从0开始的linux（4）——权限

欢迎来到博主的专栏：从0开始的linux
博主ID：代码小豪

linux具有多用户的任务环境，为了让每个用户保护各自文件数据（防止别的用户对其他用户进行修改，删除的操作），因此对文件的权限设置就非常重要了。当然了，root账号则拥有最高的权限，可以不受文件权限的限制。

用户和用户组

每个文件对于不同用户的开放度是不同的，linux将用户群分为三种，分别是文件的拥有者（owner），文件的所属的用户组（group），以及其他（other）。我们以root账号为例，使用ls -l指令，查看/root的文件属性。

之所以要做出这种设计也非常好理解。已现实为例，假如文件就是你自己的房间，对你来说，在这个房间当中做什么事都可以，而对于你信任的人来说（用户组），她们可以在你的房间做你允许做的事，而对于除此之外的其他人（other），可能连进你房间的权限都没有，一旦进了可能你就报警了。

对于linux来说，将一个文件对于“用户和用户组”的权限具有不同的开放度是一个相当健全的安全防护措施。因为linux是一个多人多任务的系统，因此会出现多个人同时使用一台主机的情况（比如服务器），考虑到每个人的权限，对文件的所属者，以及所属用户组，还有其他用户做出不同的权限开放是一个非常不错的设计。

而所谓的用户组，可以理解为和你一起工作的小组，作为一个小组，会需要共享数据，因此对于同属一个用户组的用户设置比other更高的权限是合理的。

文件权限

前面讲了那么多关于文件权限与不同用户的关系，但是好像博主还没有说到文件对于不同的用户到底有什么权限，以及如何分辨，如何设置。

还是以上面的root文件为例吧，通过ls -al可以查看当前目录下的所有文件的文件属性。我们还是以上面的root文件为例。这个root文件的属性是一堆字符段。

别的都好理解。但是文件权限是一堆编码，那么我们该如何分辨出文件权限的意思呢？
第一个字母表示的是文件的类型，[d]是目录，[-]则是普通文件，[l]是链接文件，[b]和[c]则是设备文件，这一点后面在了解。我们当前最多使用的还是[d]开头的目录文件和[-]开头的普通文件。

接下来的字符中，每三个为1组，而且都是[r]代表有读权限，[w]代表有写权限，[x]代表有可执行文件。如果不具有对应权限则会出现[-]，比如[rwx]则代表该文件具有可读可写可执行的权限。这里只谈到了文件的权限，但是前面不是说了吗？linux系统对于不同的用户具有不同的权限。那么这个权限是针对谁的呢？

除去第一个字母表示文件属性外。其余编码每三个字符为一组。仔细数数上面的编码，除去第一个字母外，还剩下9个编码，也就是三组，正好对应文件拥有者[owner],所属用户组[group],其他人[other]三种不同用户的权限。

第一组为文件拥有者具备的权限，比如root文件对于root用户来说，具有可读可执行的权限
第二组为所属用户组具备的权限，比如root文件对于root用户组来说，具有可读可执行的权限
第三组为其他人具备的权限，root文件对于其他人来说，不可读，不可写，也不可执行

另外，不同属性的文件的权限具有不同的意义，我们现已目录文件来说

更改文件权限

命令1 chmod
功能：修改文件的权限
格式：chmod [参数] [文件名]

前面提到了，文件的用户分为三种分别是文件创建者（owner），这里用u（user）表示，接着是所属用户组（group）用g表示，还有其他人（other），用o表示。我们在root目录下创建一个test4目录，以test4目录为例。

test4对于所属用户（root），而言拥有的权限为rwx，如果我们要让root的权限变得不可读，则输入指令

chmod u-w test4

u代表user，表示文件的所属用户，减号（-）表示对应用户减少相应的权限，w，表示可写权限，组合在一起的意思是“让user失去test4文件的可写权限”

因此test4的权限变为：

test4对于所属用户组（root）而言，拥有的权限为r-x，现在我们想要让root用户组获得test4的可写权限，则输入指令：

chmod g+w test4

g代表group，表示文件的所属用户组，加号（+）表示对应用户增加相应的权限，w，表示可写权限，组合在一起的意思是“让group获得test4文件的可写权限”

如果我们想让test4文件对于其他人不公开，即不可读不可写不可执行（---），则输入指令

chmod o=--- test4

o代表other，表示文件的所属用户组，等号（=）表示对应用户修改成对应的权限，—，表示不可读不可写不可执行，组合在一起的意思是“让other的test4文件的权限变为不可读不可写不可执行（—）”

