目录
- 前言
- 一、用户账号和组账号概述
-
- 1.1 Linux基于用户身份对资源访问进行控制
-
- 1.1.1 用户账号
- 1.1.2 组账号
- 1.1.3 UID号和GID号
- 二、用户账号管理
-
- 2.1 用户账号文件
-
- 2.1.1 用户账号文件/etc/passwd
- 2.1.2 用户账号文件/etc/shadow
- 2.2 添加、修改、删除用户账号
-
- 2.2.1 useradd 命令——添加用户账号
- 2.2.2 passwd 命令——为用户账号设置密码
- 2.2.3 usermod 命令——修改用户账号属性
- 2.2.4 userdel 命令——删除用户账号
- 2.3 用户账号的初始配置文件
- 三、组账号管理
-
- 3.1 1.组账号文件
- 3.2 添加、管理、删除组账号
-
- 3.2.1 groupadd 命令——添加组账号
- 3.2.2 gpasswd 命令——添加、设置、删除组成员
- 3.2.3 groupdel 命令——删除组账号
- 3.3 查询账号信息
-
- 3.3.1 groups 命令——查询用户账号所属的组
- 3.3.2 id——查询用户账号的身份标识
- 3.3.3 finger 命令——查询用户账号的登录属性
- 3.3.4 w 命令——查询当前主机的用户登录情况
- 四、文件和目录的权限和归属
-
- 4.1 查看目录和文件的属性
- 4.2 设置目录和文件的权限
- 4.3 设置目录和文件的归属
- 4.4 设置目录和文件的默认权限
前言
Linux作为一个多任务,多用户的服务器操作系统,Linux提供了严格的权限管理机制,主要从用户身份,文件权限两方面对资源访问进行控制
一、用户账号和组账号概述
1.1 Linux基于用户身份对资源访问进行控制
- 用户帐号
- 组帐号
- UID和GID
- UID (User IDentity,用户标识号)
- GID (Group IDentify,组标识号)
1.1.1 用户账号
- Linux系统中,根据系统管理的需要,将用户账号分为不同的类型,其拥有的权限,担任的角色也各不相同
用户账号 |
功能 |
超级用户 |
root用户是Linux系统中默认的超级用户账号,对本级拥有最高的权限,类似于Windows系统中的administrator用户 |
普通用户 |
普通用户账号需要有root用户或其他管理员用户创建,拥有的权限受到一定限制,一般只在用户自己的宿主目录中拥有完整权限 |
程序用户 |
在安装Linux系统及部分应用程序时,会添加一些特定的低权限用户账号,这些用户一般不允许登录到系统,而仅用于维持系统或某个程序的正常运行。例如:bin,daemon,ftp,mail等 |
1.1.2 组账号
- 对于用户账号来说,对应的组账号可以分为基本组(私有组)和附加组(公共组)两种
- 每一个用户账号可以是多个组账号的成员,但是其基本组账号只有一个
账号 |
描述 |
私有组(基本组) |
随着用户的建立而建立,与用户同名 |
共有组(附加组) |
直接创建空组,可以自由添加已有用户。给组设置权限后,该组中的所有用户都具备此权限 |
1.1.3 UID号和GID号
- Linux系统中的每一个用户账号和组账号都有一个数字形式的身份标记,称为UID(User IDentity,用户标识号)和GID(Group IDentify,组标识号)
- 对于系统核心来说,UID是作为区分用户的基本依据,原则上每个用户的UID号应该是唯一的
用户 |
UID号 |
root用户 |
固定值UID=0 |
程序用户 |
UID 1—999 |
普通用户 |
UID 1000–6万 |
二、用户账号管理
2.1 用户账号文件
- Linux 操作系统中的用户账号、密码等信息均保存在相应的配置文件中,直接修2改这些文件或者使用用户管理命令都可以对用户账号进行管理
- 与用户账号相关的配置文件主要有两个,分别是/etc/passwd和/etc/shadow
前者用于保存用户名称、宿主目录、登录 Shell 等基本信息,后者用于保存用户的密码、账号有效期等信息
- 在这两个配置文件中,每一行对应一个用户账号,不同的配置项之间使用“:”(冒号) 进行分隔
2.1.1 用户账号文件/etc/passwd
- 保存用户名称、宿主目录、登录Shell等基本信息
- 文件位置:/etc/passwd
- 每一行对应一个用户的帐号记录
- 例如:
查看/etc/passwd 文件开头、末尾的几行内容
