【Linux】--- Linux权限概念

一、shell命令以及运行原理

Linux严格意义上说的是一个操作系统，我们称之为“核心（kernel）“ ，但我们一般用户，不能直接使用kernel。而是通过kernel的“外壳”程序，也就是所谓的shell，来与kernel沟通。如何理解？为什么不能直接使用kernel？

从技术角度，Shell的最简单定义(是什么？)：介于用户和操作系统之间的软件，即命令行解释器（command Interpreter）主要包含：

• 将使用者的命令翻译给核心（kernel）处理。
• 同时，将核心的处理结果翻译给使用者。

为什么 要有外壳程序shell呢？1. 用户不善于和OS之间交互；2. shell外壳的存在，可以对请求进行合法性检查，变相的保护OS。

那么是怎么做到的呢？bash(具体的一款外壳程序)基本都会给我们创建一个子进程，让子进程帮用户进行命令行解释（即使失败了，也不会影响bash），真正的bash只要进行等待即可。即创建子进程，让子进程进行执行。

对比windows GUI，我们操作windows 不是直接操作windows内核，而是通过图形接口，点击，从而完成我们的操作（比如进入D盘的操作，我们通常是双击D盘盘符.或者运行起来一个应用程序）。

shell 对于Linux，有相同的作用，主要是对我们的指令进行解析，解析指令给Linux内核。反馈结果在通过内核运行出结果，通过shell解析给用户。

• 帮助理解：如果说你是一个闷骚且害羞的程序员，那shell就像媒婆，操作系统内核就是你们村头漂亮的且有让你心动的MM小花。你看上了小花，但是有不好意思直接表白，那就让你你家人找媒婆帮你提亲，所有的事情你都直接跟媒婆沟通，由媒婆转达你的意思给小花，而我们找到媒婆姓王，所以我们叫它王婆，它对应我们常使用的bash。

二、Linux权限的概念

2.1 什么是权限

现实生活中权限的例子，即vip，门禁…。其作用就是，通过一定的条件，拦住一部分人，给另一部分人权力，来访问某种资源。 决定的是有无，或者能还是不能的问题！

2.2 权限的本质

基于权限的性质，那么权限一定和人有关，权限还和事物的属性有关(就像我们有腾讯视频vip，但是我们不能在上面刷题是一个道理)。所以可以得出这么一个结论：权限 = 人(角色) + 事物的属性。权限不是限制某一个人的，而是限制某一种角色的，（就像学校门禁，不是因为你叫XXX，才让你进去，而是因为你是这个学校的学生(角色)，才让你进去的）。

2.3 Linux中的用户

Linux下有两种用户：超级管理员（root）、普通用户。

• 超级管理员(root)：可以再linux系统下做任何事情，不受权限约束
• 普通用户：在linux下做有限的事情。

• 超级用户的命令提示符是“#”，普通用户的命令提示符是“$”。

指令介绍： su指令，作用是切换用户。

1. 从普通用户切换为超级管理员：1. 直接su，身份切换为root，但当前路径不变，即/home/XXX；2. su -，不光身份切换为root，路径也改变了，即变为/root。在切换为root时，要输入root密码。
2. 超级管理员切换为普通用户：su + 用户名，root切换为普通用户时无需输入密码。

以上面这个文件为例，经过前面的介绍，我们都知道这些内容是一个文件的属性。root.txt被称为文件名；Feb 19 20:13被称为，这个文件被创建的时间(or最近一次修改的时间)；时间前面的数字被称为，文件的大小。(其余下面介绍)

Linux中有三种角色(文件访问者的分类)：拥有者，所属组，other。文件大小前面的两个字符串，第一个则为文件的拥有者，第二个则为文件的所属组。other则是匹配完拥有者和所属组之外的人，在上图中未显示。Linux具有组的概念，主要是在多人协作的时候，更好的进行权限管理！（例：zhangsan为一个文件的拥有者，此时和lisi是竞争关系，当zhangsan的上司wangwu想看文件时，zhangsan为了不让lisi也看到，便可将wangwu加进所属组。注意：默认zhangsan也在所属组中）。

