【Linux入门】---Linux权限管理详解

1.shell命令以及运行原理

Linux严格意义上说的是一个操作系统，我们称之为“核心（kernel）“，但我们一般用户，不能直接使用kernel。而是通过kernel的“外壳”程序，也就是所谓的shell，来与kernel沟通。如何理解？为什么不能直接使用kernel？从技术角度，Shell的最简单定义：即命令行解释器（command Interpreter），其主要工作包含：

• 将使用者的命令翻译给核心（kernel）处理。
• 同时，将核心的处理结果翻译给使用者。

对比windows GUI，我们操作windows 不是直接操作windows内核，而是通过图形接口，点击，从而完成我们的操作（比如进入D盘的操作，我们通常是双击D盘盘符，或者运行起来一个应用程序）。
shell 对于Linux，有相同的作用，主要是对我们的指令进行解析，解析指令给Linux内核。反馈结果在通过内核运行出结果，通过shell解析给用户。
帮助理解：如果说你是一个闷骚且害羞的程序员，那shell就像媒婆，操作系统内核就是你们村头漂亮的
且有让你心动的MM小花。你看上了小花，但是有不好意思直接表白，那就让你你家人找媒婆帮你提亲，所有的事情你都直接跟媒婆沟通，由媒婆转达你的意思给小花，而我们找到媒婆姓王，所以我们叫它王婆，它对应我们常使用的bash。
问题1：替我们与操作系统打交道的解释器有哪些呢？
解释器有：LInux系统上的命令行解释器shell（媒婆），而shell又分为bash（王婆）、sh（李婆）等；以及Windows常用的图形化界面

2.linux用户分类

Linux下有两种用户：超级用户（root）、普通用户。

• 超级用户：可以再linux系统下做任何事情，不受限制
• 普通用户：在linux下做有限的事情。
• 超级用户的命令提示符是#，普通用户的命令提示符是$

su指令切换用户

命令：

su 用户名//只切换用户身份，不改变用户环境变量（用户处家目录）
su - 用户名//改变用户身份，并且改变用户环境变量（用户处家目录）

该指令功能为： 切换用户。
注意：①su指令后面不加用户名，默认用户名为root用户②用户之间切换账号需要输入用户的密码，root用户切换为普通用户直接进入无需输入密码。即root用户不受权限的约束，普通用户受到权限的约束。

③输入exit指令可以回退到上一个使用的用户账号，也可以在键盘中按住Ctrl+d建达到相同的效果。

3.Linux权限管理

3.1Linux文件访问者

文件和文件目录的所有者：u---User ，即文件拥有者
文件和文件目录的所有者所在的组的用户：g---Group，即文件所属组
其它用户：o---Others，即不属于上面两类，称为文件其他用户

3.2文件类型和访问权限

当我们使用ll指令查看文件详细信息时，它列举的文件信息是什么呢？

知道了文件基本信息，上面的文件中文件的类型、文件的权限有哪些呢？以及权限与访问者之间是什么关系呢？让我们一起往下看！

文件类型

d：文件夹（目录文件）
-：普通文件（文本文件，可执行程序，库都属于普通文件）
l：软链接（类似Windows的快捷方式）
b：块设备文件（例如硬盘、光驱等）
p：管道文件（用来进行用户通信的）
c：字符设备文件（例如屏幕等串口设备）
s：套接口文件

Linux基本权限：

权限名称	符号表示	八进制位表示	权限说明
可读权限	r	4	Read对文件而言，具有读取文件内容的权限；对目录来说，具有浏览该目录信息的权限
可写权限	w	2	Write对文件而言，具有修改文件内容的权限；对目录来说具有删除移动目录内文件的权限
可执行权限	x	1	execute对文件而言，具有执行文件的权限；对目录来说，具有进入目录的权限
无权限	-	0	“—”表示不具有该项权限

3.3文件权限值的表示方法

(1)字符表示方法

访问者对应位置的权限的含义是确定的，权限组合方式如下：

(2)8进制数值表示方法

Linux用户和Linux文件的访问者之间的关系是：①Linux用户是一个人，Linux文件的访问者是一种角色身份，权限是Linux系统赋予访问者的能力；②Linux用户可以是拥有者、所属组、其他人的角色身份，可以拥有可读、可写、执行的权限；③普通用户受访问者权限的限制，root用户不受访问者权限的限制。

3.4文件访问权限的相关设置方法

chmod指令–权限修改方法①

功能： 设置文件的访问权限
格式： chmod [参数] 权限 文件名
常用选项： R -> 递归修改目录文件的权限 说明：只有文件的拥有者和root才可以改变文件的权限

chmod命令权限值的格式

用户表示符+/-=权限字符

• +:向权限范围增加权限代号所表示的权限（在原有权限基础上，增加权限）
• -:向权限范围取消权限代号所表示的权限（在原有权限基础上，取消权限）
• =:向权限范围赋予权限代号所表示的权限 （原有权限被清除后，重新赋予权限）
• 用户符号： u：拥有者 g：拥有者同组用户 o：其它用户 a：所有用户
  