[root@localhost ~]# head -2 /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
[root@localhost ~]# tail -1 /etc/passwd
teacher:x:1001:1001:teacher:/home/teacher:/bin/bash
- passwd文件的每一行内容中,包含了七个用冒号“:”分隔的配置字段,我们需要了解其含义
字段 |
解释说明 |
第 1 字段 |
用户账号的名称,也是登录系统时使用的识别名称 |
第 2 字段 |
经过加密的用户密码字串,或者密码占位符“x” |
第 3 字段 |
用户账号的 UID 号 |
第 4 字段 |
所属基本组账号的 GID 号 |
第 5 字段 |
用户全名,可填写与用户相关的说明信息。 |
第 6 字段 |
宿主目录,即该用户登录后所在的默认工作目录 |
第 7 字段 |
登录 Shell 等信息,用户完成登录后使用的 Shell |
2.1.2 用户账号文件/etc/shadow
- shadow 文件又被称为“影子文件”,其中保存有各用户账号的密码信息,因此对 shadow 文件的访问应该进行严格限制
- 默认只有 root 用户能够读取 shadow 文件中的内容,且不允许直接编辑该文件中的内容
- 例如:
查看/etc/shadow 文件开头、末尾的几行内容
[root@localhost ~]# head -2 /etc/shadow root:$6$/NUnjYRJqdNTTJBc$NNmotUjwytodn/QnKLlGPZTDv09z1XDStb7fWywK3iKNXPa459 g/NsD0FZAyxZA8SU3v2saM19Dc9D.vflR0b1::0:99999:7:::
bin:*:17110:0:99999:7:::
[root@localhost ~]# tail -1 /etc/shadow teacher:$6$8kGz21KVOrxFOYEf$r3ZjS2ynBODc62X44orKweVym62c.MG1SR.WFcarphf29yZ Z.ObRfLqJsbd6IdpAfTGny2JdIsIwvIjyc7gR6/::0:99999:7:::
- shadow文件的每一行内容中,包含了九个用冒号“:”分隔的配置字段,我们需要了解其含义
字段 |
解释说明 |
第 1 字段 |
用户账号名称 |
第 2 字段 |
使用 SHA-512(哈希算法中的一种)加密的密码字串信息,当为“*”或“!!”时表示此用户不能登录到系统。若该字段内容为空,则该用户无须密码即可登录系统 |
第 3 字段 |
上次修改密码的时间,表示从 1970 年 01 月 01 日算起到最近一次修改密码时间隔的天数 |
第 4 字段 |
密码的最短有效天数,自本次修改密码后,必须至少经过该天数才能再次修改密码。默认值为 0,表示不进行限制 |
第 5 字段 |
密码的最长有效天数,自本次修改密码后,经过该天数以后必须再次修改密码。默认值为 99999,表示不进行限制 |
第 6 字段 |
提前多少天警告用户密码将过期,默认值为 7 |
第 7 字段 |
在密码过期之后多少天内禁用此用户 |
第 8 字段 |
账号失效时间,此字段指定了用户作废的天数(从 1970 年 01 月 01日起计算),默认值为空,表示账号永久可用 |
第 9 字段 |
保留字段,目前没有特定用途 |
2.2 添加、修改、删除用户账号
2.2.1 useradd 命令——添加用户账号
useradd [选项] 用户名
- 最简单的用法是,不添加任何选项,只使用用户名作为 useradd 命令的参数,按系统默认配置建立指定的用户账号
- 在 CentOS 系统中,使用 useradd 命令添加用户账号时主要完成以下几项任务
- 在/etc/passwd 文件和/etc/shadow 文件的末尾增加该用户账号的记录。
- 若未明确指定用户的宿主目录,则在/home 目录下自动创建与该用户账号同名的宿主目录,并在该目录中建立用户的各种初始配置文件。
- 若没有明确指定用户所属的组,则自动创建与该用户账号同名的基本组账号,组账 号的记录信息将保存到/etc/group 和/etc/gshadow 文件中
- 例如:
执行以下操作可以创建名为 bdqn_zeng 的用户账号,并通过查看 passwd、shadow 文件和/home 目录来确认新增用户账号时的变化
