Linux中的權限管理
- 前言
- 目錄
- 一、shell命令以及運行原理
- 二、Linux中的權限概念
- 1、如何實現用戶賬號的切換
- 2、如何僅提升當前指令的權限
- 3、如何將普通用戶添加到信任列表
- 三、Linux中的權限管理
- 1、文件訪問者的分類(人)
- 2、文件類型和訪問權限(事物屬性)
- 3、文件權限值的表現方法
- 4、文件訪問權限的相關設置方法
- 1)如何改變文件訪問權限
- 2)如何改變文件的擁有者
- 3)如何改變文件的所屬組
- 4)如何修改文件的掩碼
- 四、目錄權限
- 五、粘位鍵
- 六、關于權限總結
前言
在Linux系統中,權限管理是系統安全和資源管控的基石。無論是日常文件操作、服務部署,還是多用戶協作,錯誤的權限設置輕則導致"Permission Denied"報錯,重則引發數據泄露或系統崩潰。
本文將從權限本質出發,通過大量實例帶你掌握:
- 權限三要素:
r/w/x對文件和目錄的不同含義 - 數字與符號表示法:為什么
chmod 755比chmod u+rwx更常用? - 特殊權限:SUID、SGID、Sticky Bit 的實戰應用場景
- ACL高級控制:如何實現精細化權限分配?
- SELinux:超越傳統權限的強制訪問控制
無論你是:
- 被
sudo權限困擾的新手 - 需要部署Web服務的運維工程師
- 面臨團隊協作開發的程序員
都將在這里找到可立即落地的解決方案。文中包含18個高頻場景示例和5個避坑指南,助你徹底擺脫權限管理的盲區。
“知其然更要知其所以然”——我們不僅講解命令用法,更會通過內核視角分析權限校驗的底層邏輯。現在,讓我們從第一個 ls -l 的輸出解讀開始這段探索之旅!
為什么需要深度掌握權限?
- 當你的PHP項目突然無法寫入日志文件時…
- 當團隊成員誤刪了重要數據卻無法追溯時…
- 當黑客利用配置錯誤提權入侵服務器時…
這些問題的答案,都藏在權限管理的細節中。
目錄
一、shell命令以及運行原理
我們都知道Windows以圖形化界面為交互方式,而Linux以命令行界面為交互方式。Windows和Linux的交互方式雖然不同,但本質上是一樣的,圖形化界面和命令行界面都是為了讓用戶進行相關操作,而圖形化界面和命令行界面就是我們所說的“外殼程序”。
Linux嚴格意義上說是一個操作系統,我們稱之為“核心(kernel)”,但我們一般用戶不能直接使用kernel,而是通過kernel的“外殼程序”,也就是所謂的Shell,來與kernel溝通。
Shell最簡單的定義就是“命令行解釋器”:
1)將使用者的命令翻譯給核心(kernel)處理。
2)將核心的處理結果翻譯給使用者。
對比Windows中的圖形化界面(GUI),我們操作Windows并不是直接操作Windows內核,而是通過圖形接口,點擊,從而完成我們的操作。Shell對于Linux具有相同的作用,主要是對我們的指令進行解析,解析指令給Linux內核,反饋結果再通過內核運行出結果,通過Shell解析給用戶。
Shell運行原理:
- 創建子進程,讓子進程進行命令行解釋。
- 子進程出現任何問題,都不影響父進程Shell。
對比到Windows當中就是,我們每運行一個程序就是創建了一個子進程,例如,登錄微信、QQ。而這些子進程當中任何一個進程出現問題,都不會影響父進程,例如,當你的QQ出現卡死情況(程序異常)或你的QQ被關掉(程序終止),但其他子程序仍然可以運行。
注意: Shell只是所有外殼程序的統稱,例如在centos 7當中的外殼程序名叫bash。
二、Linux中的權限概念
在Linux下有兩種用戶,分別是超級用戶(root)和普通用戶。超級用戶可以在Linux下做任何事情,幾乎不受限制,而普通用戶一般只能在自己的工作目錄下(/home/xxx)工作,以及在系統上做有限的工作。
換句話來說,所有的權限的概念都是用來限制普通用戶的,而超級用戶幾乎不受限制。
超級用戶的命令提示符是“#”。
普通用戶的命令提示符是“$”
1、如何實現用戶賬號的切換
可能有時你的權限不夠,需要從普通用戶切換到超級用戶,進而完成某些操作。
語法: su?用戶名
功能: 用戶切換。
從普通賬號切換為root賬號:
從root賬號切換為普通賬號:
注意事項:
- 從普通賬號切換為root賬號時,指令當中的root可省略,因為root賬號只有一個。
