Linux--权限
Posted includeevey
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Linux--权限相关的知识,希望对你有一定的参考价值。
前言:
“权限”这一词并不陌生,在我们日常生活中经常会有权限的设定。比如我们一个学校,老师有讲课的权限,而且学生有听课的权限,学校的食堂阿姨他们是没有这些权限的。我们感觉一个学校校长好像什么权限都有。这里的校长就相当于整个学校系统的超级用户(root)。其他人则是普通用户。
在Linux操作系统中,root就是超级用户,权限非常大,想干什么就干什么的。当我们工作的时候也就注定不可能使用root 账号来进行编写,所以员工就会使用普通用户,如果使用root账号给随便员工万一删库跑路了,公司不就被"我"这样天天摸鱼,还对公司来的业绩说毫无影响的人,把公司的数据删了--用户的数据对于公司来说是非常重要的,现在就能够想到领导者生气的画面了。但是这个事情操作系统肯定是不能让它发生的。
目录
Linux权限的概念
Linux下有两种用户:超级用户(root)、普通用户。
超级用户:可以再linux系统下做任何事情,不受限制
普通用户:在linux下做有限的事情。
超级用户的命令提示符是“#”,普通用户的命令提示符是“$”。
命令:su [用户名]
功能:切换用户。
例如,要从root用户切换到普通用户user,则使用 su user。 要从普通用户user切换到root用户则使用 su root(root可以省略),此时系统会提示输入root用户的口令。
su到普通用户的时候没有输入普通用户的密码,但我们用su 返回到root用户时是需要输入密码的。而且su后面不容易加root和加效果是一样的。
【注意】:当我们是这个系统的拥有者的时候,给自己建立普通用户时要和root切记密码不一样。否则会让自己迷乱。
命令:sudo [用户名]
功能:你切换用户,就想让普通用户以root的身份,执行对应的命令
【注意】:这里对hongxin提权,当我们提升权限的时候会需要输入提权者的密码,但是输入过后可以在短暂的时间内不在输入 。
提权时为什么需要需要输入自己的密码?
给受信任的用户,提供最少的执行障碍
报错:如果是第一次使用sudo可能会报错
原因:系统不相信你这个用户
解决:需要将当前用户,添加到/etc/sudores中
Linux权限管理
文件权限=人+文件属性
如何理解人?
这里的人更像是一个角色,我可以是一名学生,也可以是我爸的儿子,也可是一名中国工党员,在文件中,这个角色可以是拥有者,也可以是所属组,或者其他人。当前用户可以在这三者之间来回转换
为什么需要存在所属组?
这个其实很好理解,当我们在一个公司工作的时候,分别有团队A和团队B,团队A的代码想分享给自己团队容人员而不被其他人看时,预防代码泄漏,那么这个时候就需要这个所属组。
如何理解文件文件属性?
文件的属性有三种,w-读,r-写,x-可执行 ,重要的是被谁读,被谁写
文件访问者的分类(人)
文件和文件目录的所有者:
u---User(中国平民 法律问题)
文件和文件目录的所有者所在的组的用户:g---Group(不多说)
其它用户:o---Others (外国人)
文件类型和访问权限(事物属性)
文件类型
Linux--与文件后缀无关,Windows--文件的后缀,差别很大。虽然linux与文件后缀无关,但是不影响使用后缀来区分文件类型。比如:需要使用,仅仅给用户一个提示符号来使用,后缀的本质就是文件名的一部分。
d:文件夹
-:普通文件
l:软链接(类似Windows的快捷方式)
b:块设备文件(例如硬盘、光驱等)
p:管道文件
c:字符设备文件(例如屏幕等串口设备)
s:套接口文件
文件夹和普通文件
软链接
块设备文件
字符设备文件
链接文件
管道文件
基本权限
读(r/4):
Read对文件而言,具有读取文件内容的权限;对目录来说,具有浏览该目录信息的权限
写(w/2):
Write对文件而言,具有修改文件内容的权限;对目录来说具有删除移动目录内文件的权限
执行(x/1):
execute对文件而言,具有执行文件的权限;对目录来说,具有进入目录的权限 iv.“—”表示不具有该项权限
文件访问权限的相关设置方法
chmod
功能:设置文件的访问权限
格式:chmod [参数] 权限 文件名
常用选项:
R -> 递归修改目录文件的权限
说明:只有文件的拥有者和root才可以改变文件的权限
chmod 命令权限值的格式
① 用户表示符+/-=权限字符
+:向权限范围增加权限代号所表示的权限
-:向权限范围取消权限代号所表示的权限
=:向权限范围赋予权限代号所表示的权限
用户符号:
u:拥有者
g:拥有者同组用
o:其它用户
a:所有用户
演示--取消权限
演示--增加权限
演示--去掉拥有者全部权限
演示--去掉所属组全部权限
演示--增加拥有者,所属组全部权限
演示--减少\\增加全部权限
没有权限会怎么样?
