Linux 中的用户和组是用来控制使用者或者进程可以或者不可以使用哪些资源和硬件,是Linux权限控制最基本的方式。
用户和组可以看一下上一章的部分,先来看一下权限。
一、权限概览
在Linux下,使用命令ls -l显示文件详细信息
[root@Host syzhao]# ls -l total 4848 -rwxrw-r-- 1 syzhao eng 194 Jun 15 2012 check_crc.v -rw-rw-r-- 1 syzhao eng 3713 Jun 13 2012 cshrc.v drwxr-xr-x 4 syzhao eng 4096 Sep 29 2013 dc_test_run drwx------ 2 syzhao eng 4096 Jun 1 2012 Desktop drwxr-xr-x 3 syzhao eng 4096 Jan 7 2013 fm_fw drwxr-xr-x 4 syzhao eng 4096 Sep 29 2012 fpga -rw-r--r-- 1 syzhao eng 4222885 Dec 1 2012 fpga_soc_top_ftc_sata.bit -rw-r--r-- 1 syzhao eng 214513 Nov 15 2012 ftc_ddr_issue.fsdb drwxr-xr-x 4 syzhao eng 4096 Jun 3 2013 ftc_pcs_fpga drwxr-xr-x 3 syzhao eng 4096 May 27 2013 ftc_sata_fpga
拿第一行来说,
【-rwxrw-r--】代表文件类型和权限【1】表示i-node连接数 【syzhao】表示所有者 【eng】表示所属用户组 【194】表示大小【 Jun 15 2012】表示文件创建日期 【check_crc.v】表示文件名
下面主要就【-rwxrw-r--】 来说一下,这里的-rwxrw-r--其实是分成四个部分的,第一个【-】是一部分代表文件类型,【-】代表是一般文件,【d】代表是目录,【l】代表链接文件。第二组【rwx】代表文件所有者权限,这三个这3个字母从左到右分别表示该身份对文件权限【r】代表是否可读【w】代表是否可写【x】代表是否可执行。出现rwx相应的字母就表示有相应的权限,出现【-】则表示该用户对该文件相应操作的权限。
拿第三组和第四组来说,第三组是【rw-】表示该文件所属用户组eng的成员对该文件有【r】读取、【w】写的权限,没有【x】执行的权限。
我们来看看eng组下面都有哪些人。
[root@Host /etc]# cat group eng:x:501:zhou,syzhao,sky,richard
说明了zhou、syzhao、sky、richard这几个人对文件check_crc.v有读和写的权限,没有执行的权限。
第四组代表Others对该文件的权限,权限根据字母可以看出,是可读不可写,不可执行,那么Others是哪些人呢?Others是除了root(root拥有最高权限)、文件所有者、文件所属用户组以外的所有用户。
drwxr-xr-x 4 syzhao eng 4096 Sep 29 2013 dc_test_run
拿第三行输出来说,代表syzhao对文件夹dc_test_run有读写执行的权限,eng组对文件夹有读取和执行的权限(题外话,如果对文件夹只有读取而没有执行的权限,那么也无法列出),除syzhao和eng组以外的组和用户也可以对文件夹进行访问。
二、修改权限
2.1 修改文件属性
chown [-R] dir/file命令可以改变文件的所有者,加上-R则连递归目录下的所有文件和目录。
[root@Host /]# ll | grep saku drwxr-xr-x. 2 root root 4096 Mar 30 12:46 saku [root@Host /]# chown hao /saku [root@Host /]# ll | grep saku drwxr-xr-x. 2 hao root 4096 Mar 30 12:46 saku
这样修改,只修改了saku文件夹的权限,里面并没有修改,里面文件的所属用户并没有改变,下面我们来修改所属组,这次我们修改文件的所属组,加上 [-R] 参数
[root@Host /]# ll /saku/
total 4 -rw-r--r--. 1 root hao 0 Mar 30 12:55 01.txt #可以看出来,文件夹saku内的文件和目录并没有改变所属用户,依然是root。
-rw-r--r--. 1 root hao 0 Mar 30 12:55 02.vim drwxr-xr-x. 2 root hao 4096 Mar 30 12:55 soci [root@Host /]# chgrp -R sw_eng /saku/ #修改saku及该目录内所有文件和目录的所属用户组为sw_eng [root@Host /]# ll /saku/ total 4 -rw-r--r--. 1 root sw_eng 0 Mar 30 12:55 01.txt #此时,可以看到,saku目录内的文件因为上一条命令没有加递归的参数 -R,所以所属用户并没有改变,
-rw-r--r--. 1 root sw_eng 0 Mar 30 12:55 02.vim #但是所属组因为加了参数的原因,目录内的所有文件和目录的所属组已经改变。
drwxr-xr-x. 2 root sw_eng 4096 Mar 30 12:55 soci
