為什么需要權(quán)限管理？

1.計(jì)算機(jī)資源有限，我們需要合理的分配計(jì)算機(jī)資源。

2.Linux是一個(gè)多用戶系統(tǒng)，對(duì)于每一個(gè)用戶來說，個(gè)人隱私的保護(hù)是十分重要的

目錄的 rwx 權(quán)限

當(dāng)前用戶：vagrant:vagrant

創(chuàng)建 testdir 目錄，進(jìn)入 testdir 目錄內(nèi)。創(chuàng)建文件 test。

$ mkdir testdir
$ cd testdir
$ touch test

修改 testdir 權(quán)限為 000，嘗試執(zhí)行 ls testdir

$ chmod 000 testdir
$ ls testdir/
ls: cannot open directory testdir/: Permission denied

修改 testdir 權(quán)限為 400，嘗試執(zhí)行 ls testdir

$ chmod 400 testdir
ls -l testdir/
ls: cannot access testdir/test: Permission denied
total 0
-????????? ? ? ? ? ? test

結(jié)果：能夠讀取目錄下文件列表，但是看不到具體文件信息（權(quán)限、大小、用戶組、時(shí)間等），盡管當(dāng)前用戶是 /testdir/test 的擁有者且具有 rwx 權(quán)限。

擁有目錄的 r 權(quán)限可以讀取目錄下的文件列表。

繼續(xù)，嘗試進(jìn)入 testdir 目錄。

$ cd testdir/
-bash: cd: testdir/: Permission denied

看來 r 權(quán)限并不能讓我們具有進(jìn)入目錄。

我們?cè)黾右粋€(gè) x 權(quán)限試試。

~$ chmod 500 testdir/
~$ cd testdir/
~/testdir$ ls -l
total 0
-rw-rw-r-- 1 vagrant vagrant 0 Nov 19 08:16 test

成功進(jìn)入。

擁有目錄的 x 權(quán)限能夠讓我們進(jìn)入到目錄下。在此工作目錄下，我們可以查看文件列表及文件的屬性信息。

嘗試刪除 test 文件或者新建文件 test1。

~/testdir$ rm test
rm: cannot remove ‘test': Permission denied
~/testdir$ touch test1
touch: cannot touch ‘test1': Permission denied

擁有目錄的 r x 權(quán)限并不能允許我們改變目錄的內(nèi)容。目錄里的文件列表可以看做是目錄的內(nèi)容。

擁有目錄的 w 權(quán)限可以對(duì)目錄的內(nèi)容進(jìn)行增刪。

~/testdir$ chmod 700 .
~/testdir$ rm test
~/testdir$ touch test1
~/testdir$ ls -l
total 0
-rw-rw-r-- 1 vagrant vagrant 0 Nov 19 08:30 test1

umask

在上面的例子里，我們創(chuàng)建的新文件的權(quán)限是 664（-rw-rw-r--），為什么默認(rèn)權(quán)限會(huì)是 664，我如果想改變新文件的默認(rèn)權(quán)限怎么辦？

控制臺(tái)輸入 umask:

$ umask
0002

umask 是權(quán)限的補(bǔ)碼。文件的默認(rèn)權(quán)限是 666 - umask。

如果我們創(chuàng)建的文件不想讓其他用戶有 r 權(quán)限，則修改補(bǔ)碼為 0006 即可。

~/testdir$ umask 0006
~/testdir$ touch test2
~/testdir$ ls -l | grep test2
-rw-rw---- 1 vagrant vagrant 0 Nov 19 08:38 test2

為什么文件的默認(rèn)權(quán)限不是 777 - umask 呢？因?yàn)樾陆ǖ奈募J(rèn)不具有可執(zhí)行權(quán)限，所以只考慮 rw 權(quán)限的話，這波操作自然是 666 了。

目錄默認(rèn)具有 x 權(quán)限，當(dāng) umask 是 0002 時(shí)，創(chuàng)建的目錄的默認(rèn)權(quán)限應(yīng)該是 777 - 0002 = 775：