- 該指令也可以從一個普通用戶切換為另一個普通用戶,輸入待切換用戶的賬號密碼即可。
- 切換用戶后,若想切回上次的用戶,可通過Ctrl+D實現。
- 如果root和用戶的密碼設置成同一個可能會造成認證失敗情況
2、如何僅提升當前指令的權限
但可能某些情況下,你只想提升當前指令的權限,那么不必切換到超級用戶。
語法: sudo?指令
功能: 提升當前指令的權限。
例如,我現在要以一名普通用戶的身份,修改另一個普通用戶的賬號密碼。
當你輸入完你的密碼后,可能會出現以下提示:
該提示說你沒有被超級用戶(root)添加到信用列表當中,所以該條指令的權限得不到提升(你想想嘛,怎么可能讓一個普通用戶隨意更改另一個普通用戶的密碼嘛),只有當你被超級用戶添加到信任列表后,你才擁有提升當前指令權限的能力。
3、如何將普通用戶添加到信任列表
那么首先你得先切換到超級用戶,只有超級用戶才有權力將普通用戶添加到信任列表。
添加完畢后,該用戶就可以使用sudo指令,也就是擁有提升當前指令權限的能力了。
三、Linux中的權限管理
1、文件訪問者的分類(人)
對于用戶來說,權限可以將用戶分為三大類:
- 文件和文件目錄的所有者(文件擁有者)。
- 文件擁有者所在的組的用戶(文件所屬組)。
- 其他用戶(other)。
注意:
對于某一文件而言,其擁有者、所屬組和other就是由超級用戶(root)和普通用戶所扮演。
在Linux當中,所有用戶都要隸屬于某一個組,哪怕這個組只有你一個人(此時該組就以你的用戶名為組名)。
那么為什么會有所屬組這個概念呢? 下面舉個例子。
在某個公司當中有兩個小組團隊(A組、B組)在同一個Linux服務器上進行著同一款項目的開發(賽馬模式),而你就是A組當中的一員。
如果沒有所屬組的概念,那么當你創建了一個文件后,要么就是只有你自己(擁有者)能看到,要么就是其他人(other)也都能看到。而你所希望的是你自己和你的小組成員能看到,剩下的人看不到。
于是就有了所屬組這個概念,這時你就可以將文件設置為擁有者和所屬組可見,而other不可見。所以所屬組的存在是為了更靈活的進行權限配置,滿足團隊協作。
我們可以通過指令ll來查看某一文件或文件目錄的擁有者和所屬組。
注意:注: 除了文件擁有者和文件所屬組之外的都叫other。
2、文件類型和訪問權限(事物屬性)
權限涉及到某個具體的事物來說,我們還需要討論事物本身的屬性。對于文件來說,我們應該討論其文件類型,以及是否具有可讀、可寫和可執行的屬性。
使用指令ll,我們可以看到前面有一串字符,這串字符實際上就代表著該文件的類型和屬性。
這串字符由10個字符組成的。其中第一個字符所代表的就是該文件的文件類型。
不同的字符代表不同的文件類型。
- -:代表普通文件。
- d:代表目錄。
- l:代表鏈接文件(類似于Windows當中的快捷方式)。
- b:代表塊設備文件(例如硬盤、光驅等)。
- p:管道文件。
- c:字符設備文件。
- s:套接口文件。
注意: 在Linux當中,文件類型與文件后綴無關。
每一組的三個字符的第一個字符代表該文件是否具有可讀屬性,第二個代表是否具有可寫屬性,第三個代表是否具有可執行屬性。
若是具有可讀屬性,則第一個位置的字符為r;若是具有可寫屬性,則第二個位置的字符為w;若是具有可執行屬性,則第三個位置的字符為x。若某一位置為字符 - ,則說明不具有對應位置的屬性。
現在我們來闡述一下該文件的類型以及權限。
tset.txt目錄是一個普通目錄,該目錄的擁有者和所屬組對其都是可讀可寫可執行的,但該文件的other對其只有讀的權力和可執行的權力。
3、文件權限值的表現方法
- 字符表示方法
ll指令打印文件權限值時的表示方法就是字符表示法。例如
| 字符表示法 | 說明 |
|---|---|
| f - - | 僅可讀 |
| - w - | 僅可寫 |
| - - x | 僅可執行 |
| f w - | 可讀可寫 |
| f - x | 可讀可執行 |
| - w x | 可寫可執行 |
| f w x | 可讀可寫可執行 |
| - - - | 無權限 |
- 八進制數值表示法
字符表示法中的每一個字符所在位置所表示的結果只有兩種可能,要么為真,要么為假,因此我們可以將這三個字符換為三個二進制位,進而換為一個八進制位進行表示。例如
| 字符表示法 | 二進制 | 八進制數值表示法 | 說明 |
