Linux用户权限管理

Linux系统中将文件或目录分为三种权限：可读、可写、可执行

三种权限对应这个三个身份，三个身份分别为owner（所有者)、group（和所有者同组的用户）others（其他用户）

- rw- --- ---. 1 root root    1257 Mar 13 03:32 anaconda-ks.cfg

1代表硬链接的数量

这里的root为owner（即登陆的用户），只不过root是超级管理员身份，拥有所有的执行权限，但如果换用户的话，该用户对anac这个文件的权限只有rw，没有x。

rw-对应着root

这里的root为group（即为与登陆的用户在同一组），他的权限是不能读取，不能写入，不能执行。

---对应着root

这里的空白为others（除去已经登录的用户、超级管理员root、附加组里的用户），这个others既不能读取，也不能写入，更不能执行。

---对应着    

一、权限的设置（通过对文件或目录从而对对应的身份进行权限的设置，此设置只是说相应的权限虽然改变了，但只是对这个文件或目录的权限改变了，而不是对所有的文件或目录的权限改变）

chmod命令中需要用到的选项

u：代表owner（当前登录用户）

g：代表group（当前登录用户的同组用户）

o：代表others（其他用户）

a：代表all（所有人）

如果在设置权限的时候不指定给谁设置，则默认给所有用户设置

权限字符

r：读

w：写

x：执行

-：没有权限

权限的分配方式

+：增加当前权限

-：删除当前权限

=：将权限设置成具体的值（只能结合字母的形式使用）

整体命令

-R 用法

chmod -R  #当文档的形式是目录的形式

比如说，我现在的登录用户是root（超管），有一个“1”文件，他的详细信息如下：

- rw- r-- r-- 1 root root    0  3月  15  14:40  1

文件1对应登录用户root的权限为rw-

文件1对应登录用户root的同组用户的权限为r--

文件1对应其他用户的权限为r--

现在我要给登录用户root的同组用户增加可写的权限，让其他用户不能查看文件1，该如何设置，格式如下

chmod g+w,o-r 1

chmod是对从单个文件对不用身份的用户进行改变权限

 其实还有其他的表示方式，数字形式

读 = r = 4

写 = w = 2

执行 = x = 1

没有任何权限 = - = 0

比如777 的意思是，当前登录用户具有可读、可写、可执行权限，跟当前登录用户同组的用户也具有可读、可写、可执行权限，其他用户也具有这三种权限。

Linux出于安全考虑，设置了一个umask管控，他的数值为022，创建普通文件时，他会自动减去这个022，就是说666-022=644，所以一般的普通文件的权限为644，而创建普通目录时，则是777-022=755，一般普通目录的权限为755。

属主和属组的设置

命令为chown：更改文档的所属用户(此用法只对执行的文件或目录生效)

对目录操作时需要加-R，对文件操作时不需要加-R（也是递归设置，对目录里的全部文件生效）

-R 

改变此文件的属主和属组

chown 新的属主：新的属组 文件名   

改变此文件的属主

chown 新的属主 文件名             

改变此文件的属组

chown 新的属主: 文件名  

改变此文件的属主，自动继承这个用户的所有的组

chown 新的属主: 文件名  

文件的特殊权限

特殊权限有两种：suid、sgid、sbit

suid：只能设置在二进制可执行程序上面，什么是二进制可执行程序，比如ls、cat、more、less，命令就是二进制可执行程序，给他设置成suid权限后，其他用户在执行所设置的命令后，他就会以属主的身份执行这个命令，虽然他的权限当中没有执行这个命令的权限。

如何设置：先查看命令的绝对路径，其次 ls -l `which 命令`：意思是获取这个命令路径的详细信息，为的是查看此命令对应用户的权限。

chmod u+s `which 命令`

如果命令没有x权限（可执行的权限）时，他会变成大S。意识就是说，在我设置好suid权限时，对应的用户使用设置的命令后，就会变成程序所有者的权限。前提是其他用户要跟root用户在同一组即附加组里。

撤销suid权限

chmod u-s `which 命令` 

sgit：对组设置

在创建文件的时候，会继承上级目录的所属组。

chmod g+s 用户名 

去掉权限。

chmod g-s 用户名

sbit：对一个目录设置sbit权限后，只有属主能删掉你这个目录，其他人都删不掉你这个目录，切记，创建公共目录要在根目录下创建。

首先要知道/tmp是一个公共目录，其他用户可以上传文件到这个目录里，但是只有上传者可以删除这个文件，其他人不行。

用法：（给此目录设置了sbit权限）

chmod o+t /要设置的目录名字

（给此目录减去了sbit权限）

 chmod o-t /要设置的目录名字

acl的使用（必须在公共文件夹内）

假如我设置了一个用户，但此用户是其他用户，但我想不想通过改写此文件的其他用户权限来进行设置，怎么办？

setfacl -m u：用户名：权限 要设置的文件名

即可查看每个不同用户对此文件拥有的权限

getfacl 文件名 ：

即可移除刚设置的用户权限

setfacl -b 文件名

即可移除此用户对此文件的权限

setfacl -x 用户名 文件名

sudo切换用户来执行我特定的命令

配置文件

/etc/sudos

比如说我创建了一个普通用户，但我想他可以执行reboot、shutdown、init、halt、user管理这些命令，怎么办？

　　visudo进入文件，修改第92行处，内容为Allow root to run any commands anywhere，意思为允许root用户在任何地点执行任何命令，修改的话，在此下一行处添加，原格式为：root ALL=(ALL) ALL，

　　第一个ALL代表anywhere（代表换一个ip地址，不在我这太电脑上登录），第二个ALL代表root，第三个ALL 代表所有命令。那么我们要添加的格式为，用户名 ALL=（ALL）要设置的命令的绝对路径，而后在设置的用户登录状态下，使用此命令时，格式为sudo 命令，即可实现上述要求。