~/testdir$ mkdir dir1
~/testdir$ ls -l | grep dir1
drwxrwxr-x 2 vagrant vagrant 4096 Nov 19 08:39 dir1

特殊權(quán)限

SUID

一般來說文件權(quán)限是 rwx。我們查看一下 passwd（修改密碼命令）的權(quán)限：

~/testdir$ ls -l /usr/bin/passwd
-rwsr-xr-x 1 root root 47032 May 16 2017 /usr/bin/passwd

細(xì)心點(diǎn)你會(huì)發(fā)現(xiàn)它的用戶權(quán)限的 x 位竟然是 s。這個(gè)權(quán)限叫 SUID，僅對(duì)二進(jìn)制程序有效。

當(dāng)用戶具有該文件的執(zhí)行權(quán)限時(shí)，執(zhí)行該文件會(huì)短暫的獲取該文件所有者權(quán)限的支持。

比如：所有用戶的密碼存在 /etc/shadow 這個(gè)文件里，且該文件的權(quán)限默認(rèn)是 -r-------- root root，僅root 用戶具有強(qiáng)制寫入權(quán)限，那為什么普通用戶還能修改自己的密碼呢？就是因?yàn)?passwd 命令具有 SUID 權(quán)限，用戶執(zhí)行該命令時(shí)會(huì)獲得文件所有者 root 的權(quán)限支持，從而修改自己的密碼。

SGID

當(dāng) group 的 x 位置變成 s 時(shí)，說明該文件具有 SGID 權(quán)限。

SGID 權(quán)限對(duì)二進(jìn)制程序有效。類似 SUID，用戶在具有文件的 x 權(quán)限時(shí)，執(zhí)行該文件，會(huì)獲取該文件所屬用戶組的權(quán)限支持。

除了二進(jìn)制程序外，SGID也可以設(shè)置在目錄上。

若用戶對(duì)該目錄具有 SGID 權(quán)限：

用戶在此目錄下的有效用戶組將會(huì)變成該目錄的用戶組。

如果用戶具有該目錄的 w 權(quán)限，則用戶在此目錄下創(chuàng)建的文件的用戶組與此目錄的用戶組相同。

該權(quán)限對(duì)于項(xiàng)目開發(fā)很重要。

SBIT

該權(quán)限目前只對(duì)目錄有效：

當(dāng)用戶對(duì)此目錄具有 w,x 權(quán)限，用戶在該目錄下創(chuàng)建文件夾或目錄后，僅自己和 root 才有權(quán)限刪除該文件。

Others 的 x 權(quán)限位若為 t，則說明文件夾具有 SBIT 權(quán)限。

比如 /tmp 目錄：

$ ls -l / | grep tmp
drwxrwxrwt 4 root root 4096 Nov 19 09:09 tmp
$ sudo -s
# touch test
root@vagrant-ubuntu-trusty-64:/tmp# exit
exit
vagrant@vagrant-ubuntu-trusty-64:/tmp$ rm test
rm: remove write-protected regular empty file ‘test'? y
rm: cannot remove ‘test': Operation not permitted

如何設(shè)置以上三種權(quán)限

如果在普通的權(quán)限設(shè)置的“三個(gè)數(shù)字”前再加一個(gè)數(shù)字，那前面這個(gè)數(shù)字就代表這幾個(gè)權(quán)限了：

• 4 為 SUID
• 2 為 SGID
• 1 為 SBIT

比如：

# chmod 777 /tmp
# ls -l / | grep tmp
drwxrwxrwx 4 root root 4096 Nov 19 09:17 tmp
# chmod 1777 /tmp
# ls -l / | grep tmp
drwxrwxrwt 4 root root 4096 Nov 19 09:17 tmp
End。

總結(jié)

以上就是這篇文章的全部內(nèi)容了，希望本文的內(nèi)容對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值，如果有疑問大家可以留言交流，謝謝大家對(duì)腳本之家的支持。