linux权限管理——复习篇（三）

Linux的权限操作与用户、用户组是兄弟操作。

一、权限概述

总述: Linux 系统一般将 文件可存/取访问的身份分为3个类别: owner. group、 others， 且3种身份各有read、write、 execute 等权限。
1.权限介绍
什么是权限?
在多用户(可以不同时)计算机系统的管理中，权限是指某个特定的用户具有特定的系统资源使用权力，像是文件夹、特定系统指令的使用或存储量的限制。

读权限:
对于文件夹来说，读权限影响用户是否能够列出目录结构
对于文件来说，读权限影响用户是否可以查看文件内容
写权限:
对文件夹来说，写权限影响用户是否可以在文件夹下“创建/删除/复制到/移动到”文档
对于文件来说，写权限影响用户是否可以编辑文件内容
执行权限:
一般都是对于 文件来说，特别脚本文件。

2、身份介绍
Owner身份(文件所有者，默认为文档的创建者)
由于Linux是多用户、多任务的操作系统,因此可能常常有多人同时在某台主机上工作，但每个人场可在主机上设置文件的权限，让其成为个人的“私密文件”，即个人所有者。因为设置了适当的文件权限，除本人(文件所有者)之外的用户无法查看文件内容。
例如某个MM给你发了一封Email情书,你将情书转为文件之后存档在自己的主文件夹中。为了不让别人看到情书的内容，你就能利用所有者的身份去设置文件的适当权限，这样，即使你的情敌想偷看你的情书内容也是做不到的。

Group身份(与文件所有者同组的用户)
与文件所有者同组最有用的功能就体现在多个团队在同一台主机上开发资源的时候。
例如主机上有A. B两个团体，A中有a1,a2,a3三个成员，B中有b1,b2 两个成员，这两个团体要共同完成一份报告F。由于设置了适当的权限，A、B团体中的成员都能互相修改对方的数据，但是团体C的成员则不能修改F的内容，甚至连查看的权限都没有。同时，团体的成员也能设置自己的私密文件，让团队的其它成员也读取不了文件数据。在Linux中，每个账户支持多个用户组。如用户a1、b1即可属于A用户组，也能属于B用户组【主组和附加组】。

Others身份(其他人，相对于所有者)

这个是个相对概念。打个比方，大明、二明小明一家三兄弟住在一间房，房产证上的登记者是大明（owner 所有者)，那么，大明一家就是一个用户组，这个组有大明、二明、小明三个成员;另外有个人叫张三，和他们三没有关系那么这个张三就是其他人了。
同时，大明、二明、小明有各自的房间，三者虽然能自由进出各自的房间，但是小明不能让大明看到自己的情书、日记等，这就是文件所有者(用户)的意义。

Root用户(超级用户)
在Linux中，还有一个神一样存在的用户，这就是root用户，因为在所有用户中它拥有最大的权限，所以管理着普通用户。
3.linux的权限
要设置权限，就需要知道文件的一些基本属性和权限的分配规则。在Linux中，Is命令常用来查看文件的属性，用于显示文件的文件名和相关属性。
#Is -I 路径 [Is -l 等价于 ll ]

标红的部分就是Linux 的文档权限属性信息。
Linux中存在用户、用户组和其他人概念，各自有不同的权限，对于一个文档来说，其权限具体分配如下:

十位字符表示含义:
第1位:表示文档类型，取值常见的有“d表示文件夹”、“表示文件”、“1表示软连接”、“s表示套接字”等等;
第2-4位:表示文档所有者的权限情况，第2位表示读权限的情况，取值有r、-;第3位表示写权限的情况，w表示可写，-表示不可写，第4位表示执行权限的情况，取值有x、-。
第5-7位:表示与所有者同在一个组的用户的权限情况，第5位表示读权限的情况，取值有r、-;第6位表示写权限的情况，w表示可写，-表示不可写，第7位表示执行权限的情况，取值有x、-。
第8-10位:表示除了上面的前2部分的用户之外的其他用户的权限情况，第8位表示读权限的情况，取值有r、- ;第9位表示写权限的情况，w表示可写，-表示不可写，第10位表示执行权限的情况，取值有X、-。
权限分配中,均是rwx的三个参数组合，且位置顺序不会变化。没有对应权限就用-代替。