[root@localhost ~]# useradd bdqn_zeng [root@localhost ~]# tail -1 /etc/passwd bdqn_zeng:x:1002:1002::/home/bdqn_zeng:/bin/bash
[root@localhost ~]# tail -1 /etc/shadow
bdqn_zeng:!!:17273:0:99999:7:::
[root@localhost ~]# ls -A /home/bdqn_zeng/
.bash_logout .bash_profile .bashrc .mozilla
- 如果结合 useradd 命令的各种选项,可以在添加用户账号的同时对 UID 号、宿主目录、登录 Shell 等相关属性进行指定
- 常用选项
常用选项 |
解释说明 |
-u |
指定用户的 UID 号,要求该 UID 号码未被其他用户使用 |
-d |
指定用户的宿主目录位置(当与-M 一起使用时,不生效) |
-e |
指定用户的账户失效时间,可使用 YYYY-MM-DD 的日期格式 |
-g |
指定用户的基本组名(或使用 GID 号) |
-G |
指定用户的附加组名(或使用 GID 号) |
-M |
不建立宿主目录,即使/etc/login.defs 系统配置中已设定要建立宿主目录 |
-s |
指定用户的登录 Shell |
- 例如:
创建一个辅助管理员账号admin,将其基本组指定为“wheel”,附加组指定为“root”,宿主目录指定为“/admin”
[root@localhost ~]# useradd -e 2020-12-31 -s /sbin/nologin b_down
2.2.2 passwd 命令——为用户账号设置密码
- 通过 useradd 命令新增用户账号以后,还需要为其设置一个密码才可以正常使用。使用 passwd 命令可以设置或修改密码,root 用户有权管理其他账号的密码(指定账号名称作为参数即可)
- 例如:
执行“passwd bdqn_zeng”命令可为 bdqn_zeng 账号设置登录密码,要根据提示重复输入两次
[root@localhost ~]# passwd bdqn_zeng Changing password for user bdqn_zeng. New password:
Retype new password:
passwd: all authentication tokens updated successfully.
- 用户账号具有可用的登录密码以后,就可以从字符终端进行登录了
- 虽然 root 用户可以指定用户名作为参数,对指定账号的密码进行管理,但是普通用户却只能执行单独的“passwd”命令修改自己的密码
- 对于普通用户自行设置的密码,要求具有一定的复杂性(如不要直接使用英文单词,长度保持在六位以上),否则系统可能拒绝进行设置
- 普通用户设置自身的登录密码时,需要先输入旧的密码进行验证
- 例如:
用户 bdqn_zeng 更改登录密码的过程
[bdqn_zeng@localhost ~]$ passwd
Changing password for user bdqn_zeng.
Changing password for bdqn_zeng
(current) UNIX password:
Retype new password:
passwd: all authentication tokens updated successfully.
- 使用 passwd 命令除了可以修改账号的密码以外,还能够对用户账号进行锁定、解锁, 也可以将用户的密码设置为空(无须密码即可登录)
- 常用选项
常用选项 |
解释说明 |
-d |
清空指定用户的密码,仅使用用户名即可登录系统 |
-l |
锁定用户账户 |
-S |
查看用户账户的状态(是否被锁定) |
-u |
解锁用户账户 |
- 通过 passwd 命令锁定的用户账号,将无法再登录系统(shadow 文件中的对应密码字串前将添加“!!”字符),只能由管理员来解除锁定
- 例如:
以下操作分别用于锁定、解锁用户账号 bdqn_zeng
[root@localhost ~]# passwd -l bdqn_zeng
passwd: Success
[root@localhost ~]# passwd -S bdqn_zeng
[root@localhost ~]# passwd -u bdqn_zeng
passwd: Success.
