Linux虛擬機（CentOS5）學習筆記（六）之權限管理

九、Linux 的權限管理操作

Linux的權限操作與用戶、用戶組是兄弟操作。

一、權限概述

總述：Linux系統一般將文件可存/取訪問的身份分爲3個類別：owner、group、others，且3種身份各有read、write、execute等權限。

1、權限介紹

• 什麼是權限？
  在多用戶（可以不同時）計算機系統的管理中，權限是指某個特定的用戶具有特定的系統資源使用權力，像是文件夾、特定系統指令的使用或存儲量的限制。

• 在Linux中分別有讀、寫、執行權限：
  讀權限：
  對於文件夾來說，讀權限影響用戶是否能夠列出目錄結構對於文件來說，讀權限影響用戶是否可以查看文件內容

• 寫權限：
  對文件夾來說，寫權限影響用戶是否可以在文件夾下“創建/刪除/複製到/移動到”文檔
  對於文件來說，寫權限影響用戶是否可以編輯文件用

• 執行權限：
  一般都是對於文件來說，特別腳本文件。

2、身份介紹

Owner身份（文件所有者，默認爲文檔創建者）

由於Linux是多用戶、多任務的操作系統，因此可能常常有多人同時在某臺主機上工作，但每個人均可在主機上設置文件的權限，讓其成爲個人的“私密文件”，即個人所有者。因爲設置了適當的文件權限，除本人（文件所有者）之外的用戶無法查看文件內容。
例如某個MM給你發了一封Email情書，你將情書轉爲文件之後存檔在自己的主文件夾中。爲了不讓別人看到情書的內容，你就能利用所有者的身份去設置文件的適當權限，這樣，即使你的情敵想偷看你的情書內容也是做不到的。

Group身份（與文件所有者同組的用戶）

與文件所有者同組最有用的功能就體現在多個團隊在同一臺主機上開發資源的時候。例如主機上有A、B兩個團體，A中有a1，a2，a3三個成員，B中有b1，b2兩個成員，這兩個團體要共同完成一份報告F。由於設置了適當的權限，A、B團體中的成員都能互相修改對方的數據，但是團體C的成員則不能修改F的內容，甚至連查看的權限都沒有。同時，團體的成員也能設置自己的私密文件，讓團隊的其它成員也讀取不了文件數據。在Linux中，每個賬戶支持多個用戶組。如用戶al、b1即可屬於A用戶組，也能屬於B用戶組。【主組和附加組】

Others身份（其他人）

這個是個相對（相對於所有者）概念。打個比方，大明、二明、小明一家三兄弟住在一間房，房產證上的登記者是大明（owner），那麼，大明一家就是一個用戶組，這個組有大明、二明、小明三個成員；另外有個人叫張三，和他們三沒有關係，那麼這個張三就是其他人了。
同時，大明、二明、小明有各自的房間，三者雖然能自由進出各自的房間，但是小明不能讓大明看到自己的情書、日記等，這就是文件所有者（用戶）的意義。