• +:向权限范围增加权限代号所表示的权限
• -:向权限范围取消权限代号所表示的权限
• =:向权限范围赋予权限代号所表示的权限
  用户符号：
• u：拥有者
• g：拥有者同组用
• o：其它用户
• a：所有用户

一个文件的权限由文件拥有者控制，那么一个文件有时候会需要修改所属用户和所属用户组，文件所属用户和所属用户组也是文件权限的组成之一。因此我们需要掌握修改这些权限的指令：

chgrp #修改文件所属用户组
chown #修改文件拥有者
chmod #修改文件权限

chgrp是change group的缩写，格式为chgrp [用户组] [文件名]
chown是change owner的缩写，格式为chown[用户][文件名]

要注意，修改所属用户和所属用户组只有root用户才能操作。

目录文件的权限意义

对于目录文件来说，如果目录文件不可写，那么用户则无法在该目录文件下创建或删除文件，但是问题来了，root文件对于root来说，没有可写的权限（r-x)

但是我们却在root目录当中创建了一个test4文件，这是因为root账号无视任何文件的权限，所有文件对于root来说都是可读，可写，可执行（rwx），因此权限对于root来说是不能限制的。

因此在展示文件权限的意义时，我们切换到普通用户（普通用户需要我们用root用户去创建），切换用户的命令为
su [用户名]
如果我们使用普通用户切换到其他用户（包括root)，需要输入密码，而使用root用户切换到其他用户，则不需要输入密码。博主这里将root切换至普通用户lysb666（这是博主创建的普通用户之一）

su lysb666

现在由lysb666在/home/cds路径下创建一个目录test4,并且将可执行权限关闭

chmod u-x test4

现在test4目录对于lysb666来说，lysb666属于是user那部分，此时lysb666（后面简称ly）对test4的权限为可读，可写，不可执行。如果文件对于用户来说不可执行，那么我们就无法进入test4文件。我们可以尝试进入test4文件

可以发现，如果目录文件对用户没有可执行的权限，那么用户就无法进入该文件

如果test4文件对ly没有可读权限呢？

chmod u-r u+x test4

此时如果进入test4，可以发现可以成功进入test4目录文件。但是如果我们想要查看test4目录中的文件，会因没有可读权限而被拒绝

可以发现，如果用户对于目录文件没有读权限，那么无法查看目录文件。

如果test4对于ly没有写权限（r-x）

chmod u-w,u+r test4

那么ly则无法在test4文件当中创建或删除文件

可以发现，如果用户对于目录文件没有可写权限，那么无法在目录文件中进行删除或创建文件

普通文件的权限意义

现在，我们将test4对ly的权限改为可读可写可执行，并且在test4当中创建一个普通文件test，

对于这个普通文件来说，有没有可执行权限都非决定因素，因为普通文件是否可执行取决于文件本身是否可以执行，如果文件不可执行，那么即使有可执行权限也无法执行。

如果普通文件对于用户没有写权限，那么我们就无法对该文件进行修改。

即使使用nano或者vim等编辑器也无法修改test文件的内容

因此，如果用户对普通文件没有写权限，就无法修改文件的内容

如果test对ly没有可读权限呢？

我们可以向test文件写入数据

但是无法读取test当中的数据，即使使用nano或者vim等编辑器也无法查看内容。


此时我们切换到root账号，可以发现test的数据为helloworld

这说明如果普通文件对用户没有可读权限，那么用户则无法对普通文件的数据进行读取

sudo命令

sudo允许以其他身份执行命令，比如我们本身就拥有root用户，只是使用普通用户来模拟某种环境下的linux操作，那么当我们使用普通用户时，又需要做一些root才有权限的事时，我们就需要用到sudo命令。

通常情况下，一个普通用户是无法使用sudo命令的。

如果想要一个普通用户可以使用sudo命令来执行root才有权限的操作，就要去/etc/sudoers配置文件进行修改，而这个文件只有root才有权限进行读写。

所以我们先切换回root用户。然后用vim打开/etc/sudoers。（如果不会使用vim就先别操作了，整错了还挺麻烦的）

跳转到第100行。

将第一百行的一整行复制粘贴到下一行当中。

然后将下一行的root，改成可以获得sudo权限的普通用户的名字即可。

此时，lysb666这个用户就能使用sudo指令了

比如lysb666不具备查看/root文件的权限，如果在命令之前输入sudo，就能获得root的权限，查看/root文件的信息。