[root@localhost ~]# passwd -S bdqn_zeng
2.2.3 usermod 命令——修改用户账号属性
- 对于操作系统中已经存在的用户账号,可以使用 usermod 命令重新设置各种属性
- usermod 命令同样需要指定账号名称作为参数
- 常用选项
常用选项 |
解释说明 |
-u |
修改用户的 UID 号。 |
-d |
修改用户的宿主目录位置。 |
-e |
修改用户的账户失效时间,可使用 YYYY-MM-DD 的日期格式。 |
-g |
修改用户的基本组名(或使用 GID 号)。 |
-G |
修改用户的附加组名(或使用 GID 号)。 |
-s |
指定用户的登录 Shell。 |
-l |
更改用户账号的登录名称(Login Name)。 |
-L |
锁定用户账户。 |
-U |
解锁用户账户。 |
注意:
-
使用 usermod 命令时,其大部分的选项与 useradd 命令的选项是对应的,作用也相似
-
除此以外,还有两个选项“-L”和“-U”,分别用于锁定、解锁用户账号。这两个选项与passwd 命令的“-l”和“-u”选项的作用基本相同,但是存在大小写区别
-
若要修改已有账号的宿主目录,需要先将该账号原有的宿主目录转移到新的位置,然后通过 usermod 命令设置新的宿主目录位置
-
例如:
将 admin 用户的宿主目录由/admin 转移至/home/admin
[root@localhost ~]# mv /admin /home/
[root@localhost ~]# usermod -d /home/admin admin
- 通过 usermod 命令同样可以对账号进行锁定、解锁操作,经 usermod 命令锁定的账号也不能登录系统(shadow 文件中的对应密码字串前将添加“!”字符)
- 例如:
以下操作分别用于锁定、解锁用户账号 admin,但是在 CentOS 7 系统中,如果账户没有设置密码,那么该账户锁定后将无法使用“usermod -U”命令解锁。因此在锁定 admin 账户之前需要先为其设置账户密码
[root@localhost ~]# passwd admin Changing password for user admin. New password:
Retype new password:
passwd: all authentication tokens updated successfully. [root@localhost ~]# usermod -L admin
[root@localhost ~]# passwd -S admin
[root@localhost ~]# usermod -U admin
- 若需要修改账号的登录名称,可以使用“-l”选项
- 例如:
将 admin 用户的登录名称更改为 webmaster,下次登录时生效
[root@localhost ~]# usermod -l webmaster admin [root@localhost ~]# grep "admin" /etc/passwd webmaster:x:1003:10::/home/admin:/bin/bash
2.2.4 userdel 命令——删除用户账号
- 当操作系统中的某个用户账号不再使用时(如该员工已经从公司离职等情况),可以使用 userdel 命令将该用户账号删除
- 使用该命令也需要指定账号名称作为参数,结合“-r”选项可同时删除宿主目录
- 例如:
执行以下操作将删除名为 bdqn_zeng 的用户账号,同时删除其宿主目录/home/bdqn_zeng
[root@localhost ~]# userdel -r bdqn_zeng
[root@localhost ~]# ls -ld /home/bdqn_zeng
2.3 用户账号的初始配置文件
- 添加一个新的用户账号后,useradd 命令会在该用户的宿主目录中建立一些初始配置文件
- 这些文件来自于账号模板目录/etc/skel/,基本上都是隐藏文件,较常用的初始配置文件包括“.bash_logout”、“.bash_profile”和“.bashrc”
- “.bash_profile”文件中的命令将在该用户每次登录时被执行
- “.bashrc”文件中的命令会在每次加载“/bin/Bash”程序(当然也包括登 录系统)时执行
- “.bash_logout”文件中的命令将在用户每次退出登录时执行
- 在“.bashrc”等文件中,可以添加用户自己设置的可执行语句(如 Linux 命令行、脚本控制语句等),以便自动完成相应的任务。如果希望为所有用户添加登录后自动运行的命令程序、自动设置变量等,可以直接修改/etc 目录下的类似文件,如/etc/bashrc 文件、/etc/profile 文件
- 例如:
为所有用户自动设置 myls 命令别名
[root@localhost ~]# vi /etc/bashrc
……
三、组账号管理
3.1 1.组账号文件
- 与组账号相关的配置文件也有两个,分别是/etc/group 和/etc/gshadow
- "/etc/group"用于保存组账号名称、GID 号、组成员等基本信息,
- "/etc/gshadow"用于保存组账号的加密密码字串等信息(但是很少使用到)
- 某一个组账号包含哪些用户成员,将会在 group 文件内最后一个字段中体现出来(基本组对应的用户账号默认可能不会列出),多个组成员之间使用“,”(逗号)分隔
