Linux权限(5)
Linux权限问题
- 一 sudo指令补充
- (1) 作用详解
- (2) 典型使用场景
- (3) 白名单/黑名单
- 二 权限
- (1)是什么
- (2)为什么
- 三 权限成员
- (1)角色
- (2)所属组
- (3)文件权限
- 四 实操
- 理解linux多用户之间是怎么互相"隔离"
- 缺省权限
一 sudo指令补充
(1) 作用详解
sudo(Super User DO)是一种在 Unix/Linux 系统中临时提升权限的工具,允许普通用户以管理员(root)身份执行特定的命令,而无需直接切换到 root 账户。这种设计既保证了系统的安全性(避免长期以 root 身份操作),又提供了必要的权限灵活性。
(2) 典型使用场景
安装或卸载软件
系统级软件(如 apt、dnf 或 yum 安装的软件)需要写入 /usr/bin、/etc 等受保护目录。
sudo apt install nginx # Debian/Ubuntu
sudo dnf install httpd # CentOS/RHEL
(3) 白名单/黑名单
那么这样的话就会出现人人都是管理者的问题了?
这时候Linux内部中就会有一个概念叫做白名单/黑名单
1 这些是用来干什么的呢?
如:
[普通用户] sudo ls
Linux系统通常会维护一个访问控制白名单
我们可以这样形象地理解:这个白名单就像一份VIP贵宾名单
守护城门的 “准入令”
古城 “林纽克斯” 的城门由守将 “内核” 镇守,他手中的泛黄卷轴,是全城唯一的 “白名单准入令”。卷轴上记录的,都是经长老会核验的可信者:传递消息的 “信使进程”、打理粮草的 “存储管家”、维护秩序的 “调度卫士”。城外每日有无数身影求见,守将 “内核” 只凭卷轴核对 —— 名字在列,城门便自动开启;不在列,任凭花言巧语或强硬试探,城门始终紧闭,还会触发警示钟。正是这份 “准入令”,挡住了心怀不轨的盗匪,护住了古城千年安宁。
2 如何看到名单?
在你根目录下 /etc/sudoers
普通用户:
对于普通用户来说是看不到的(没有权限)
root:
以 root 身份登录后,您会看到一个配置文件,其中包含名为"Allow root to run any commands anywhere"的配置项。
二 权限
(1)是什么
权限的本质是:权限的核心在于界定可执行与不可执行的操作。具体来说,权限是指系统或组织授予用户或实体的一组明确的访问和操作权利,它决定了在特定环境或系统中哪些行为是被允许的,哪些是被禁止的。
在现代计算机系统和组织中,权限通常表现为以下几种形式:
访问权限 - 控制对资源(如文件、数据库记录等)的读取权限操作权限 - 控制修改、删除、创建等操作权限管理权限 - 授予配置系统、修改权限等高级权利
权限管理通常会遵循最小权限原则(Principle of Least Privilege),即只授予完成工作所需的最低限度权限。例如:
普通员工可能只有读取公司内部文档的权限
部门主管可能额外拥有修改本部门文档的权限
系统管理员才拥有全局管理权限
在实际应用中,权限控制可以体现在多个层面:
操作系统层面(如Linux的文件权限设置)
应用系统层面(如CRM系统中的角色权限配置)
组织管理层面(如不同职级的审批权限)
合理的权限设置对于系统安全、数据保护和业务流程控制都至关重要。
(2)为什么
首先
控制人的行为,防止错误的发生。
核心在于从源头控制错误率,从而降低系统核心负荷
其次
权限限制的是人(角色)
权限要求目标必须具备对应的属性(专业对口)
Linux下一切皆文件,我们在进行修改的时候都会面对文件
避免不了对文件属性进行读/写/执行等一系列操作。
权限=角色+目标属性
三 权限成员
(1)角色
角色分为三类:拥有者,所属组,other
具体的人对 VS 角色
拥有者是一个角色,谁都可以成为拥有者,怎么不见other呢?因为other不需要像拥有者和所属组记录。
(2)所属组
1 什么是所属组
定义
Linux 中的所属组是文件 / 目录的第二级权限管控主体,与所有者、其他用户共同构成权限管理体系。所属组指文件或目录被分配到的那个用户组,组内所有用户会共享该文件 / 目录的 “组权限”(读 r、写 w、执行 x)。
2 所属组是用来干什么的?