Root用戶（超級用戶）

在Linux中，還有一個神一樣存在的用戶，這就是root用戶，因爲在所有用戶中它擁有最大的權限，所以管理着普通用戶。

3、Linux的權限介紹

要設置權限，就需要知道文件的一些基本屬性和權限的分配規則。在Linux中，ls命令常用來查看文件的屬性，用於顯示文件的文件名和相關屬性。

#ls -l 路徑      【ls -l等價於ll】

拯紅的部分就是Linux的文檔權限屬性信息。

Linux中存在用戶、用戶組和其他人概念，各自有不同的權限，對於一個文檔來說，其權限具體分配如下：

十位字符表示含義：

第1位：表示文檔類型，取值常見的有“d表示文件夾”、“-表示文件”、“l表示軟連接”、“s表示套接字“等等；
第2-4位：表示文檔所有者的權限情況，第2位表示讀權限的情況，取值有r、-；第3位表示寫權限的情況，w表示可寫，-表示不可寫，第4位表示執行權限的情況，取值有x、-。
第5-7位：表示與所有者同在一個阻的用戶的權限情況，第5位表示讀權限的情況，取值有r、-；第6位表示寫權限的情況，w表示可寫，-表示不可寫，第7位表示執行權限的情況，取值有x、-。
第8-10位：表示除了上面的前2部分的用戶之外的其他用戶的權限情況，第8位表示讀權限的情況，取值有r、-；第9位表示寫權限的情況，w表示可寫，-表示不可寫，第10位表示執行權限的情況，取值有x、-。

權限分配中，均是rwx的三個參數組合，且位置順序不會變化。沒有對應權限就用-代替。

例如：以下一個文檔權限是怎麼樣的？

a.基是文件夾類型
b.所有者：擁有全部權限（讀寫執行）
c.同組用戶：可讀、可執行
d.其他用戶：可讀、可執行

二、權限設置

語法：#chmod 選項權限模式文檔

注意事項：
常用選項：
-R：遞歸設置權限（當文檔類型爲文件夾的時候）
權限模式：就是該文檔需要設置的權限信息

文檔：可以是文件，也可以是文件夾，可以是相對路徑也可以是絕對路徑。
注意點：如果想要給文檔設置權限，操作者要麼是root用戶，要麼就是文檔的所有者。

1、字母形式

給誰設置：

u：表示所有者身份owner（user）
8：表示給所有者同組用戶設置（group）
o：表示others，給其他用戶設置權限a：表示all，給所有人（包含ugo部分）

設置權限如果在設置權限的時候不指定給誰設置，則默認給所有用戶設置

權限字符：

r：讀
w：寫
x：表示執行
-: 沒有權限

權限分配方式：

+：表示給具體的用戶新增權限（相對當前）
：表示刪除用戶的權限（相對當前）
=：表示將權限設置成具體的值（注重結果）

例如：需要給anaconda-ks.cfg.文件（-rw----）設置權限，要求所有者擁有全部的權限，同組用戶擁有讀和執行權限，其他用戶只讀權限

答案：

1. #chmod u+x,g+rx,o+r anaconda-ks.cfg

2. #chmod u=rwx,g=rx,o=r ahaconda-ks.cfg

例如：如果anaconda-ks.cfa文件什麼權限都沒有，可以使用root用戶設置所有人都有執行權限，則可以寫成

#chmod +x anaconda-ks.cfg
#chmod a=x anaconda-ks.cfg
#chmod a+x anaconda-ks.cfg

提示：當文擁有執行權限，則其顏色在終端是綠色。

2、數字形式

經常會在一些技術性的網頁上看到類似於#chmod 777a.txt這樣的一個權限，這種形式稱之爲數字形式權限（777）。

讀：r	4
寫：w	2
執行：x  1
沒有任何權限：0

例如：需要給anaconda-ks.cfg設置權限，權限要求所有者擁有全部權限，同組用戶擁有讀熱行權限，其他用戶只讀。

全部權限（u）：讀+寫+執行=4+2+1=7
讀和執行（g）：讀+執行=4+1=5
讀權限（o）：讀=4

由上得知權限爲：754
#chmod 754 anaconda-ks.cfg

面試題：用超級管理員設置文檔的權限命令是#chmod-R 731 aaa，請問這個命令有沒有什麼不合理的地方？

擁有者：7=4+2+1=讀+寫+執行
同組用戶：3=2+1=寫+執行
其他用戶：1=1=執行

注意：在寫權限的時候千萬不要設置類似於上面的這種“奇葩權限”(只能寫不能讀)。但凡出現2與3的數字，則該權限有不合理的情況。

3、注意事項

使用root用戶創建一個文件夾（/oo），權限默認，權限如下：

需要在oo目錄下創建文件（oo/xx.txt）,需要給777權限：

切換到test用戶（不是文檔所有者，也不是同組用戶，屬於other部分）：

問題1：test用戶是否可以打開oo/xx.txt文件？【能打開】
問題2：test用戶是否可以編輯 oo/xx.txt文件？【可以】
問題3：test用戶是否可以刪除oo/xx.txt文件？【不可以，同樣還不允許創建文件/文件夾、移動文件、重命名文件】

