Linux权限管理

权限概述：
Linux系统一般将文件可存、可取访问的身份分为3个类别：owner（拥有者）、group（和所有这同组的用户）、others（其他人，除了所有者、同组的用户、超级管理员root），且三种身份各有read（读）、write（写）、execute（执行）等权限。

权限介绍

什么是权限？
在多用户（可以不同时）计算机系统的管理中，权限是指某个特定的用户具有特定的系统资源使用权力，像是文件夹、特定系统指令的使用或存储量的限制。

在Linux中分别有读、写、执行权限：

读权限：

• 对于目录来说，读权限影响用户是否能够列出目录结构
• 对于文件来说，读权限影响用户是否可以查看文件内容

写权限：

• 对目录来说，写权限影响用户是否可以在文件夹下“创建、删除、复制到”文档
• 对于文件来说，写权限影响用户是否可以编辑文件内容

执行权限：

• 对于目录来说，执行权限影响用户是否可以执行cd操作
• 对于文件来说，特别是脚本文件，执行权限影响文件是否可以运行

身份介绍

Owner身份（文件所有者，默认为文档的创建者）

由于Linux是多用户、多任务的操作系统，因此可能常常有多人同时在某台主机上工作，但每个人均可在主机上设置文件的权限，让其成为个人的“私密文件”，即个人所有者。因为设置了适当的文件权限，除本人（文件所有者）之外的用户无法查看文件内容。

Group身份（与文件所有者同组的用户）

与文件所有者同组最有用的功能就体现在多个团队在同一台主机上开发资源的时候。例如主机上有A、B两个团体（用户组），A中有a1,a2,a3三个成员，B中有b1,b2两个成员，这两个团体要共同完成一份报告F。由于设置了适当的权限，A、B团体中的成员都能互相修改对方的数据，但是团体C的成员则不能修改F的内容，甚至连查看的权限都没有。同时，团体的成员也能设置自己的私密文件，让团队的其它成员也读取不了文件数据。在Linux中，每个账户支持多个用户组。如用户a1、b1即可属于A用户组，也能属于B用户组【主组和附加组】。

Others身份（其他人，相对于所有者与同组用户）

这个是个相对概念。打个比方，大明、二明、小明一家三兄弟住在一间房，房产证上的登记者是大明（owner所有者），那么，大明一家就是一个用户组，这个组有大明、二明、小明三个成员；另外有个人叫张三，和他们三没有关系，那么这个张三就是其他人（others）了。
同时，大明、二明、小明有各自的房间，三者虽然能自由进出各自的房间，但是小明不能让大明看到自己的情书、日记等，这就是文件所有者（用户）的意义。

root用户（超级用户）

在Linux中，还有一个神一样存在的用户，这就是root用户，因为在所有用户中它拥有最大的权限 ，所以管理着普通用户。

root用户可以无视读写权限，root用户无执行权限也是无法执行，但自身可以加上权限 。

Linux权限介绍

要设置权限，就需要知道文件的一些基本属性和权限的分配规则。
在Linux中，ls -l命令常用来查看文件的属性，用于显示文件的文件名和相关属性。

标红的部分就是Linux的文档权限属性信息。
Linux中存在用户（owner）、用户组（group）和其他人（others）概念，各自有不同的权限，对于一个文档来说，其权限具体分配如下：

十位字符表示含义：
　　第1位：表示文档类型，取值常见的有“d表示文件夹”、“-表示文件”、“l表示软连接”、“s表示套接字”、“c表示字符设备”、“b表示块状设备”等等；
　　第2-4位：表示文档所有者的权限情况，第2位表示读权限的情况，取值有r、-；第3位表示写权限的情况，w表示可写，-表示不可写，第4位表示执行权限的情况，取值有x、-。
　　第5-7位：表示与所有者同在一个组的用户的权限情况，第5位表示读权限的情况，取值有r、-；第6位表示写权限的情况，w表示可写，-表示不可写，第7位表示执行权限的情况，取值有x、-。
　　第8-10位：表示除了上面的前2部分的用户之外的其他用户的权限情况，第8位表示读权限的情况，取值有r、-；第9位表示写权限的情况，w表示可写，-表示不可写，第10位表示执行权限的情况，取值有x、-。

权限分配中,均是rwx的三个参数组合，且位置顺序不会变化。没有对应权限就用 – 代替。

权限设置

语法：

#chmod [选项] [权限模式] [文档]

常用选项：
-R：递归设置权限 （当文档类型为文件夹的时候）
权限模式：就是该文档需要设置的权限信息
文档：可以是文件，也可以是文件夹，可以是相对路径也可以是绝对路径。
注意点：如果想要给文档设置权限，操作者要么是root用户，要么就是文档的所有者。

