Linux-权限管理

目录

• 基本权限
  • 修改基本权限
  • rwx权限对文件的影响
  • rwx权限对目录的影响
  • 修改属主和属组
• 特殊权限
  • SUID
  • SGID
  • SBIT（Sticky Bit）
• 权限掩码umask
• 权限掩码umask的设置

基本权限

Linux文件系统的基本权限有四个标识：r（readable）、w（writable）、x（executable）以及-（none）。

# 查看/etc目录的权限
[root@wqh06 ~]# ll -d /etc 
drwxr-xr-x. 76 root root 8192 Apr  4 10:46 /etc

# 分解第一列字符
  d        rwx                r-x                r-x                      .
# 目录     属主权限位(U)       属组权限位(G)       其他用户权限位(O)         与selinux有关
# U，G，O 即 User，Group，Other
# 最后的一个 `.` ，如果selinux开机自启，那么创建的文件都会有此后缀，想消除需要彻底关闭selinux（/etc/selinux/config）

字母	含义	对应八进制（octal）权限
r(read)	读取权限	100（4）
w(write)	写入权限	010（2）
x(execute)	执行权限	001（1）
-(没有权限)	没有权限	000（0）

修改基本权限

基本权限是针对属主、属组、其他用户修改的，修改方式如下。

# ugo方式
chmod   //修改文件目录权限rwx  -R 递归修改

[root@wqh06 ~]# touch file
[root@wqh06 ~]# chmod a=rwx file
[root@wqh06 ~]# chmod a+rwx file
[root@wqh06 ~]# ll file
-rwxrwxrwx 1 root root 0 Mar 20 21:19 file

[root@wqh06 ~]# chmod a=-rwx file
[root@wqh06 ~]# chmod a-rwx file
[root@wqh06 ~]# ll file
---------- 1 root root 0 Mar 20 21:19 file

[root@wqh06 ~]# chmod u+rw,g+r,o+rx file
[root@wqh06 ~]# ll file
-rwxrwxrwx 1 root root 0 Mar 20 21:19 file
[root@wqh06 ~]# chmod u=rwx,g=rw,o=rx file
[root@wqh06 ~]# ll file
-rwxrw-r-x 1 root root 0 Mar 20 21:19 file

# number方式
mkdir dir       //建立目录
touch dir/file  //建立文件

# 用八进制数赋予权限
chmod 777 dir/   //修改dir目录权限为777
chmod u+rwx,g+rwx,o+rwx 
chmod 666 dir/file     //修改file文件权限为666
chmod u+rw,g+rw,o+rw 

# -R递归
chmod -R 766 dir/  //修改目录及子目录权限

rwx权限对文件的影响

r:文件可以读取内容，不能写，不能执行，可以cat，less
w:文件可以写入内容，但是追加只能>>，不能vim，因为不能读取内容，所以不能修改文件内容，只能覆盖
x:啥也不能干，因为没有读权限。所以无法执行文件中的内容（代码逻辑）
rw：可读，可写，不能执行
rx:可读，可执行，不能写
rwx：可读，可写，可执行

注意：文件的rwx权限，只能针对文件内容，如果想要删除，或者移动，那么跟文件所在目录的权限有关
# 可以把目录想成一个文件，不过这个文件存放的是目录内的文件元数据

rwx权限对目录的影响

r：可以查看目录下所有的文件名，但是看不见文件的详细信息（元数据）
rx：加上x权限，就可以看见文件的详细信息（元数据）      # 目录权限中最常见的
wx:可以创建，可以删除，不能查看
rw：可以查看目录下的文件，但是不能删除，不能移动，不能拷贝（和单独的r是一个效果）
rwx：删除文件，创建文件，移动文件，拷贝文件，查看
w：啥也不是，无法添加文件，无法删除文件（因为少了x）
x:啥也不是（但若知道目录下的一个具体文件名，可以cat文件内容）    

修改属主和属组

基本权限的设定，主要是针对属主和属组，然后是其他用户。对于一个文件或者目录拥有什么权限，
取决于你是谁（是这个文件/目录的属主、属组还是其他用户）。

属主属组修改命令chown
chown   # 更改属主以及属组     -R：递归修改

# 修改属主
chown user01 dir/      # 修改所属主为user01
ll -d dir/             # 检查属主
drwxr-xr-x 2 user01 root 4096 MAR 31 00:50 dir/


# 修改属组
chown .adm dir/         # 方法一：修改所属组为adm
chgrp adm dir/          # 方法二：修改所属组为adm
ll -d dir/              # 检查属组
drwxr-xr-x 2 bin adm 4096 MAR 31 00:50 dir/