- 例如:
执行以下操作可分别获知 root 组包括哪些用户成员、哪些组中包含 root 用户
[root@localhost ~]# grep "^root" /etc/group
root:x:0:webmaster
[root@localhost ~]# grep "root" /etc/group
root:x:0:webmaster
3.2 添加、管理、删除组账号
3.2.1 groupadd 命令——添加组账号
- 使用 groupadd 命令可以添加一个组账号,需要指定 GID 号时,可以使用“-g”选项
- 例如:
执行如下的“groupadd class01”命令可以添加一个名为 class01 的组账号
[root@localhost ~]# groupadd class01 [root@localhost ~]# tail -1 /etc/group class01:x:1007:
3.2.2 gpasswd 命令——添加、设置、删除组成员
- gpasswd 命令本来是用于设置组账号的密码,但是该功能极少使用,实际上该命令更多地用来管理组账号的用户成员
- 需要添加、删除成员用户时,可分别使用“-a”和“-d”选项
- 例如:
以下操作分别用于向 root 组中添加成员用户 mike、删除成员用户 webmaster
[root@localhost ~]# useradd mike [root@localhost ~]# gpasswd -a mike root Adding user mike to group root
[root@localhost ~]# groups mike
mike : mike root
[root@localhost ~]# gpasswd -d webmaster root
Removing user webmaster from group root
[root@localhost ~]# groups webmaster
webmaster : webmaster wheel
- 如果需要同时指定组账号的所有成员用户,可以使用“-M”选项
- 例如:
以下操作可以指定组账号 adm 中的成员为 root、adm、daemon、webmaster、mike 这五个用户
[root@localhost ~]# gpasswd -M root,adm,daemon,webmaster,mike adm [root@localhost ~]# grep "^adm" /etc/group adm:x:4:root,adm,daemon,webmaster,mike
3.2.3 groupdel 命令——删除组账号
- 当系统中的某个组账号已经不再使用时,可以使用 groupdel 命令将该组账号删除。而添加指定的组账号名称作为参数
- 例如:
若要删除组账号 class01,可以执行以下操作
[root@localhost ~]# groupdel class01
3.3 查询账号信息
- 在用户管理工作中,虽然直接查看用户账号、组账号的配置文件也可以查询相关信息, 但是并不是很直观。在 Linux 操作系统中,还可以使用几个常用的查询命令工具,如 id、groups、finger、users 等
3.3.1 groups 命令——查询用户账号所属的组
- 使用 groups 命令可以查看指定的用户账号属于哪些组
- 例如
以下操作分别显示当前用户(root)和 daemon 用户所属的组账号信息
[root@localhost ~]# groups
root
[root@localhost ~]# groups daemon
daemon : daemon adm
3.3.2 id——查询用户账号的身份标识
- 使用 id 命令可以快速查看指定用户账号的 UID、GID 等标识信息
- 例如:
执行如下的“id root”命令可以查看 root 账号的用户 ID 号、组 ID 号,以及所在的附加组 ID 号。在输出结果中,gid 和 groups 部分第一个组账号对应该用户的基本组,groups 部分的其他组账号为该用户的附加组
[root@localhost ~]# id root
id=0(root) gid=0(root) groups=0(root),4(adm)
3.3.3 finger 命令——查询用户账号的登录属性
- 使用 finger 命令可以查询指定的用户账号的登录属性等详细信息,包括登录名称、完整名称、宿主目录、登录 Shell 等
- 例如:
执行如下的“finger root”命令可以显示 root 账号的详细信息。若系统中没有该命令, 可以从系统光盘镜像的 Packages 目录下找到finger-0.17-52.el7.x86_64.rpm 进行安装
[root@localhost Packages]# finger root
Login: root Name: root
Directory: /root Shell: /bin/bash
On since Tue Apr 18 05:28 (EDT) on :0 from :0 (messages off) On since Tue Apr 18 05:29 (EDT) on pts/0 from :0
4 hours 1 minute idle
On since Tue Apr 18 05:31 (EDT) on pts/1 from 192.168.12.1 No mail.
No Plan.
