权限的理解

Posted 2023-03-30 异样旧日

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了权限的理解相关的知识，希望对你有一定的参考价值。

一.shell外壳程序

在Linux系统，用户通过指令操作，来进行使用和操作计算机。

指令操作并不是直接对Linux内核(kernel)系统进行的，而是和系统提供的外壳程序进行的交互。

用户不直接对操作系统进行操作，主要还是因为：1.学习成本太高 2.操作失误可能导致计算机瘫痪

外壳程序：是用户和操作系统交互间的软件层，在一定程度可以起到保护操作系统的作用

a. 将使用者的命令翻译给核心(kernel)处理

b.同时，将核心的处理结果翻译给使用者。

Linux常见的外壳程序有：bash 、csh 、tcsh 等，但是大多数Linux系统默认的是Bash

echo $0可以查看外壳程序。

bash作为可执行程序，是一个死循环，循环输出[ ]$ ，然后接收用户的输入。

二.用户

1.Linux的用户

root:

超级用户，可以在Linux系统下做任何事情，基本不受限制。类似于管理员的身份
普通用户：

可以有多个，并且受到权限的约束

2. 用户切换

命令：su [用户名]

root用户的命令提示符为#

普通用户的命令提示符为$

输入logout、exit 或按快捷键ctrl+d，可以退出登陆

三.权限

1.概念

linux下一切皆文件，不同的用户对于文件的操作权限也不同。对文件基本属性设置，来限制不同用户对于该文件可执行的操作就是权限管理。

2. 用户划分

所有者(owner)： 该文件属于哪个用户
所属组(group)： 该文件属于哪个组，对于该组的所有用户
其他(other)： 不属于上述两种的其他用户

3. 文件属性

使用ll或者ls -l可以显示文件的属性

进入目录，是需要其x(可执行)权限。

文件属性：

d：表示目录

-：表示普通文件

l：表示连接文档

……

权限：

以三个为一组，且均为rwx的参数组合，

如果没有某项权限，则用-表示

r：表示可读(read)

w：表示可写(write)

x：表示可执行(execute)

四.其他

1. linux系统不以文件后缀来区分文件类型

后缀可以给用户来进行标识、某些软件需要识别后缀(比如：gcc编译器，会识别后缀.c文件)

2. sudo

sudo：将操作以root权限执行

如果普通用户想执行sudo，需要该用户在信任列表中才行。

即需要以root的身份，在/etc/sudoers文件中进行写入

写入：用户名字符串 ALL=(ALL) ALL

语法：sudo 命令

当执行sudo ls /root | grep test.txt会出现Permission denied的报错

tips：sudo与重定向

3. root不受权限约束

示例：（如下图）对于所有者、所属组和其他都没有读、写、执行权限的hello.c文件

五.权限管理

文件的所有者有修改权限的权利

1. 修改所有者或所属组

修改文件的所有者或所属组需要root的权限

切换到root超级用户下进行操作

使用命令：sudo + 命令，表示命令是在root权限下执行的

chgrp：更改文件所属组

语法：chgrp [-R] 所属组名文件名

-R：递归更改所属组如果是更改目录时，对该目录下所有文件都执行该操作

chown：更改文件拥有者，也可同时更改所属组

语法：chown [-R] 所有者名文件名或``chown [-R] 所有者名:所组组名文件名`

2. 修改rwx权限

文件的基本权限属性有9个，分别是user/group/other三种身份各自的rwx权限

chomd：修改文件9个权限

语法：chomd [-R] 权限文件名

符号类型改变权限

a:全部 u:所有者 g:所属组 o:其他

+:增加 -:除去 =:设置

r:读 w:写 x:执行

八进制修改

权限符号 2进制八进制
rwx 111 7
rx- 110 6
r– 100 5
……
rwx rw- r– 111 110 100 765
r-- r-- r– 100 100 100 444

权限符号	2进制	八进制
rwx	111	7
rx-	110	6
r–	100	5
……
rwx rw- r–	111 110 100	765
r-- r-- r–	100 100 100	444

