无论是初学者还是高级用户,深入理解Linux的权限体系都是必不可少的技能
本文将深入探讨Linux 102级别的权限管理,涵盖文件权限、用户与组管理、特殊权限位以及权限提升与限制等多个方面,旨在帮助你全面掌握Linux系统的权限控制
一、文件权限基础 Linux系统中的每个文件和目录都有其独特的权限设置,这些权限决定了谁可以读取(read)、写入(write)或执行(execute)它们
权限信息通过三组字符表示,分别对应文件的所有者(owner)、所属组(group)和其他用户(others)
所有者:文件的创建者或最后修改者
- 所属组:文件所属的用户组,组内成员共享特定的访问权限
- 其他用户:系统中不属于文件所有者或所属组的所有其他用户
使用`ls -l`命令可以查看文件或目录的详细权限信息
输出示例如下: -rw-r--r-- 1 user group 1234 Jan 1 12:34 example.txt 这里,`-rw-r--r--`就是权限部分,从左到右依次为: - 第一个字符表示文件类型(-表示普通文件,`d`表示目录,`l`表示链接等)
- 接下来的三个字符`rw-`表示所有者权限(读、写,无执行)
- 紧接着的三个字符`r--`表示所属组权限(仅读)
- 最后的三个字符`r--`表示其他用户权限(仅读)
二、修改文件权限 使用`chmod`命令可以修改文件或目录的权限
有两种主要的修改方式:符号模式和八进制模式
- 符号模式:通过u(所有者)、g(所属组)、`o`(其他用户)和`a`(所有人)指定权限,结合`+`(添加)、-(移除)、`=`(设置)操作
bash chmod u+x example.txt 为所有者添加执行权限 chmod g-w example.txt 移除所属组的写权限 chmod o=r example.txt 设置其他用户的权限为只读 - 八进制模式:每个权限位用数字表示(读=4,写=2,执行=1),组合这些数字即可设置权限
bash chmod 755 example.txt 所有者:读写执行(7=4+2+1),所属组和其他用户:读执行(5=4+1) 三、用户与组管理 Linux系统的用户管理通过`/etc/passwd`文件维护,而组信息则存储在`/etc/group`文件中
添加用户:使用useradd命令
bash sudo useradd newuser sudo passwd newuser 设置密码 修改用户信息:使用usermod命令
bash sudo usermod -aG sudo newuser 将newuser添加到sudo组,赋予管理权限 - 删除用户:使用userdel命令,注意`-r`选项会同时删除用户的主目录和邮件池
bash sudo userdel -r newuser - 组管理:类似地,使用groupadd添加组,`groupdel`删除组,`gpasswd`修改组成员
bash sudo groupadd newgroup sudo gpasswd -a newuser newgroup 将newuser添加到newgroup组 四、特殊权限位 除了基本的读、写、执行权限外,Linux还支持一些特殊权限位,用于提供更细粒度的控制
- SUID(Set User ID):当执行该文件时,进程将以文件所有者的身份运行,而不是执行者的身份
bash chmod u+s executable_file - SGID(Set Group ID):对于可执行文件,当执行时,进程将以文件所属组的身份运行;对于目录,新创建的文件或目录将继承该目录的组ID
bash chmod g+s directory_or_executable - Sticky Bit(粘滞位):仅对目录有效,设置后,只有文件的所有者、目录的所有者或root才能删除或重命名目录中的文件
bash chmod +t directory 五、权限提升与限制 在Linux系统中,权限提升与限制是保障系统安全的关键
- sudo:允许普通用户以超级用户(root)或其他用户的身份执行命令,通过`/etc/sudoers`文件配置
bash sudosome_command - sudoers文件编辑:使用visudo命令安全地编辑`/etc/sudoers`文件,避免语法错误导致sudo失效
bash sudo visudo - AppArmor与SELinux:这两者是Linux系统中常用的强制访问控制(MAC)机制,用于限制程序的能力,防止恶意软件或漏洞被利用
-AppArmor:基于路径和文件的访问控制,配置文件位于`/etc/apparmor.d/`
-SELinux:提供更为复杂的策略,包括基于角色的访问控制(RBAC),配置复杂但功能强大
六、实践建议 1.最小权限原则:为每个用户分配最小的必要权限,避免权限滥用
2.定期审计:定期检查/etc/passwd、`/etc/group`及权限设置,确保没有不必要的权限授予
3.使用sudo代替直接登录root:减少误操作带来的风险
4.启用AppAr
