[TOC]

权限管理

什么是权限？

通俗来说权限就是某一件事情是否允许被某个人做。其中,某一件事情就对应Linux中的各种文件,而人就是指使用Linux的用户。权限就是用来约束一个人或者一个群体的。

Linux之下一切皆文件,所以Linux下的事物，其实就是一个一个文件。Linux下的权限其实就是 , 不同种类的用户 对于一个文件的 不同权限。

Linux下文件的权限：

• 属主 user
• 属组 group
• 其他人 other

Linux下用户的权限：

• r(read) 可读权限 ,4
• w(write) 可写权限,2
• x(execute) 可执行权限,1
• -：没有权限，0

（注意：目录必须拥有 x 权限，否则无法查看其内容）

查看权限

## 替换命令
tr
## 使用tr命令，获取文件的数字权限
[root@web mnt]# ll
total 0
-rw-r--r-- 1 root root 0 Jul  5 15:52 1.txt
drwxr-xr-x 2 root root 6 Jul  5 15:52 hg
[root@web mnt]# ll|tr 'rwx-' '4210'|sed -n '2p'|awk -F '' '{print $2+$3+$4""$5+$6+$7""$8+$9+$10}'
644

## stat 查看 取出文件内容
[root@web mnt]# stat 1.txt 
  File: ‘1.txt’
  Size: 0           Blocks: 0          IO Block: 4096   regular empty file
Device: 803h/2051d  Inode: 675         Links: 1
Access: (0644/-rw-r--r--)  Uid: (    0/    root)   Gid: (    0/    root)
Access: 2023-07-05 15:52:25.075064617 +0800
Modify: 2023-07-05 15:52:25.075064617 +0800
Change: 2023-07-05 15:52:25.075064617 +0800
 Birth: -
[root@web mnt]# stat 1.txt|awk -F '[(/]' 'NR==4{print $2}'
0644

### 正规取出文件数字权限的命令
[root@web mnt]# stat -c %a 1.txt 
644

## 权限位
属主权限位：u user
属组权限位：g group
其他用户权限位：o other

chmod修改文件权限

#修改文件权限
chmod：change mode

## 语法
chmod 权限 文件名

## 选项
-R：递归授权

#选项
chmod u=rwx 文件            #赋予用户对文件拥有读、写、执行的权限
chmod g=rwx 文件            #赋予组对文件拥有读、写、执行的权限
chmod o=rwx 文件            #赋予其他人对文件拥有读、写、执行的权限
chmod u-w 文件              #去掉用户对文件写的权限
chmod g-r 文件              #去掉组对文件读的权限
chmod o-x 文件              #去掉其他人对文件执行的权限
chmod u+r 文件              #赋予用户对文件拥有读的权限
chmod o+w 文件              #赋予其他人对文件拥有写的权限
chmod g+x 文件              #赋予组对文件拥有执行的权限
chmod number 文件           #给文件赋予数字相对的权限

#实例
chmod u=rwx 1.txt            #赋予用户对文件1.txt拥有读、写、执行的权限
chmod u-w 1.txt             #去掉用户对文件1.txt写的权限
chmod g+x 1.txt              #赋予组对文件1.txt拥有执行的权限
chmod 777 1.txt              #给文件赋予777的权限

权限对文件的影响

r：文件只能读取
w：任何编辑命令都可以写入内容，但是vim读取不出来，就会覆盖原文件内容
x：对于普通用户来说，还是什么都做不了，必须配合r权限才可以执行

rw：可读，可写，正常的使用vim编辑，但是不能执行
rx：可读，可执行，但是不能编辑
wx：可写，不可读，不可执行
rwx：可读，可写，可执行

权限对目录的影响

## 目录在只有单权限的情况下，什么都做不了
r：能看见目录下的文件，但是看不见文件的详细属性
w：什么都做不了
x：什么都做不了

rx：才能查看目录下的文件
wx：读取不了目录里的文件，但是创建文件，创建目录，删除文件，删除目录，不能用*代替
rwx：可以做任何操作，可以创建，删除，移动，复制文件或目录

修改文件属主和属组

#修改文件的属主和属组
chown：change owner
## 语法
chown [选项]... 属主.属组 文件名
chown [选项]... 属主:属组 文件名
## 选项
-R：递归修改属组和属主(将该目录下的文件也一起修改)

#选项 
chown 属主:属组 文件             #修改文件的属主和属组
chown +R 属主:组 文件            #修递归改文件的属主和属组
chown 属主 文件                 #修改文件的属主
chown :属组 文件                #修改文件的属组

## 只修改属主
[root@web mnt]# chown hg 1.txt 
[root@web mnt]# ll
total 0
-rw-r--r-- 1 hg   root 0 Jul  5 15:52 1.txt
## 只修改属组
[root@web mnt]# chown :hg 1.txt 
[root@web mnt]# ll
total 0
-rw-r--r-- 1 hg   hg   0 Jul  5 15:52 1.txt

特殊权限

SerUID

# 1.普通用户可不可以修改密码？
可以，修改自己的密码

# 2./etc/shadow文件的作用？
存储用户密码的文件

# 3./etc/shadow文件的权限？
[root@web mnt]# ll /etc/shadow
---------- 1 root root 713 Mar 27  2021 /etc/shadow

# 4.普通用户，是否可以修改/etc/shadow文件？
不可以，/etc/shadow文件，对于普通用户没有任何权限，所以不能读取，也不能写入内容

# 5.那么普通用户，为什么可以修改密码？
1）因为使用了passwd这个命令
2）passwd命令在属主权限位上，原本是x权限，变成了s权限
3）s权限在属主权限位，又叫做SetUID权限，SUID
4）作用：普通用户在使用有SUID权限的文件或命令时，会以该文件的属主身份去执行该命令