我们前面所说的两种用户(root和普通用户)与Linux中三种“人”(拥有者，所属组和other)冲突吗？事实上并不冲突，还起到了互相补充的关系。用户相当于具体的人，而拥有者，所属组和other相当于角色，Linux中具体的角色是需要具体的人来扮演的！ (即root既可以是拥有者的角色，也可以是所属组，当然也可以是other)

如何创建一个普通用户？

1. 打开终端并以root用户身份登录到CentOS服务器。
2. 运行以下命令来创建新用户： useradd -m username这将创建一个新的用户，并自动为其创建一个主目录(拥有者和所属组默认为username)。

3. 如果您希望将新用户添加到特定的用户组中，可以使用以下命令： usermod -aG groupname username 将"username"替换为您要创建的新用户的用户名，将"groupname"替换为您要将新用户添加到的用户组的名称。
4. 设置新用户的密码： passwd username这将提示您输入新用户的密码(只有是root身份才能创建密码)，并要求您确认密码。

5. 现在，您可以使用以下命令切换到新创建的用户账户： su + 用户名这将使您以新用户的身份登录到系统。

2.4 Linux中文件的权限

经过上面的介绍，一个文件的属性还剩下一些：

第一个字符表示文件的类型；第2~10字符表示文件的属性权限，三三为一组，分别对应拥有者，所属组，other，且由root或普通用户承担这三个角色·。

基本权限：

• 读(r)： Read对文件而言，具有读取文件内容的权限；
• 写(w)： Write对文件而言，具有修改文件内容的权限；
• 可执行执行(x)： execute对文件而言，具有执行文件的权限；
• “-”：表示不具有该项权限

文件属性小结：

2.4.1 快速掌握修改权限的做法

那么一个文件的权限，谁能修改呢？1. 文件的拥有者；2. root。 chmod指令，作用是改变一个文件的权限。chmod u+(权限),g+(权限),o+(权限) filename，不仅可以修改一个人的一个权限，还可以修改多个人的多个权限(u->拥有者，g->所属组，o->other)。如果想将所有角色都去掉r权限，即可写成chmod a-r filename(a->所有角色)。

2.4.2 对比权限有无，表现

对于普通用户，自身也要受到权限的约束！即便这个文件是自己的！ 此处先匹配拥有者的权限(为---)。root不受权限约束！！！

权限存在的意义：保护普通用户的文件的安全性！

权限与角色的匹配问题： 对用户身份的识别，只识别一次！ 首先想要操作一个文件，系统就必须认识你的身份(角色)，然后保存到特定文件的属性中。一旦一次将身份和文件拥有者匹配成功了，那么就只看拥有者的权限。所以当拥有者和所属组同为一个用户时，拥有者(lzw)无rw权限，但所属组(lzw)有rw权限，系统也不会识别(只匹配拥有者的权限)。如下：

验证： chown指令，作用是更改拥有者；chgrp指令，作用是更改所属组（-R选项：递归修改文件或目录的拥有者/所属组，例：chown -R user1 filegroup1）。(同时改拥有者，所属组，例：chown root:lzw filename)如果我们使用chown root filename将拥有者改为root(只有超级管理员root才可以这样操作，且把文件给别人是强制给的)，那么此时再访问文件会发生什么呢？如下：

拥有者为root，lzw匹配进所属组，具有rw权限。

2.4.3 修改权限的第二套做法

权限 = 用户角色(具体的人) + 文件权限属性。2.4.1是对文件权限属性的更改，下面的介绍，侧重于对用户角色的修改。与2.4.2相似，可以通过chown或chgrp指令，对文件拥有者和所属组进行修改，从而获得相应权限。我们无需修改other，因为它是随其余两个变化而变化的。

第二套做法： 如果将有某种权限用1表示，没有则用0表示，那么rw-便可表示为110，即6。于是乎，我们便可用八进制的664表示rw-rw-r--。便有了这样修改权限的写法：chmod 八进制 filename,如下：