[root@Host /]# ll | grep saku drwxr-xr-x. 3 hao sw_eng 4096 Mar 30 12:55 saku
2.2 修改文件权限
rwx每种权限都会有个数字,4代表r,2代表w,1代表x。每种身份(owner,group,others)的权限的数字表示是他拥有的权限所对应的数字的和。如上述代码所示:所有者root对于02.vim的权限为:r+w,可读写,转化为数字为:4 + 2= 6 (因为所有者是root,而root本身不受权限限制,其实root对该文的的权限为可读写可执行)按此方法算,文件02.vim的权限如下
Owner rw 6
Group r 4
Others r 4
这样的话,我们就可以用一个三位数来表示一个文件的权限啦!例如,01.txt文件的权限是644!这样我们就可以方便的利用数字来设置一个文件的权限了。
-rwxr-----. 1 hao sw_eng 445 Feb 13 16:02 di.zip
这个di.zip的文件代表数字也显而易见:740。了解了这些,我们就可以修改权限了。针对di.zip文件而言,sw部门的工程师需要去修改其中的内容,其他工程师需要读取该文件的内容,需要给sw组的人开通w权限,给Others组开通读取权限,也就是将其的权限从-rwxr-----修改为-rwxrw-r--,根据数字的规则,新的权限数字码为:764,通过命令chomd [-R] xxx dir/file 来修改权限,这里的chmod是change mode的缩写,用来修改文件\目录的权限。
[root@Host hao]# ll | grep di -rwxr-----. 1 hao sw_eng 445 Feb 13 16:02 di.zip [root@Host hao]# chmod 764 di.zip [root@Host hao]# ll | grep di -rwxrw-r--. 1 hao sw_eng 445 Feb 13 16:02 di.zip
数字权限虽然简洁,但是却不直观。Linux给我们提供了另外一种直观的符号类型权限设置方法!
由前面介绍你可以知道,文件有owner(也就是user),group,others三种身份,我们分别用 u,g,o来分别代表着三种身份,用a同时代表三种身份,用r,w,x代表三种权限,用+,-,=三种符号分别代表添加,去除以及设置某种或某些权限的动作。那么我们就可以用这几种字符组合来灵活直观的设置文件权限啦!
chmod | u g o a |
+(添加) -(去除) =(设置) |
r w x |
dir/file |
还是拿di.zip文件来说,项目完成了,已经不需要软件开发工程师协助和Others部门协助测试了,为了数据安全的版本一致,要收回di.zip文件的所有权限。我们用设置(对应上表的第三行)操作来进行权限的管理。
[root@Host hao]# chmod u=r,g=---,o= di.zip #此处---与 设为空效果一样,都是取消所有权限。 [root@Host hao]# ll | grep di -r--------. 1 hao sw_eng 445 Feb 13 16:02 di.zip
现在项目又有所新变化,要将文件权限还原,我们操作一下添加去除命令。
[root@Host hao]# chmod u+wx,g+rw,o+r di.zip #这里的u+wx为给u(用户)加上wx权限,给g(所属组)加上rw的权限。 [root@Host hao]# ll | grep di -rwxrw-r--. 1 hao sw_eng 445 Feb 13 16:02 di.zip
又要改回去了。
[root@Host hao]# chmod u=r,g-rw,o=--- di.zip [root@Host hao]# ll | grep di -r--------. 1 hao sw_eng 445 Feb 13 16:02 di.zip
权限的主要修改方法,就到这里就完成了,我本事是青睐数字的方式,大家可以选择喜爱的方法进行权限的管理,哪一种都可以,只要不要搞混了。
需要注意的地方:1.对于文件来说,读取的优先级比较高,如果用户对文件的权限是-wx,那么你觉得他能写入东西去这个文件吗?
[hao@Host ~]$ ll |grep now.txt #注意这里的用户,我已经切换至hao了,从文件信息中可以看到,hao用户对文件有写入和执行的权限。
--wx-w-r--. 1 hao sw_eng 1447 Mar 30 14:40 now.txt [hao@Host ~]$ cat now.txt cat: now.txt: Permission denied
看见了吧,没有权限,所以在权限设置的时候尽量不要出现什么731、u=x,g=wx,o=wrx 这些很奇葩的权限。
2.对于文件的rwx比较好理解,对于目录来说具有r权限的身份可以利用ls查看该目录下的文件名列表,不能查看文件的详细信息,具有x权限的身份可以利用cd进入该目录作为自己的工作目录,在这个目录中,你可以访问、修改你有权限的文件。所以对于目录来说,有r权限没有x权限是无法进入目录的,只有r权限,不开放x权限基本没有什么意义,所以需要读取文件夹时最好将x权限也加上。
2.3默认权限的修改
在Linux中,新建一个文件,权限往往就固定,如何修改这个默认的权限呢,需要用到权限的掩码,umask掩码由于不太常用,本教程暂略过,有时间会将该坑填上。
图片信息,图片来自苏勇课堂