SetUID特性

# 1.原本属主位上如果有x权限，则SetUID为小写s
[root@web mnt]# ll hg -d
drwxr-xr-x 2 root root 6 Jul  5 15:52 hg
[root@web mnt]# chmod u+s hg
[root@web mnt]# ll hg -d
drwsr-xr-x 2 root root 6 Jul  5 15:52 hg

# 2.原本属主位上如果没有x权限，则SetUID为大写S
[root@web mnt]# chmod 000 hg
[root@web mnt]# ll hg -d
d--S------ 2 root root 6 Jul  5 15:52 hg

# 3.授权方式
- chmod u+s 文件名
- chmod 4xxx 文件名
[root@web mnt]# chmod u-s hg/
[root@web mnt]# ll hg -d
d--------- 2 root root 6 Jul  5 15:52 hg

# 4.SetUID权限的数字是4000
[root@web mnt]# mkdir -m 000 yyds
[root@web mnt]# ll
total 0
d--------- 2 root root 6 Jul  5 17:26 yyds
[root@web mnt]# chmod 4777 yyds
[root@web mnt]# ll  yyds/ -d
drwsrwxrwx 2 root root 6 Jul  5 17:26 yyds/

SetGID

#SGID（setGID）：将目录设置为SGID权限后，如果在该目录下创建文件，都与该目录的所属组保持一致

#语法
chmod g+s file         #给目录增加特殊权限sgid
chmod g=s file
chmod 2000 file
chmod g-s file         #给目录去除特殊权限sgid

[root@web mnt]# mkdir hg
[root@web mnt]# ll
total 0
drwxr-xr-x 2 root root 6 Jul  5 17:35 hg
[root@web mnt]# stat -c %a hg/
755
[root@web mnt]# chmod g+s hg/
[root@web mnt]# ll
total 0
drwxr-sr-x 2 root root 6 Jul  5 17:35 hg
[root@web mnt]# stat -c %a hg/
2755
#由此可以得出setgid为2000

SetGID特性

root@localhost:~#ll
drwxr--r--. 2 root root    6 Mar 23 13:35 hg1
drwxr-xr-x. 2 root root    6 Mar 23 13:35 hg2
root@localhost:~#chmod g+s hg1
root@localhost:~#ll
drwxr-Sr--. 2 root root    6 Mar 23 13:35 hg1
drwxr-xr-x. 2 root root    6 Mar 23 13:35 hg2
root@localhost:~#chmod g+s hg2
root@localhost:~#ll
drwxr-Sr--. 2 root root    6 Mar 23 13:35 hg1
drwxr-sr-x. 2 root root    6 Mar 23 13:35 hg2
#特性
如果原本没有x（执行）权限 授权为setgid 会是大写 S
如果原本有x（执行）权限 授权为setgid 会是小写 s

SBIT

SBIT 权限仅对目录有效，一旦目录设定了 SBIT 权限，则用户在此目录下创建的文件或目录，就只有自己和 root 才有权利修改或删除该文件。任何用户都可以对SBIT 权限目录下的文件进行读、写。

[root@web mnt]# ll /tmp/ -d
drwxrwxrwt. 13 root root 4096 Jul  5 17:48 /tmp/
[root@web mnt]# stat -c %a /tmp
1777
#由此可以得出setgid为1000

#语法
chmod o+t  directory         #给目录增加特殊权限sbit
chmod o=t  directory
chmod 1000  directory
chmod o-t  directory         #给目录去除特殊权限sbit

SBIT特性

[root@web mnt]# ll
total 0
drwxr-xr-x 2 root root 6 Jul  5 17:50 hg
[root@web mnt]# chmod o+t hg
[root@web mnt]# ll
total 0
drwxr-xr-t 2 root root 6 Jul  5 17:50 hg

[root@web mnt]# ll
total 0
drwxr-xr-t 2 root root 6 Jul  5 17:50 hg
drw-r--r-- 2 root root 6 Jul  5 17:52 hg1
[root@web mnt]# chmod o+t hg1
[root@web mnt]# ll
total 0
drwxr-xr-t 2 root root 6 Jul  5 17:50 hg
drw-r--r-T 2 root root 6 Jul  5 17:52 hg1
#特性
如果原本有x权限 授权特殊sbit后 t
如果原本没有x权限 授权特殊sbit后 T

凌驾于root之上的权限

## 设置这个权限
chattr
i：只能查看文件内容，无法编辑
a：只能查看和追加文件内容，无法修改或覆盖源文件内容

+：设置，增加该权限
-：取消该权限

## 查看这个权限
lsattr 文件名

[root@web mnt]# ll
total 0
-rw-r--r-- 1 root root 0 Jul  5 17:55 1.txt
[root@web mnt]# chattr +a +i 1.txt 
[root@web mnt]# lsattr
----ia---------- ./1.txt

umask

# 查看当前系统默认的umask
[root@web mnt]# umask
0022

# 修改系统默认的umask
[root@web mnt]# umask 111
[root@web mnt]# umask 

0111
计算方法：
目录使用777 - umask
文件使用666 - umask
如果umask的位数上有奇数
文件使用666 - umask 在奇数位上加1