删除、移动。
3. 去掉可执行权限 不能进入目录。
Linux 目录权限中,可执行权限(x) 决定能否在目录下执行命令、进入目录(cd);若没有 x 权限,即便有读权限(r),也无法进入目录及执行相关操作。而若只有 x 权限但无 r 权限,虽能进入目录、执行命令(如 cd),但因缺乏读权限,无法读取目录下文件(如执行 ls 也无法列出文件)。
由于普通用户自己的家目录权限是 700,所以我在我的家目录下创建的文件,别人都看不到。 因此,我们所创建的共享文件,不能再任何一个人的家目录下。 那么我们想建立一个多用户共享的文件到底该在哪里创建呢? 我们可以在根目录下用 root 账号创建一个文件,并将所有权限打开,这样别的用户就可以进行任何操作了。
上述是两个普通用户,目前处在共享文件中。 我用第一个用户创建了一个文件,第二个用户也能看到。 我用 zyj 用户给文件写了点东西,因为 ljh 用户有读的权限,所以也能查看文件内容。 zyj 关掉了 ljh 的读权限,ljh 读不了文件了。 ljh 一气之下删掉了那个文件,是不是感觉有点奇怪,但是确实可以,因为共享目录的 w 权限其他人也拥有,自然也能删除该目录的子文件,那么我们该如何解决恶意删除问题呢? 有些人可能想去掉共享文件其他人的 w 权限,但是这样就不能创建文件了,那么共享文件自然就没有意义了,所以接下来将引入一个新的名词粘滞位。
当一个目录被设置为"粘滞位"(用 chmod +t),则该目录下的文件只能由以下人员删除:
这下 zyj 创建的文件 ljh 就不能删除了。
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online
将 Markdown(GFM)转为 HTML 片段,浏览器内 marked 解析;与 HTML转Markdown 互为补充。 在线工具,Markdown转HTML在线工具,online
将 HTML 片段转为 GitHub Flavored Markdown,支持标题、列表、链接、代码块与表格等;浏览器内处理,可链接预填。 在线工具,HTML转Markdown在线工具,online
通过删除不必要的空白来缩小和压缩JSON。 在线工具,JSON 压缩在线工具,online
将JSON字符串修饰为友好的可读格式。 在线工具,JSON美化和格式化在线工具,online