|---|---|---|---|
| r– | 100 | 4 | 僅可讀 |
| -w- | 010 | 2 | 僅可寫 |
| –x | 001 | 1 | 僅可執行 |
| rw- | 110 | 6 | 可讀可寫 |
| r-x | 101 | 5 | 可讀可執行 |
| -wx | 011 | 3 | 可寫可執行 |
| rwx | 111 | 7 | 可讀可寫可執行 |
| — | 000 | 0 | 無權限 |
4、文件訪問權限的相關設置方法
1)如何改變文件訪問權限
語法: chmod?選項?權限?文件名或目錄名
功能: 設置文件的訪問權限。
常用選項: -R 遞歸修改目錄文件的權限。
chmod指令權限值的格式:
格式一: 用戶符號 +/-/= 權限字符
- +:向權限范圍增加權限代號所表示的權限。
- -:向權限范圍取消權限代號所表示的權限。
- =:向權限范圍賦予權限代號所表示的權限。
用戶符號:
- u:擁有者。
- g:所屬組。
- o:other。
- a:所有用戶。
若要同時設置不同類用戶的訪問權限,則需用逗號隔開。
格式二: 三位八進制數字
將對應的八進制數轉換為二進制,進而設置對應權限值。
2)如何改變文件的擁有者
語法: chown?選項?用戶名?文件名或目錄名
功能: 修改文件的擁有者。
常用選項: -R 遞歸修改目錄文件的擁有者。
注意: 修改文件的擁有者需要root用戶進行操作,若是普通用戶則需要進行權限提升。
也可以使用chown指令同時修改文件的擁有者和所屬組,將擁有者和所屬組的用戶名用冒號隔開即可。
3)如何改變文件的所屬組
語法: chgrp?選項?用戶名?文件名或目錄名
功能: 修改文件的所屬組。
常用選項: -R 遞歸修改目錄文件的所屬組。
注意: 修改文件的所屬組也需要進行權限提升。
4)如何修改文件的掩碼
我們查看新建的文件和目錄,它們都有自己默認的權限。
實際上,新建文件的默認權限為0666,新建目錄的默認權限為0777。其中第一位的0與特殊權限有關,我們這里不必深究,而后面三位就是權限的八進制數值表示方法,我們將其翻譯為字符表示方法。
但實際上你會發現,你所創建出來的文件和目錄的權限值往往不是我們所翻譯出來的值,原因就是創建文件和目錄的時候還要受到umask的影響,假設默認權限是mask,則實際創建出來的文件權限是:mask&(~umask)
語法: umask?權限值
功能: 查看或修改文件掩碼。
我們可以通過指令umas 查看文件默認掩碼。
因此我們實際創建出來的文件和目錄的權限值還需要進行進一步換算才能得出。首先我們將掩碼的的后三位八進制換算為二進制,然后對其進行按位取反。
然后將之前的新建文件的默認權限值和新建目錄的默認權限值分別與其進行按位與操作,得到的就是我們創建出來的文件和目錄的權限值。
因此我們也可以通過修改umask來設置文件的訪問權限。
四、目錄權限
對于文件來說,其可讀可寫可執行的屬性我們都知道分別代表著什么對應的操作,那對于目錄來說可讀可寫可執行又分別代表著什么呢?
- 可讀權限: 如果用戶沒有該目錄的可讀權限,則無法通過ls指令查看目錄中的文件內容。
- 可寫權限: 如果用戶沒有該目錄的可寫權限,則無法通過一系列指令在目錄中創建文件或刪除文件。
- 可執行權限: 如果用戶沒有該目錄的可執行權限,則無法通過cd指令進入到目錄當中。
于是,問題來了~~換句話來講,就是只要??具有?錄的寫權限,??就可以刪除?錄中的?件,?不論
這個??是否有這個?件的寫權限.
這好像不太科學啊,我張三創建的?個?件,憑什么被你李四可以刪掉?我們?下?的過程印證?下.
為了解決這個不科學的問題,Linux引?了粘滯位的概念.
五、粘位鍵
當?個?錄被設置為"粘滯位"(?chmod+t),則該?錄下的?件只能由
- 超級管理員刪除
- 該?錄的所有者刪除
- 該?件的所有者刪除
六、關于權限總結
- ?錄的可執?權限是表?你可否在?錄下執?命令。
- 如果?錄沒有-x權限,則?法對?錄執?任何命令,甚??法cd進??,即使?錄仍然有-r讀權限(這個地?很容易犯錯,認為有讀權限就可以進??錄讀取?錄下的?件)
- ?如果?錄具有-x權限,但沒有-r權限,則??可以執?命令,可以cd進??錄。但由于沒有?錄的讀權限
- 所以在?錄下,即使可以執?ls命令,但仍然沒有權限讀出?錄下的?檔。
)
)
)