有读写权限时
没有写权限时
【注意】:虽然我们修改了拥有者的读权限,但是所属组的权限还有读的权限。这里是因为我们是拥有者我们改变的是拥有者的权限,我们用的是拥有者的权限就不能去用所属组的权限。
chown
功能:修改文件的拥有者
格式:chown [参数] 用户名 文件名
当我们将拥有者权限给其他人时,会报错。原因是因为在给别之前应该征求他的同意!
当我们用提升权限用root硬给,他是无法拒绝的
chgrp
功能:修改文件或目录的所属组
格式:chgrp [参数] 用户组名 文件名
常用选项:-R 递归修改文件或目录的所属组
改回来
【注意】:对于其他人是不需要操作的,对于拥有者和所属组都是个体,而其他人是一个群体没有可操作性,也没有任何意义。
文件权限值的表示方法
字符表示方法
上面已演示
8进制数值表示方法
演示
总结:权限是为了我们安全管理的 !!
file指令:
功能说明:辨识文件类型。
语法:file [选项] 文件或目录...
常用选项:
-c 详细显示指令执行过程,便于排错或分析程序执行的情形。
-z 尝试去解读压缩文件的内容
使用 sudo分配权限
(1)修改/etc/sudoers 文件分配文件
chmod 740 /etc/sudoers
vi /etc/sudoer
格式:接受权限的用户登陆的主机 =(执行命令的用户) 命令
(2)使用 sudo 调用授权的命令
sudo –u 用户名 命令
实例
sudo -u root /usr/sbin/useradd u2
目录的权限
可执行权限: 如果目录没有可执行权限, 则无法cd到目录中.
可读权限: 如果目录没有可读权限, 则无法用ls等命令查看目录中的文件内容.
可写权限: 如果目录没有可写权限, 则无法在目录中创建文件, 也无法在目录中删除文件.
Linux规定目录的起始权限777,普通文件起始权限666
umask
0002--系统默认会配置好umask 权限掩码:凡是在umask中出现的权限,都必须在起始权限中去掉
这里:起始权限是 777/666通过umask中出现的权限都减去002就得到775/664
改变umask
umask 是在做减法吗?
如果是减法,当我们初始权限是666->110 110 110->umask(0111) 001 001 001
是减法结果是:010 010 010 而这里却还是110 110 110
实际上
最终权限=起始权限&(~umask)
算式过程:110 110 110 & [~(001 001 001)]=110 110 100&[110 110 110]=110 110 110
如果我们进入一个文件需要什么权限?
这里没有rw权限还是能进入
没有x权限
必须拥有x权限
为什么系统要规定一个目录必须是777开始的?
所有的目录被创建出来,一般都要能被进入!
粘滞位
[root@localhost ~]# chmod +t /home/ # 加上粘滞位
[root@localhost ~]# ls -ld /home/ drwxrwxrwt. 3 root root 4096 9月 19 16:00 /home/ [root@localhost ~]# su - litao
[litao@localhost ~]$ rm /home/abc.c #litao不能删除别人的文件
rm:是否删除有写保护的普通空文件 "/home/abc.c"?
y rm: 无法删除"/home/abc.c": 不允许的操
当一个目录被设置为"粘滞位"(用chmod +t),则该目录下的文件只能由
一、超级管理员删除
二、该目录的所有者删除
三、该文件的所有者删除
今天linux-权限就说到这里,感谢大家支持,再见!!!
让linux下的用户只有只读权限
就是说 我再SSH下新建了个SSH用户 想让那个用户只有读目录的权限 没有其他执行权限 或者无法修改SSH其他目录下文件的权限 有方法可以解决吗?