2.4.4 文件类型

在windows中，通过后缀名区分文件类型。而在Linux中不通过后缀区分文件类型！但并不是说Linux不用后缀。 那通过什么区分呢？即ls -l第一个属性列。 Linux文件类型：

• -：普通文件。（文本文件，可执行程序，库等都叫做普通文件）
• d：目录文件。
• l：软链接（类似Windows的快捷方式）
• b：块设备文件（例如磁盘(磁盘在以下路径：/dev/vda)、光驱等）
• p：管道文件

• c：字符设备文件（显示器本质就是字符设备，在路径/dev/pts下。每当我们多打开一个终端，便会在此路径下，创建一个以数字命名的文件。那我们便可完成以下操作，实现不同终端间的交流：）

• s：套接口文件

我们上面不是说了，Linux不区分文件类型的吗，那为什么现在这个文件编不过去呢？很简单一个道理，Linux系统不以文件后缀作为区分文件类型的依据，但并不代表gcc不需要，Linux系统 != gcc。 （即Linux上面的工具可能需要区分后缀）

如何理解x（可执行权限 vs 可执行）？ 能执行 = 具有可执行权限 + 你是一个可执行文件，如下图：

2.5 Linux中目录的权限

2.5.1 问题一

如果我们进入一个目录，需要什么权限？ x权限

目录的r权限：用户能否查看指定目录内的文件信息；

目录的w权限：决定用户能否在指定目录内新建，修改，删除文件；

目录的x权限：决定用户能进入指定目录；

事实上，目录也是一个文件，而文件 = 内容 + 属性。目录的属性就是ls -l后的内容，而目录的内容是该目录里面的所有的文件信息详细数据。 如：目录就相当于一个档案袋，我们把文件放到档案袋中，权限r就相当于，查看档案袋内容；权限w就相当于，拿走或新增一些文件(如果一个目录无x权限，里面的文件或目录也是不可以删的；但如果目录只是无r权限，只要我们能记住目录里面文件的名字，同样是可以删掉的。默认具有w权限)。

2.5.2 问题二

Linux创建文件的时候，为什么好像有默认权限？且为什么是我们看到的样子？

这是因为，创建的普通文件，起始权限是：666，去掉x的；创建的目录文件，起始权限是：777，包含x的。 然后经过权限掩码的作用，就成了我们看到的样子。权限掩码：创建文件的时候，要从起始权限中过滤掉(不是简单的减法)在umask中出现的权限。

umask指令，作用是查看或修改文件掩码。 在我的电脑中默认的权限掩码为0002，所以会是上图所示那般，那如果我们将权限掩码修改为0呢？如下：

最终权限 = 起始权限 & (~umask)。例：普通文件起始权限666 -> 110 110 110，权限掩码000 000 010，~umask -> 111 111 101，两者&得：110 110 100(即664 -> rw-rw-r--)。

2.5.3 问题三

为什么我们普通人竟然能删掉别人的文件(包括root)？删掉一个文件和目标文件有关系么？

没关系，取决于当前所处目录的w权限！ 不取决于目标文件。所以即使root.txt本身无w权限，但如果当前目录有w权限，则仍可以被普通用户删除。

那么如果我们想在Linux下，由多个用户建立一个共享文件来被大家共同访问，怎么办？

首先这个文件，不能在我们各自的家目录下创建，因为一般家目录是只对拥有者开放的(参考上面创建家目录后的权限，如：drwx------ 4 lzw lzw 4096 Feb 21 10:09 lzw)，其他人都进不去，也就达不到共享的效果了。于是乎，我们便可在系统的非用户目录下创建！（如根目录/，创建与家目录同一级别共享文件）

那么便可以使用超级管理员用户，在根目录下新建一个共享文件(以shared为例)，并将其other权限设为rwx，以便共享。那么新的问题又来了，既然w权限放开了，那么岂不是所有用户都可以随便删里面的文件了？ 这时就引入新的概念，粘滞位。当一个目录被设置为“粘滞位”(使用chmod +t filename指令)，则该目录下的文件只能由：1. 超级管理员(root)删除；2. 该目录的所有者删除(一般也为root)；3. 该文件的所有者删除。