1.字母形式

给谁设置：
u：表示所有者身份owner（user）
g：表示给所有者同组用户设置（group）
o：表示others，给其他用户设置权限
a：表示all，给所有人（包含ugo部分）设置权限
如果在设置权限的时候不指定给谁设置，则默认给所有用户设置

权限字符：
r：读
w：写
x：表示执行
-：表示没有权限

权限分配方式：
+：表示给具体的用户新增权限（相对当前）
-：表示删除用户的权限（相对当前）
=：表示将权限设置成具体的值（注重结果）【赋值】

实例：
要给文件1.txt设置权限(-rw-r--r--)，要求所有者拥有全部的权限，同组用户拥有读和写权限，其他用户只读权限

[root@study ~]# chmod u+x,g+w 1.txt
[root@study ~]# ls -l
总用量 8
-rwxrw-r--. 1 root root    0 7月  17 19:47 1.txt  #改变权限的文件
-rw-r--r--. 1 root root    0 7月  17 19:47 2.txt
-rw-r--r--. 1 root root    0 7月  17 19:47 3.txt
-rw-r--r--. 1 root root    0 7月  17 19:47 4.txt
-rw-r--r--. 1 root root    0 7月  17 19:47 5.txt
-rw-------. 1 root root 1790 5月  20 10:45 anaconda-ks.cfg
-rw-r--r--. 1 root root 1838 5月  20 10:46 initial-setup-ks.cfg

2.数字形式

经常会在一些技术性网站看到类似于#chmod 777 a.txt这样的一个权限，这种形式称之为数字形式权限（777）

权限	字母形式	数字形式
读	r	4
写	w	2
执行	x	1
没有权限	-	0

实例：
需要给2.txt设置权限，权限要求所有者拥有全部权限，同组用户拥有读执行权限，其他用户只读。

所有者权限=全部权限=读+写+执行=4+2+1=7
同组用户权限=读权限+执行权限=4+1=5
其他用户权限=读权限=4
最终得出权限为754
[root@study ~]# chmod 754 2.txt
[root@study ~]# ls -l
总用量 8
-rwxrw-r--. 1 root root    0 7月  17 19:47 1.txt
-rwxr-xr--. 1 root root    0 7月  17 19:47 2.txt    #改变权限的文件
-rw-r--r--. 1 root root    0 7月  17 19:47 3.txt
-rw-r--r--. 1 root root    0 7月  17 19:47 4.txt
-rw-r--r--. 1 root root    0 7月  17 19:47 5.txt
-rw-------. 1 root root 1790 5月  20 10:45 anaconda-ks.cfg
-rw-r--r--. 1 root root 1838 5月  20 10:46 initial-setup-ks.cfg

面试题：用超级管理员设置文档的权限命令是#chmod -R 731 aaa，请问这个命令有没有什么不合理的地方？

所有者 = 7 = 4 + 2 + 1 = 读 + 写 + 执行
同组用户 = 3 = 2 + 1 = 写 + 执行
其他用户 = 1 = 执行
问题在权限731中3表示写+执行权限，但是写又不必须需要能打开之后才可以写，因此必须需要具备读权限，因此权限不合理。以后建议各位在设置权限的时候不要设置这种“奇葩权限”。
单独出现2、3的权限数字一般都是有问题的权限

文件默认权限：umask

umask是指定目前用户在建立文件或目录时候的权限默认值，需要注意的是，umask指的是该默认值需要减掉的权限。

[root@study ~]# umask
0022    #与一般权限有关的是后边3个数字
[root@study ~]# umask -S
u=rwx,g=rx,o=rx   #字母类型权限

配置文件隐藏属性：chattr

[root@study ~]# chattr [+-=] [文件或目录]
a：让文件或目录仅供附加用途。
b：不更新文件或目录的最后存取时间。
c：将文件或目录压缩后存放。
d：将文件或目录排除在倾倒操作之外。
i：不得任意更动文件或目录。（大哥级设置，它可以让一个文件不能被删除、改名、设置链接也无法写入或新增数据，只有root用户可以设置）
s：保密性删除文件或目录。
S：即时更新文件或目录。
u：预防意外删除。

例：

[root@study ~]# chattr +i 3.txt
[root@study ~]# rm -rf 3.txt
rm: 无法删除"3.txt": 不允许的操作

显示文件隐藏属性：lsattr

[root@study ~]# lsattr [-adR] [文件或目录]
选项与参数：
-a：将隐藏文件的属性也显示出来
-d：如果接的是目录，仅列出目录本身的属性而非目录内的文件名
-R：连同子目录的数据也一并列出来

例：

[root@study ~]# chattr +i 3.txt
[root@study ~]# lsattr -a 3.txt 
----i----------- 3.txt