3.3.4 w 命令——查询当前主机的用户登录情况
- 使用 w 命令可以查询当前主机中的用户登录情况,列出登录账号名称、所在终端、登录时间、来源地点等信息
[root@localhost ~]# w
09:33:26 up 4:06, 3 users, load average: 0.02, 0.02, 0.05
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root :0 :0 05:28 ?xdm? 1:33 0.32s gdm-sessio root pts/0 :0 05:29 4:02m 0.11s 0.11s bash root pts/1 192.168.12.1 05:31 6.00s 0.57s 0.04s w
四、文件和目录的权限和归属
- 在 Linux 文件系统的安全模型中,系统中的文件(或目录)具有两个属性:访问权限和文件所有者,简称权限和归属
- 访问权限包括读取、写入、可执行三种基本类型,归 属包括属主(拥有该文件的用户账号)、属组(拥有该文件的组账号)
- Linux 操作系统根据文件或目录的访问权限、归属来对用户访问数据的过程进行控制
- 注意
- 由于 root 用户是系统的超级用户,拥有完全的管理权限,因此在练习相关命令操作时建议不要以 root 用户作为限制对象,否则可能看不到效果
4.1 查看目录和文件的属性
- 使用带“-l”选项的 ls 命令时,将以长格式显示文件或目录的详细信息,其中包括该文件的权限和归属等参数
- 例如:
执行以下操作可以列出/etc 目录和/etc/passwd 文件的详细属性
[root@localhost ~]# ls -ld /etc /etc/passwd
drwxr-xr-x. 140 root root 8192 Apr 18 09:13 /etc
-rw-r--r--. 1 root root 2363 Apr 18 07:12 /etc/passwd
权限字段 |
含义 |
第 1 个字符 |
表示该文件的类型,可以是 d(目录)、b(块设备文件)、c(字符设备文件)、“-”(普通文件)、字母“l”(链接文件)等。 |
第 2~4 个字符 |
表示该文件的属主用户(User)对该文件的访问权限。 |
第 5~7 个字符 |
表示该文件的属组内各成员用户(Group)对该文件的访问权限。 |
第 8~10 个字符 |
表示其他任何用户(Other)对该文件的访问权限。 |
第 11 个字符 |
这里的“.”与 SELinux 有关,目前不必关注 |
- 访问权限
- 在表示属主、属组内用户或其他用户对该文件的访问权限时,主要使用了三种不同的权限字符:r、w、x,分别表示可读、可写、可执行
- 若需要去除对应的权限,则用“-”表示
权限字符在文件和目录中的含义
权限 |
文件 |
目录 |
读取r |
允许查看文件内容 |
显示目录列表 |
写入w |
允许修改文件内容 |
允许在目录中新建,移动,删除文件或子目录 |
可执行x |
允许运行程序 |
切换目录 |
- 若用户在对要访问的文件或目录中不具备相应的权限,则操作将被拒绝
- 例如
当普通用户 mike 尝试查看/etc/shadow 文件时,将会提示“Permission denied(因权限不足而被拒绝访问)”
[mike@localhost root]$ ls -l /etc/shadow
----------. 1 root root 1345 Apr 18 07:12 /etc/shadow [mike@localhost root]$ cat /etc/shadow
cat: /etc/shadow: Permission denied
4.2 设置目录和文件的权限
- 需要设置文件或者目录的权限时,主要通过 chmod 命令进行
- 在设置针对每一类用户的访问权限时,可以采用两种形式的权限表示方法
- r、w、x 权限字符可分别表示为八进制数字 4、2、1,表示一个权限组合时需要将数字进行累加,例如:
- “rwx” 采用累加数字形式表示成“7”
- “r-x”采用累加数字形式表示成“5”
- “rwxr-xr-x”可以表示成“755”
- “rw-r–r--”可以表示成“644”
- 使用 chmod 命令设置文件或目录的权限时,基本的命令格式如下
chmod [ugoa…][+-=][rwx] 文件或目录…
或者
chmod nnn 文件或目录…
- 字符组合“[ugoa…][±=][rwx]”或数字组合“nnn”的形式表示要设置的权限模式
- “nnn”为需要设置的具体权限值,如“755”“644”等
- “[ugoa…][±=][rwx]”的形式中,三个组成部分的含义及用法如下所述
- “ugoa”表示该权限设置所针对的用户类别。“u”代表文件属主,“g”代表文件属组内的用户,“o”代表其他任何用户,“a”代表所有用户(u、g、o 的总和)
- “±=”表示设置权限的操作动作。“+”代表增加相应权限,“-”代表减少相应权限,“=”代表仅设置对应的权限
- “rwx”是权限的字符组合形式,也可以拆分使用,如“r”“rx”等
- 示例:
将 mkdir 命令程序复制为 mymkdir,并通过去除 mymkdir 文件的“x”权限来验证可执行权限的变化
