Linux权限

Linux权限的概念

什么叫做权限呢？

那么我们能不能从生活中找一些例子，一些熟悉的场景呢？比如说,你是一个腾讯视频网站所对应的一个普通用户，想看vip的电影，就是看不了，你要是vip,你就能看，你不是vip你就看不了。再比如说，你是个学生，在自习期间你不想在教室上晚自习，你想去老师办公室上晚自习，可不可以呢？这是不被允许的。所以权限，我们可以理解为：一件事情是否允许被你做。

权限是跟我们对应人的角色有关。现实生活中我们所约束的是对应的角色，还有就是要有相对应得事务属性，比如校长办公室是给来办公的，而你想要去校长办公室去吃饭，那当然是不合理的，校长办公室不是餐厅，没有给其他角色吃饭这个事务属性。

Linux下有两种用户：

一种是root(超级管理员)：可以在linux系统下做任何事情，不受任何权限限制。

另一种是普通用户：受权限约束的一批用户。

其实在windows系统里面我们也有这种类似的权限的概念，我们平常进行一些操作的时候，打开一些文件其实也是受权限约束的，当然我们也有提升权限的操作

像这里就有一个以管理员身份运行，以此来提升权限。

那么在我们的linux系统下是可以进行用户切换的。下面我们来看看这个操作是怎么做的。

普通用户切root超管命令：

su  

Password: 这里输入root对应的密码

如果我们当前用户是普通用户账号想要切换成root账号的话，我们可以通过使用su [root] (root可以省略)命令，然后回车，会让我们输入密码，密码是root账号的密码，当我们输入正确的时候他就会如上图所示。

注意到一个细节会发现，原本普通用户的命令提示符是'$',切成root超级管理员之后,命令提示符变成了 '#'。

还有一条命令也可以切换到root用户

su -

那么这里su 命令和su - 命令有什么区别呢？

区别就是：su : 单纯的账号切换

                 su - : 让root账号重新登陆

如果我们又想切回普通用户，那么我们需要输入命令 su user(这个是普通用户的用户名，因为我目前使用的是腾讯的云服务器，所以一台机器可能有多个普通用户的账号，所以需要确定切换成哪个普通用户)。

root用户切普通用户命令：

su user

此时我们就切换到了普通用户

当然，如果你一开始就是从普通用户切换到的超级管理员root账号，也可以通过ctrl +d直接退出就会直接回到普通账号了。

有的时候呢，我们有可能仅仅只是想要借助一下权限对几条指令进行提权，并不需要切换账号这么麻烦，而且不可能一个root账号的密码人人都知道，谁能保证群众中没有坏人呢，对吧。所以我们就可以通过sudo命令对一些指令进行提权。

下面我们对sudo进行一定的了解

1.在linux中，sudo全称“super user do”，意思为“干超级用户才能干的事”，是一个系统权限管理命令，可以让非root的用户运行只有root才有权限执行的命令，语法“sudo [选项] [-u 新使用者账号] 要执行的命令”。

2.相对于使用 su 命令还需要新切换用户的密码，sudo 命令的运行只需要知道自己的密码即可，甚至于，我们可以通过手动修改 sudo 的配置文件，使其无需任何密码即可运行。

是不是每一个新创建的用户都可以使用sudo提升命令的权限呢？如果不是那么哪些用户可以使用此命令呢？

1.要想使一个用户具有使用sudo的能力，需要让root用户将其名字、可以执行的特定命令、按照哪种用户或用户组的身份执行等信息注册到/etc/sudoers文件中，即完成对该用户的授权（此时该用户称为“sudoer”）才可以。

2.当一般用户执行特殊权限时，在命令前加上 sudo，此时系统会让你输入密码以确认终端机前操作的是你本人，确认后系统会将该命令的进程以超级用户的权限运行。

3.在一定的时间段内，再次执行sudo的命令时不再询问密码，超出此时间段（一般为5分钟）后需要再次输入密码。

Linux权限管理

linux中的权限是伴生文件的！我们上面举的例子说到了跟权限有关的是角色和属性，linux的文件也有相对于的角色和文件属性。文件属性有r(读)，w(写),x(可执行)。角色所对应的有：拥有者，所属组，other。

上面我们介绍的普通用户和root用户都是用来承担这三种角色的，每个用户对所对应的一个文件，有一个自己对应的角色。

这里所谓的所属组是什么意思呢？

其实就像我们平常在学校里面有一些课程需要我们分组进行完成，学习小组啊这些，都会选一个组长出来进行管理，这是我们生活中的例子。

特殊情况：一个组可以只有一个人；

                一个组内可以有很多人，用组长的名字来对组进行命名；

为什么要有所属组？

文件的所有者可以拥有文件的完全控制权限，但是有时候我们需要将文件的某些权限授予其他用户，而不需要授予文件所有者。这时候，我们可以将文件的所有者设置为某个组，然后将该组的成员添加到该组中，这样该组的成员就可以拥有该文件的某些权限。

例如，假设我们有一个名为"mygroup"的组，我们需要将一个文件的某些权限授予该组的成员。我们可以将该文件的所属组设置为"mygroup"，然后将该组的成员添加到该组中，这样该组的成员就可以访问该文件，并且拥有与文件所有者相同的权限。

这种机制可以让我们在不授予文件所有者权限的情况下，授予其他用户一些权限，同时保持文件的安全性和稳定性。 

前面我们都说了有这三种角色，拥有者和所属组都有了，那么为什么我们没有看到other呢？

其实，没必要在文件中去显示other,因为我们的文件除了拥有者和所属组以外的其他人就是other.