Linux文件访问者被取消相关权限后哪些指令操作不能被执行呢？

①取消r（读写）权限后，文件里面的内容信息不能被查看。

②取消可写权限后，不能对文件进行删除、创建文件、更改文件信息操作

③取消文件可执行权限后，不能进入文件中，但可以查看文件内容。

chmod指令–权限修改方法②

语法：

chmod 6（拥有者权限）6（所属组权限）6（其他人权限） 文件名

对应位置的权限被允许对应二进制数字为1，否则为0，如文件拥有者可读、可写、可执行的权限被允许，其对应二进制为111，转化为八进制数为7。

三个位置上都有表示权限的八进制数字，文件拥有者、所属组、其他用户将会对应起来；若是只有一个表示权限先修改其他用户的权限（其他用户->所属组->拥有者），其他访问者的权限默认为0。

chown指令

功能： 修改文件的拥有者
格式： chown [参数] 用户名 文件名
实例：

注意： 该指令只能被root用户使用，普通用户要想使用需要sudo chown对该指令提权

chgrp指令

功能： 修改文件或目录的所属组
格式：chgrp [参数] 用户组名 文件名
常用选项：-R 递归修改文件或目录的所属组
实例

注意： 该指令只能被root用户使用，普通用户要想使用需要sudo chown对该指令提权

为什么目录文件默认权限为775，文本文件的默认权限为664，这个与指令umask设置的文件掩码相关

umask指令

功能： 查看或者修改文件掩码
格式： umask 权限值
说明： 超级用户默认掩码值为0022(对应二进制为000 010 010)，普通用户默认为0002（对应二进制为000 000 010）。


我们新建文本文件的起始权限为666，新建目录文件起始权限为777，到底经过操作系统的什么操作之后文本文件的权限为664，目录文件权限为775呢？

按位与运算符操作方法：两个二进制数进行比较，对应位置有零则为零，两个同时为1才为1。
普通用户实例：


root用户实例：

总结：
最终权限确认方法：①二进制法，最终权限=起始权限&（~umask掩码）；②将权限转换位八进制，将现有的存取权限减去权限掩码后，即可产生建立文件时预设权限。

file指令

功能说明： 辨识文件类型。
语法： file [选项] 文件或目录...
常用选项： -c 详细显示指令执行过程，便于排错或分析程序执行的情形。 -z 尝试去解读压缩文件的内容。

4.目录权限

实例
在上面操作中，root用户使用chmod指令将/home文件定义为一个”共享文件“，并在/home目录创建了一个root.c的普通文件，保证其他用户可读可写可执行操作，达到资源共享的目的；但是普通用户未经root用户允许的情况下竟然可以删除\home目录下的root,c文件，这是不是太过分了！

粘滞位

针对上面的情况，我们可以进行如下操作

当一个目录被设置为"粘滞位"(用chmod +t),则该目录下的文件只能由
一、超级管理员删除
二、该目录的所有者删除
三、该文件的所有者删除

所以带粘滞位的共享文件既保障了文件拥有者的合法权益，又达到了文件资源共享的目的，这样的文件才是真正的共享文件。在根目录下，LInux系统已经创建好了一个tmp的共享文件（带粘滞位的），供用户之间共享资源。

5.sudo问题

使用普通用户账号会受到权限的约束，有些指令使用不了，只有root才能使用，那普通用户能不能使用呢？当然可以，前提是root用户将该普通用户列在信任白名单上。
使用root账号进行操作：

# vim /etc/sodoers

往下找到白名单的位置：

添加root信任的用户到白名单中：

强制保存退出后，为添加成功

普通用户获得root用户信任后（即普通用户添加到信任白名单中），在任何指令前加sudo，就获得root用户的权限，但不可以滥用哦！小心被root用户请出白名单。
普通用户添加到白名单之前：

普通用户添加到白名单之后：

总结

可执行权限： 如果目录没有可执行权限，则无法cd到目录中。
可读权限： 如果目录没有可读权限，则无法用ls等命令查看目录中的文件内容。
可写权限： 如果目录没有可写权限，则无法在目录中创建文件，也无法在目录中删除文件。
①目录的可执行权限是表示你可否在目录下执行命令；如果目录没有-x权限，则无法对目录执行任何命令，甚至无法cd进入目录，即使目录仍然有-r 读权限（这个地方很容易犯错，认为有读权限就可以进入目录读取目录下的文件）。
②如果目录具有-x权限，但没有-r权限，则用户可以执行命令，可以cd进入目录。但由于没有目录的读权限所以在目录下，即使可以执行ls命令，但仍然没有权限读出目录下的文档。