————————————————————————————————————————————————————————————————————————————————————————————————

二、权限设置

语法: #chmod 选项 权限模式 文档
常用选项:
-r:递归设置权限(当文档类型为文件夹的时候)
权限模式:就是该文档需要设置的权限信息
文档:可以是文件，也可以是文件夹，可以是相对路径也可以是绝对路径。
注意点:如果想要给文档设置权限，操作者要么是root用户，要么就是文档的所有者。
1.字母形式

给谁设置:
u:表示所有者身份owner (user)
g:表示给所有者同组用户设置(group)
o:表示others,给其他用户设置权限
a:表示all， 给所有人(包含ugo部分)设置权限
如果在设置权限的时候不指定给谁设置，则默认给所有用户设置
权限字符:
r:读
w:写
x:表示执行
-:表示没有权限

权限分配方式: .
+:表示给具体的用户新增权限（相对当前）
-:表示删除用户的权限（相对当前）
=:表示将权限设置成具体的值(注重结果)



提示:当文档拥有执行权限，则其颜色则终端是绿色。
2.数字形式
经常会在一些技术性的网页上看到类似于#chmod 777 a.txt这样的一个权限，这种形式称之为数字形式权限(777)。
读:r 4
写: w 2
执行:x 1


有意思的问题

3.注意事项

切换到test用户(不是文档所有者，也不是同组用户，属于other部分):
问题1: test 用户是否可以打开0o/xx.txt文件? [能打开]
问题2: test 用户是否可以编辑oo/xx.txt文件? [可以]
问题3: test 用户是否可以删除oo/xx.txt 文件? [ 不可以，同样还不允许创建文件/文件夹、移动文件、重命名文件]

在Linux中，如果要删除一一个文件，不是看文件有没有对应的权限，而是看文件所在的目录是否有写权限，如果有才可以删除。
————————————————————————————————————————————————————————————————————————————————————————————————

三、属主与属组设置

属主:所属的用户(文件的主人)
属组:所属的用户组

前面的那个root就是属主
后面的那个root就是属组
这两项信息在文档创建的时候会使用创建者的信息(用户名、用户所属的主组名称)。

如果有时候去删除某个用户，则该用户对应的文档的属主和属组信息就需要去修改。
1、chown
作用:更改文档的所属用户
语法: #chown -R username 文档路径

2、chgrp
作用:更改文档的所属用户组
语法: #chgre -R groupname 文档的路径

思考，如何通过-一个命令实现既可以更改所属的用户，也可以修改所属的用户组呢?
答:可以实现的，通过chown命令
语法: #chown -R username:groupname 文档路径

————————————————————————————————————————————————————————————————————————————————————————————————

四、扩展

问题: reboot、 shutdown、 init、 halt、 user 管理，在普通用户身份上都是操作不了，但是有些特殊的情况下又需要有执行权限。又不可能让root用户把自己的密码告诉普通用户，这个问题该怎么解决?

该问题是可以被解决的，可以使用sudo(switch user do)命令来进行权限设置。Sudo可以让管理员(root) 事先定义某些特殊命令谁可以执行。

默认sudo.中是没有除root之外用户的规则，要想使用则先配置sudo.
Sudo配置文件: /etc/sudoers

a.配置sudo文件请使用。“#visudo”，打开之后其使用方法和vim一致
b.配置普通用户的权限，下面是文件里默认提供的例子

Root表示用户名,如果是用户组，则可以写成“%组名”
ALL:表示允许登录的主机(地址白名单)
(ALL):表示以谁的身份执行，ALL表示root身份
ALL:表示当前用户可以执行的命令，多个命令可以使用",”分割

特别注意:此处按照案例要求，不能让test用户修改root密码，因此规则还需要调整，不然其可以修改root密码的:
禁止修改root密码的配置: /usr/bin/passwd [A-Za-zZl*, !/usr/bin/passwd root

补充:在普通用户下怎么查看自己具有哪些特殊权限呢?
#sudo -l

最后: sudo 不是任何Linux分支都有的命令，常见centos与ubuntu都存在sudo命令。