# 修改属主和属组（一起修改）
chown root.root dir/        # 只修改此目录属主和属组为root
chown -R root.root dir/     # 递归修改目录及目录下的所有文件属主和属组为root

# 对于 -R 递归这个选项，chmod 有，chown 有，chgrp 也有，大家都有，才是真的有

特殊权限

SUID

引入一个例子，当我们在普通用户登录Linux系统的情况下修改自己的密码时，系统命令passwd做了什么？经过了什么流程？
我们知道所有用户信息、密码信息都保存在/etc/passwd和/etc/shadow文件中，也就是普通用户使用passwd命令变更自身密码时，
要修改/etc/passwd和/etc/shadow文件。
然而对于普通用户而言，我们是没有权限修改这两个文件的（属于其他用户，观察其他用户权限位）：

那我们是怎么修改了自身的密码？并将信息更新到上面的两个文件中的呢？

我们再看看我们使用的passwd命令，找到原因：

观察这个文件的属主权限位！居然有一个s!
这就是特殊权限之一的s（SetUID），顾名思义，它出现在属主权限位， 一般对应的是可执行文件。
如果一个可执行文件在属主权限位上的x位有s（SetUID）权限
，那么任何用户（root不受影响）执行这个文件时，都会以该文件的属主的身份去执行。

# SUID授权
# chmod ugo方式
[root@wqh06 ~]# chmod u+s 文件或目录

# chmod number方式 4000
[root@wqh06 ~]# chmod 4755 abc
[root@wqh06 ~]# chmod 4000 abc

注意：当授权文件，原本属主位上有x权限时，是小写s，原本属主位上没有x权限时，是大写S

SGID

将目录权限位设置成SGID后，在其目录下继续创建文件时，其所属组（只有所属组）与该目录保持一致。
使用sgid可以使得多个用户之间共享一个目录的所有文件变得简单。主要目的即共享目录。

# SGID授权
# chmod ugo方式
[root@wqh06 ~]# chmod g+s /tmp/test/

# chmod number方式 2000
[root@wqh06 ~]# chmod 2755 /tmp/test/
注意：当授权目录，原本属组位上有x权限时，是s，原本属组位上没有x权限时，是S

SBIT（Sticky Bit）

SBIT（Sticky Bit）翻译为粘滞位，目前只对目录有效。上面的SUID/SGID都是针对属主权限位、属组权限位的。
SBIT可想而知，是针对与其他用户权限位设置的。其他用户权限位的x位，变成了t，就是粘滞位。

设置粘滞位的目的是什么？
一句话，为了各个普通用户在此目录下，可以随意创建、修改、删除属于自己的文件，但不能够删除其他用户的文件。

一个目录其他用户权限位最常见的属性是r-x，如果我们想让其他用户（或者所有用户）都可以在这个目录下随意创建、修改、删除自己的文件（公共站点），
那么就需要将它的权限位设置成rwx，此时会出现一个问题，如果是rwx，那么任意一个普通用户都可以修改和删除其他人在这个目录（公共站点）的文件。
加了t后，除了root以外，其他每个普通用户只能在这个目录下创建、修改、删除自己的文件，不能删除其他用户（只针对用户，不针对组）的文件。

注意：如果在/tmp目录下，普通用户user01的文件，其他用户权限位是rwx，那么换一个普通用户user02还是可以任意修改的。

# SBIT授权
# chmod ugo方式
[root@wqh06 ~]# chmod o+t /opt

# chmod number方式 2000
[root@wqh06 ~]# chmod 1755 /opt
注意：当授权目录，原本其他用户权限位上有x权限时，是t，原本其他用户权限位上没有x权限时，是T

权限掩码umask

我们在创建一个文件/目录时，没有指定过它们的具体权限位，那系统是怎么分配权限位的呢？
由此引出权限掩码umask，在root用户下查看umask值为0022。

一般情况下，目录用0777减去它，文件用0666减去它，就能得到默认的目录/文件权限。
二般情况下，umask的值不是0022，是0023呢？
目录用0777减去它，权限位：0754
文件用0666减去它，权限位理应是0643，但文件的八进制权限位（后三位）不能有奇数，有奇数要+1，所以是0644

# umask为0022时
[root@wqh06 ~]# umask
0022

mkdir dir	 // 目录权限的计算
0777
0022
----
0755

touch file 	 // 文件权限的计算
0666
0022
----
0644

# umask为0033时
[root@wqh06 ~]# umask 0033
mkdir dir	 // 目录权限的计算 
0777
0033
----
0744
touch file 	 // 文件权限的计算
0666
0033
----
0644

# umask为0045时
[root@wqh06 ~]# umask 0045
mkdir dir	 // 目录权限的计算 
0777
0045
----
0732

mkdir dir	 // 文件权限的计算 
0666
0045
----
0622

# umask计算，当umask中出现奇数时：目录计算方式不变，但是奇数位的结果要+1

权限掩码umask的设置

实际上，umask的默认值并不一直是0022，这个umask的值是从/etc/profile中设置加载的。
如图所示，如果用户UID大于199，并且用户名和组名相同，那么权限掩码是0002，否则是0022。

验证：