这里的第一列的第一个字符是表示什么意思呢？

第一列第一个字符表示的是文件类型，是用来区分文件类型的。

-：源代码，可执行程序，库等。

d:目录文件

c:字符设备文件

b:块设备文件

l:链接文件

p:管道文件

在我们的windows中，区分文件是通过文件的后缀来区分的，而linux区分文件类型与文件后缀无关

，与文件后缀无关并不代表我们不用文件后缀。

linux区分文件类型与后缀无关，那和什么有关呢？

与文件是否具有可执行权限有关。

既然文件后缀与文件类型无关，那文件后缀有什么意义呢？

那么如果我们要修改权限该如何修改呢？

i.读（r/4）：Read对文件而言，具有读取文件内容的权限；对目录来说，具有浏览该目录信息的权限
ii.写（w/2）：Write对文件而言，具有修改文件内容的权限；对目录来说具有删除移动目录内文件的权限
iii.执行（x/1）：execute对文件而言，具有执行文件的权限；对目录来说，具有进入目录的权限
iv.“—”表示不具有该项权限

假设我想给一个test.txt文件的other加上w权限

通过使用命令

chmod o+w test.txt

我们发现test.txt文件的other权限变成了rw-
文件权限值的表示方法

 

文件访问权限的相关设置方法

a)chmod

功能：设置文件的访问权限
格式：chmod [参数] 权限 文件名
常用选项：
R -> 递归修改目录文件的权限
说明：只有文件的拥有者和root才可以改变文件的权限
chmod命令权限值的格式
① 用户表示符+/-=权限字符
+:向权限范围增加权限代号所表示的权限
-:向权限范围取消权限代号所表示的权限
=:向权限范围赋予权限代号所表示的权限
用户符号： 
u：拥有者
g：拥有者同组用
o：其它用户
a：所有用户

实例：

# chmod u+w test.txt
# chmod o-x test.txt

②三位8进制数字

实例:

# chmod 660 test.txt
# chmod 520 test.txt

b)chown

功能：修改文件的拥有者
格式：chown [参数] 用户名 文件名
实例：

# chown user1 f1
# chown -R user1 filegroup1

c)chgrp

功能：修改文件或目录的所属组
格式：chgrp [参数] 用户组名 文件名
常用选项：-R 递归修改文件或目录的所属组
实例：

chgrp users /abc/f2

d)umask

功能：
查看或修改文件掩码
新建文件夹默认权限=0666
新建目录默认权限=0777
但实际上你所创建的文件和目录，看到的权限往往不是上面这个值。原因就是创建文件或目录的时候还要受到umask的影响。假设默认权限是mask，则实际创建的出来的文件权限是: mask & ~umask
格式：umask 权限值
说明：将现有的存取权限减去权限掩码后，即可产生建立文件时预设权限。超级用户默认掩码值为0022，普通用
户默认为0002。

实例：

# umask 755
# umask //查看
# umask 044//设置

file指令：
功能说明：辨识文件类型。
语法：file [选项] 文件或目录...
常用选项：
-c 详细显示指令执行过程，便于排错或分析程序执行的情形。
-z 尝试去解读压缩文件的内容。

目录的权限

可执行权限: 如果目录没有可执行权限, 则无法cd到目录中

可读权限: 如果目录没有可读权限, 则无法用ls等命令查看目录中的文件内容.
可写权限: 如果目录没有可写权限, 则无法在目录中创建文件, 也无法在目录中删除文件.

于是, 问题来了~~
换句话来讲, 就是只要用户具有目录的写权限, 用户就可以删除目录中的文件, 而不论这个用户是否有这个文件的写权限.
这好像不太科学啊, 我张三创建的一个文件, 凭什么被你李四可以删掉? 

为了解决这个不科学的问题, Linux引入了粘滞位的概念

粘滞位

当一个目录被设置为"粘滞位"(用chmod +t),则该目录下的文件只能由

一、超级管理员删除
二、该目录的所有者删除
三、该文件的所有者删除

Linux权限总结

目录的可执行权限是表示你可否在目录下执行命令。
如果目录没有-x权限，则无法对目录执行任何命令，甚至无法cd 进入目, 即使目录仍然有-r 读权限（这个地方很容易犯错，认为有读权限就可以进入目录读取目录下的文件）
而如果目录具有-x权限，但没有-r权限，则用户可以执行命令，可以cd进入目录。但由于没有目录的读权限，所以在目录下，即使可以执行ls命令，但仍然没有权限读出目录下的文档