在Linux中，如果要刪除一個文件，不是看文件有沒有對應的權限，而是看文件所在的目錄是否有寫權限，如果有纔可以刪除

三、屬主與屬組設置

屬主：所屬的用戶（文件的主人）
屬組：所屬的用戶組

前面的那個root就是屬主
後面的那個root就是屬組

這兩項信息在文檔創建的時候會使用創建者的信息（用戶名、用戶所屬的主組名稱）

如果有時候去刪除某個用戶，則該用戶對應的文檔的屬主和屬組信息就需要去修改。

1、chown(重點)

作用：更改文檔的所屬用戶
語法：#chown -R username 文檔路徑

案例：將剛纔root用戶創建的oo目錄，所有者更改爲test
#chown test oo/

2、chgrp(瞭解)

作用：更改文檔的所屬用戶組
語法：#chgrp -R groupname 文檔的路徑

案例：將剛纔root用戶創建的oo目錄，所有者更改爲test，並且將所屬用戶組也改爲test
#chgrp test oo/

思考，如何通過一個命令實現既可以更改所屬的用戶，也可以修改所屬的用戶組呢？
答：可以實現的，通過chown命令語法：#chown -R username:groupname 文檔路徑

案例：要求只使用chown.指令，將oo目錄的所屬用戶和用戶組改回成root，並且包含其子目錄

四、擴展（1）

問題：reboot、shutdown、init、halt、user管理，在普通用戶身份上都是操作不了，但是有些特殊的情況下又需要有執行權限。又不可能讓root用戶把自己的密碼告訴普通用戶，這個問題該怎麼解決？

該問題是可以被解決的，可以使用sudo（switch user do）命令來進行權限設置。sudo可以讓管理員（root）事先定義某些特殊命令誰可以執行。

默認sudo中是沒有除root之外用戶的規則，要想使用則先配置sudo。
Sudo 配置文件：/etc/sudoers

a.配置sudo文件請使用“visudo”，打開之後其使用方法和vim一致

b.配置普通用戶的權限

Root: 表示用戶名，如果是用戶組，則可以寫成“%組名”

ALL：表示允許登錄的主機（地址白名單）

(ALL)：表示以誰的身份執行，ALL表示root身份

ALL：表示當前用戶可以執行的命令，多個命令可以使用“,”分割

案例：本身test用戶不能添加用戶，要求使用sudo配置，將其設置爲可以添加用戶，並且可以修改密碼（但是不能修改root用戶密碼）

**注意：**在寫sudo規則的時候不建議寫直接形式的命令，而是寫命令的完整路徑。路徑可以使用which命令來查看
語法：#which 指令名稱

在添加好對應的規則之後就可以切換用戶，切換到普通用戶test，再去執行：

#sudo 需要執行的指令

在輸入sudo指令之後需要輸入當前的用戶密碼進行確認的操作（不是root用戶密碼），輸入之後在接下來5分鐘內再次執行sudo指令不需要密碼。

特別注意：此處按照案例要求，不能讓test用戶修改root密碼，因此規則還需要調整，不然其可以修改root 密碼的：

禁止修改 root 密碼的配置：/usr/bin/passwd[A-Za-z]*，！/usr/bin/passwd root

補充：在普通用戶下怎麼查看自己具有哪些特殊權限呢？
#sudo -l

最後：sudo不是任何Linux分支都有的命令，常見centos與ubuntu都存在sudo命令。

---

先寫到這裏，其他筆記請查看後續博文~
筆記下載：
Linux學習筆記.md

知識來源：
Linux學習網站
CentOS6.5