关键作用
方便多用户协作,无需逐个设置用户权限,加入组即可获得对应访问权限。细化权限管控,介于 “所有者(最高权限)” 和 “其他用户(最低权限)” 之间。每个用户至少属于一个主组,还可加入多个附加组,附加组的权限会叠加生效。
3 为什么要有所属组?
更加精细化的权限管理,首选要有更精细化的身份角色
举一个列子:
当多人同时操作同一台机器时,若缺乏权限分组机制,可能导致同事A误改你辛苦编写的代码,进而影响工作效率。随意修改他人文件会降低个人或团队的整体效率,这正体现了权限管理的重要性。同样,在团队协作过程中如需共享同一文件,可通过线下联系权限管理员,将你加入对应工作组来开展协作。
(3)文件权限
在我们创建的文件中,在文件属性都会有r/w/x这三种操作形式
每个角色对应三个权限位,区分普通文件与目录文件。
普通文件:
r 对应的是读,也就是可以打开文件读取文件内容。
使用指令
cat ccc.cc
读的前提是要有对应的权限位!!!
w 对应的是写,也就是可以把内容写入文件中
使用指令
echo abcdefg >> ccc.cc
x 对应的是执行,执行文件
注意!!!
不是所有的文件都可以执行的,就算你有x权限,但是还是那一句话。
可执行权限!=文件可以执行 ----------机会+能力----------
如果你没有可执行的能力,那么你有再多的机会也是把握不住的。
对于目录:
r 对应查看目录中的文件,如果没有r权限就没办法看到目录中的文件
w 对应在目录中创建文件,如果没有w权限就没办法创建
x 对应的是进入目录的权限,如果没有那么我连目录都无法进入
四 实操
1 用户只能更改自己的文件权限----没有权限更改其他用户。
2 没有权限会这么办?
系统会拒绝让我们进行访问
3 确定权限信息的时候,系统会先确定用户是谁?
拥有者,所属组,还是other?
在Centos下,用户确定,之确定一次 顺序是:拥有者,所属组,ohter
4 root用户的权限 ---- 不受权限约束
root等同于王道,干什么都行。
5如果要修改权限,那么就要用到chmod
修改权限的话用到chmod指令
chmod -u(拥有者) g(所属组) o(other) +/- r/w/x
6 如果要修改拥有者/所属组那么对应的就要用到chown/chgrp
在修改的过程中,系统默认是不允许我们把文件给别人的,你想要给别人文件,必须权限高。
权限变高之前
权限变高之后
理解linux多用户之间是怎么互相"隔离"
可以明显地看出,在所属组和other都没有x/w/r权限这样任何用户,无法进入其他用户的家目录(root)除外
缺省权限
r/w/x可以理解为要么是0或者1也就是110就可以代表rw- (读写都打开)
于是:
对于普通文件来讲:其实权限666,默认不带可执行
从这里看样子好像是664不是权限默认的666了
权限控制概念:umask掩码(该掩码指定的权限位将不会出现在最终权限设置中)
umask计算逻辑:
最终权限=起始权限&(~umask)
对于目录文件来讲:起始文件777,默认携带x
通过umask计算逻辑:
为什么要有权限缺省参数umask
默认权限,由OS自主决定,无法在创建前进行修改—系统可配置,可以灵活满足需要的一种表现
特殊情况下,配置umask,可以控制文件的默认权限,让我们的代码都是可控的。
一个现象一个文件是否能被删除,与文件本身无关!与你文件所处的目录W权限有关!
要共同修改和查看一个配置文件,可以采用以下方法:
关于在共享目录中创建文件的问题:
当你在非自己拥有的目录中创建文件时,虽然你可能无法读写他人的文件,但可以进行删除操作。这是因为文件的删除权限取决于所在目录的权限设置,而非文件本身的权限属性。
特殊情况:若文件设置了 “粘滞位”(sticky bit,目录权限末尾为 t),则只有文件所有者、目录所有者或 root 能删除该文件,其他有目录 w 权限的用户也无法删除。