3. 系统默认权限

可以发现，我们自己创建的文件，系统会帮我们生成9个权限属性，那么系统是如何做到的呢？

新建目录的默认权限：777 (rwx rwx rwx)
新建普通文件的默认权限：666 (rw- rw- rw-，去除可执行权限)
权限掩码umask：用来限定新建文件的权限默认值(和chmod相反)

umask命令：查看/修改目前用户的权限掩码

权限掩码：0002。第1位表示特殊权限，后3位对应u g o。

生成的权限=默认权限 - umask

( 位运算：默认权限 & (~umask) ）

根据权限掩码：002

生成目录的权限：777（rwx rwx rwx） - 002（— — -w-） = 775（rwx rwx r-x）

生成普通文件：666（rw- rw- rw-）- 002（— — -w-） = 664（rw- rw- r–）

设置权限掩码

语法：umak 0xxx

4. 粘滞位

对于目录权限：

r：可读（如 ll Dir/，读取Dir文件的文件信息）

w：可写 (如 touch Dir/file，在目录下创建一个文件)

x：可执行（如cd Dir/，进入目录）

因此对于对文件的删除操作，需要的是文件所在目录对该用户的w权限

因此可能会遇到如下场景：

对于多个用户共同使用的项目目录下，每个用户有该目录的w权限(可以创建文件)，但是同样也可以随意删除目录下文件或空目录（非空目录则又需要其目录的w权限)。

粘滞位：只能对目录设置。设置后，在该目录中，只有文件的所有者(和root)才可以删除或移动文件。

在Linux系统中的临时文件/tmp，其权限rwxrwxrwt，许所有用户在目录中创建文件。其末尾的t符号表示粘滞位：允许各用户在目录中创建、删除直接的文件，但是禁止删除其他用户的数据。

粘滞位权限是针对其他用户(other)设置的

🦀🦀观看~

PostgreSQL角色和权限理解

1.继承的权限只是继承该组的表的权限，用户对应的管理员权限则不会被继承。

2.inherit权限是说本角色是否继承别人的权限，而不是本权限能否被别的角色继承。

postgres=# create role test0 createdb createrole  login;
CREATE ROLE
postgres=# \\du
                                   List of roles
 Role name |                         Attributes                         | Member of
-----------+------------------------------------------------------------+-----------
 postgres  | Superuser, Create role, Create DB, Replication, Bypass RLS | {}
 test0     | Create role, Create DB                                     | {}
 test_role |                                                            | {}

postgres=# \\du+
                                          List of roles
 Role name |                         Attributes                         | Member of | Description
-----------+------------------------------------------------------------+-----------+-------------
 postgres  | Superuser, Create role, Create DB, Replication, Bypass RLS | {}        |
 test0     | Create role, Create DB                                     | {}        |
 test_role |                                                            | {}        |

postgres=# create role test1 inherit;
CREATE ROLE
postgres=# grant test0 to test1;
GRANT ROLE
postgres=# \\du
                                   List of roles
 Role name |                         Attributes                         | Member of
-----------+------------------------------------------------------------+-----------
 postgres  | Superuser, Create role, Create DB, Replication, Bypass RLS | {}
 test0     | Create role, Create DB                                     | {}
 test1     | Cannot login                                               | {test0}
 test_role |                                                            | {}

postgres=# set role test0;
SET
postgres=> create table test0(id int);
CREATE TABLE
postgres=> set role test1;
SET
postgres=> insert into test0 select 1;
INSERT 0 1
postgres=> set role test0;
SET
postgres=> set role postgres
postgres-> ;
SET
postgres=# create role test2 login;
CREATE ROLE
postgres=# set role test2;
SET
postgres=> insert into test0 select 1;
ERROR:  permission denied for relation test0
postgres=> \\d

转自：https://www.cnblogs.com/baisha/p/8082783.html

PostgreSQL是通过角色来管理数据库访问权限的，我们可以将一个角色看成是一个数据库用户，或者一组数据库用户。角色可以拥有数据库对象，如表、索引，也可以把这些对象上的权限赋予其它角色，以控制哪些用户对哪些对象拥有哪些权限。

一、数据库角色：

1. 创建角色：

CREATE ROLE role_name;

2. 删除角色：

DROP ROLE role_name;

3. 查询角色：

检查系统表pg_role，如：

SELECT usename FROM pg_role;

也可以在psql中执行\\du命令列出所有角色。

二、角色属性：

一个数据库角色可以有一系列属性，这些属性定义他的权限，以及与客户认证系统的交互。

1. 登录权限：

只有具有LOGIN属性的角色才可以用于数据库连接，因此我们可以将具有该属性的角色视为登录用户，创建方法有如下两种：

CREATE ROLE name LOGIN PASSWORD \'123456‘;

CREATE USER name PASSWORD \'123456\';

2. 超级用户：

数据库的超级用户拥有该数据库的所有权限，为了安全起见，我们最好使用非超级用户完成我们的正常工作。和创建普通用户不同，创建超级用户必须是以超级用户的身份执行以下命令：

CREATE ROLE name SUPERUSER;

3. 创建数据库：

角色要想创建数据库，必须明确赋予创建数据库的属性，见如下命令：

CREATE ROLE name CREATEDB;