[root@localhost ~]# cp /bin/mkdir mymkdir
[root@localhost ~]# ls -l mymkdir
-rwxr-xr-x. 1 root root 79768 Apr 18 09:38 mymkdir
[root@localhost ~]# ./mymkdir dir01
[root@localhost ~]# ls -ld dir01
drwxr-xr-x. 2 root root 6 Apr 18 09:39 dir01
[root@localhost ~]# chmod ugo-x mymkdir
-rw-r--r--. 1 root root 79768 Apr 18 09:38 mymkdir
[root@localhost ~]# ./mymkdir dir02
-bash: ./mymkdir: Permission denied
- 需要将不同类别的用户对文件或目录的权限设置为不同值时,可以用逗号进行分隔
- 例 如
执行以下操作可以调整 mymkdir 文件的权限,为属主用户添加执行权限,删除其他用户的读取权限
[root@localhost ~]# chmod u+x,o-r mymkdir
[root@localhost ~]# ls -l mymkdir
-rwxr -. 1 root root 79768 Apr 18 09:38 mymkdir
- 更简便易用的方法是采用数字形式表示的权限模式
- 例如
若要将 mymkdir 文件的访问权限设置为“rwxr-xr-x”,其对应的数字组合是 755
[root@localhost ~]# chmod 755 mymkdir
[root@localhost ~]# ls -l mymkdir
-rwxr-xr-x. 1 root root 79768 Apr 18 09:38 mymkdir
- 在实际的目录权限管理工作中,有时会需要将某一个目录中的所有子目录及文件的权限都设置为相同的值,这时只要结合 chmod 命令的“-R”选项即可轻松实现。若不指定“-R”选项, chmod 命令将只改变所指定目录本身的权限
- 例如
执行以下操作将以递归的方式将/var/ftp/pub 目录中所有子目录、文件的权限都设置为“rw-r–r--”
[root@localhost ~]# chmod -R 644 /var/ftp/pub/
4.3 设置目录和文件的归属
- 需要设置文件或者目录的归属时,主要通过 chown 命令进行。可以只设置属主或属组, 也可以同时设置属主、属组
- 基本格式
chown 属主[:[属组]] 文件或目录…
- 同时设置属主、属组时,用户名和组名之间用“:”进行分隔。若只设置属组,则需使用“: 组名”的形式
- 如果只需要设置目录或文件的属主,直接以用户名表示归属即可,递归修改目录归属同样可以使用“-R”选项
- 例如:
执行以下操作可将/var/ftp/pub/目录的属主由 root 改为 ftp(调整后用户 ftp 将拥有“rwx”的权限)
[root@localhost ~]# ls -ld /var/ftp/pub/
[root@localhost ~]# chown -R ftp /var/ftp/pub/
[root@localhost ~]# ls -ld /var/ftp/pub/
- 如果同时设置目录和文件的属主、属组,则需要用到分隔符“:”
- 例如:
执行以下操作可 将 mymkdir 文件的属主更改为 daemon、属组更改为 wheel
[root@localhost ~]# ls -ld mymkdir
-rwxr-xr-x. 1 root root 79768 Apr 18 09:38 mymkdir [root@localhost ~]# chown daemon:wheel mymkdir
[root@localhost ~]# ls -ld mymkdir
-rwxr-xr-x. 1 daemon wheel 79768 Apr 18 09:38 mymkdir
4.4 设置目录和文件的默认权限
- umask 就是默认指定目前用户在新建文件或目录时的权限默认值
- 执行“umask 022” 即可以设置当前用户的默认权限
- 直接执行“umask”命令就是查看当前系统的默认权限
- 需要注意的是,umask 的分数指的是“该默认值需要减掉的权限”。因此 r、w、x 分别是 4、2、1
- 如果执行“umask 022”代表 group 和 other 被拿掉了权限"2",也就是被拿掉了“写”权限
- 如果执行命令“umask 000”,代表文件的默认权限是“777”
[root@kgc ~]# umask 000
[root@kgc ~]# mkdir /umask1
[root@kgc ~]# ls -ld /umask1/
drwxrwxrwx 2 root root 4096 3 月 13 17:02 /umask1/
[root@kgc ~]# umask 022
[root@kgc ~]# mkdir /umask2
[root@kgc ~]# ls -ld /umask2/
drwxr-xr-x 2 root root 4096 3 月 13 17:03 /umask2/
[root@kgc ~]#