LINUX怎么新建个组啊,给个guest权限,指定一个临时目录
能把具体命令告诉我下吗
chmod命令是非常重要的,用于改变文件或目录的访问权限。用户用它控制文件或目录的访问权限。该命令有两种用法。一种是包含字母和操作符表达式的文字设定法;另一种是包含数字的数字设定法。
用法:
文字设定法:
chmod [who] [+ | - | =] [mode] 文件名¼
命令中各选项的含义为:
操作对象who可是下述字母中的任一个或者它们的组合:
u 表示“用户(user)”,即文件或目录的所有者。
g 表示“同组(group)用户”,即与文件属主有相同组ID的所有用户。
o 表示“其他(others)用户”。
a 表示“所有(all)用户”。它是系统默认值。
操作符号可以是:
+ 添加某个权限。
- 取消某个权限。
= 赋予给定权限并取消其他所有权限(如果有的话)。
设置mode所表示的权限可用下述字母的任意组合:
r 可读。
w 可写。
x 可执行。
X 只有目标文件对某些用户是可执行的或该目标文件是目录时才追加x 属性。
s 在文件执行时把进程的属主或组ID置为该文件的文件属主。方式“u+s”设置文件 的用户ID位,“g+s”设置组ID位。
t 保存程序的文本到交换设备上。
u 与文件属主拥有一样的权限。
g 与和文件属主同组的用户拥有一样的权限。
o 与其他用户拥有一样的权限。
文件名:以空格分开的要改变权限的文件列表,支持通配符。
在一个命令行中可给出多个权限方式,其间用逗号隔开。例如:chmod g+r,o+r example 使同组和其他用户对文件example 有读权限。
数字设定法:
数字表示的属性的含义:
0表示没有权限
1表示可执行权限
2表示可写权限
4表示可读权限
然后将其相加。所以数字属性的格式应为3个从0到7的八进制数,其顺序是(u)(g)(o)
如果想让某个文件的属主有“读/写”二种权限,需要把4(可读)+2(可写)=6(读/写)
参考技术A 可以啊,用命令下输入 groupadd 组名
chmod g-w 文件名 给这个组只写的权限
chmod g-r 文件名 给这个组只读的权限 参考技术B 系统默认吧 用chown +rrr 目录名 参考技术C groupadd guest 参考技术D linux下的读写和执行权限是基于文件的。每个目录、甚至每个设备都是文件。每个单个的文件有文件主rwx、组rwx和别人(other, 即外部世界)的rwx标识, 这里r是读,w是写,x是执行。
另外,不给一个用户一点必要的执行权限(如果可能的话),那也是不现实的。因为,他要进入一个目录,这个目录必须至少是other可执行的。他要读一个文件,必须用到如ls, less, cat一类工具(即执行这些可执行文件)。
有个折中的办法是,新建了个用户时不给他HOME,因为,每个用户在自己的HOME里一般(有些文件也例外)有rwx全权。同时,给他一个简单的shell(包括以上所说的ls, less, cat之类)。
关于文件夹的执行权限:当要访问一个文件夹的时候必须要有执行权限,如果没有那么不能进入这个文件夹,即使对这个文件夹有写的权限也不能在这文件夹下建立任何文件和文件夹。
如果对一个文件夹只有只读的权限,那么只能在这个文件夹外部对其读取而不能进入其内部。
关于文件夹内的删除文件问题:
要想在文件夹内写新的文件和新的文件夹进去,或者想删除文件夹里的文件,必须同时拥有执行和写这两个权限,没有的话是不能新建目录的。
建立一个新用户
修改用户的个人设置
文件目录的权限设置
两个重要文件:passwd与group
建立一个新用户
建立一个新的用户包括两个步骤,第一步是使用useradd命令完成一个新用户的初始化设置工作;第二步是用passwd为这个新用户设置密码。例如,我们要给系统添加一个用户叫floatboat,密码为fan2001z,那相关的操作是:
useradd floatboat <回车>
这时候系统没有任何显示。接着:
passwd floatboat <回车>
系统显示:
Changing password for user floatboat
New UNIX password:
你输入:
fan2001z<回车>
注意,由于linux并不采用类似windows的密码回显(显示为*号)——为避免你输入密码时被人注意到有多少位——所以,输入的这些字符你是看不见的。
系统显示:
Retype new UNIX password:
你再重新输入一次密码,然后回车确认,这时系统会显示:
passwd:all authentication tokens updated successfully
表示修改密码成功了。
到这里,新用户的创建工作就算完成了。
以上是关于Linux--权限的主要内容,如果未能解决你的问题,请参考以下文章