4. 创建角色：

一个角色要想创建更多角色，必须明确给予创建角色的属性，见如下命令：

CREATE ROLE name CREATEROLE;

三、权限：

数据库对象在被创建时都会被赋予一个所有者，通常而言，所有者就是执行对象创建语句的角色。对于大多数类型的对象，其初始状态是只有所有者(或超级用户)可以对该对象做任何事情。如果要允许其它用户可以使用该对象，必须赋予适当的权限。PostgreSQL中预定义了许多不同类型的内置权限，如：SELECT、INSERT、UPDATE、DELETE、RULE、REFERENCES、TRIGGER、CREATE、TEMPORARY、EXECUTE和USAGE。

我们可以使用GRANT命令来赋予权限，如：

GRANT UPDATE ON accounts TO joe;

对于上面的命令，其含义为将accounts表的update权限赋予joe角色。此外，我们也可以用特殊的名字PUBLIC把对象的权限赋予系统中的所有角色。在权限声明的位置上写ALL，表示把适用于该对象的所有权限都赋予目标角色。

要撤销权限，使用合适的REVOKE命令：

REVOKE ALL ON accounts FROM PUBLIC;

其含义为：对所有角色(PUBLIC)撤销在accounts对象上的所有权限(ALL)。

四、角色成员：

在系统的用户管理中，通常会把多个用户赋予一个组，这样在设置权限时只需给该组设置即可，撤销权限时也是从该组撤消。在PostgreSQL中，首先需要创建一个代表组的角色，之后再将该角色的membership权限赋给独立的用户角色即可。

1. 创建一个组角色，通常而言，该角色不应该具有LOGIN属性，如：

CREATE ROLE name;

2. 使用GRANT和REVOKE命令添加和撤消权限：

GRANT group_role TO role1, ... ;

REVOKE group_role FROM role1, ... ;

　一个角色成员可以通过两种方法使用组角色的权限，如：

1. 每个组成员都可以用SET ROLE命令将自己临时"变成"该组成员，此后再创建的任何对象的所有者将属于该组，而不是原有的登录用户。

2. 拥有INHERIT属性的角色成员自动继承它们所属角色的权限。

见如下示例：

CREATE ROLE joe LOGIN INHERIT; --INHERIT是缺省属性。

CREATE ROLE admin NOINHERIT;

CREATE ROLE wheel NOINHERIT;

GRANT admin TO joe;

GRANT wheel TO admin;

现在我们以角色joe的身份与数据库建立连接，那么该数据库会话将同时拥有角色joe和角色admin的权限，这是因为joe"继承(INHERIT)"了admin的权限。然而与此不同的是，赋予wheel角色的权限在该会话中将不可用，因为joe角色只是wheel角色的一个间接成员，它是通过admin角色间接传递过来的，而admin角色却含有NOINHERIT属性，这样wheel角色的权限将无法被joe继承。

　这样wheel角色的权限将无法被joe继承。此时，我们可以在该会话中执行下面的命令:

SET ROLE admin;

在执行之后，该会话将只拥有admin角色的权限，而不再包括赋予joe角色的权限。同样，在执行下面的命令之后，该会话只能使用赋予wheel的权限。

SET ROLE wheel;

在执行一段时间之后，如果仍然希望将该会话恢复为原有权限，可以使用下列恢复方式之一：

SET ROLE joe;

SET ROLE NONE;

RESET ROLE;

注意: SET ROLE命令总是允许选取当前登录角色的直接或间接组角色。因此，在变为wheel之前没必要先变成admin。

角色属性LOGIN、SUPERUSER和CREATEROLE被视为特殊权限，它们不会像其它数据库对象的普通权限那样被继承。如果需要，必须在调用SET ROLE时显示指定拥有该属性的角色。比如，我们也可以给admin角色赋予CREATEDB和CREATEROLE权限，然后再以joe的角色连接数据库，此时该会话不会立即拥有这些特殊权限，只有当执行SET ROLE admin命令之后当前会话才具有这些权限。

要删除一个组角色，执行DROP ROLE group_role命令即可。然而在删除该组角色之后，它与其成员角色之间的关系将被立即撤销(成员角色本身不会受影响)。不过需要注意的是，在删除之前，任何属于该组角色的对象都必须先被删除或者将对象的所有者赋予其它角色，与此同时，任何赋予该组角色的权限也都必须被撤消。

以上是关于权限的理解的主要内容，如果未能解决你的问题，请参考以下文章

linux基础-常见指令及权限理解

＜ Linux入门＞ shell运行原理及Linux权限的理解