五、理解Linux文件权限

学习到这里，我发现我的macOS系统已经不够用了，又不想在自己的电脑上装Linux系统，所以是时候真正的搞个Linux系统来练习了，于是我就在京东云上申请了个免费的云服务器，系统是CentOS 7.2 64位（新用户免费一个月）继续学习😆

命令	作用
useradd	创建一个账户
userdel	删除账户
usermod	修改账户
passwd	修改密码
chpasswd	批量修改密码
chsh	修改用户登录的默认shell
chage	命令配合参数修改各种账户的有效期
groupadd	创建组
groupmod	修改组
umask	修改文件默认权限
chmod	已创建文件权限修改
chown	改变文件属主或属组
chgrp	改变文件的属组

1.Linux的安全性

Linux安全系统的核心用户账户，每一个进入Linux系统的用户都会有一个唯一分配的账户，用户对各种对象的访问权限取决于他们登录系统时用的账户
每个账户有唯一的UID，有自己的密码，有自己的登录名，系统只要控制每个账户的权限，就可以控制整个系统的安全

passwd文件 将登录名和UID匹配的文件
做下面的操作 cat /etc/passwd，查看passwd文件内容

[root@jdu4e00u53f7 ~]# cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
avahi-autoipd:x:170:170:Avahi IPv4LL Stack:/var/lib/avahi-autoipd:/sbin/nologin
systemd-bus-proxy:x:999:997:systemd Bus Proxy:/:/sbin/nologin
systemd-network:x:998:996:systemd Network Management:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
polkitd:x:997:995:User for polkitd:/:/sbin/nologin
tss:x:59:59:Account used by the trousers package to sandbox the tcsd daemon:/dev/null:/sbin/nologin
postfix:x:89:89::/var/spool/postfix:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
centos:x:1000:1000:Cloud User:/home/centos:/sbin/nologin
nscd:x:28:28:NSCD Daemon:/:/sbin/nologin
ntp:x:38:38::/etc/ntp:/sbin/nologin

文件中列出了各种账户，这些账户叫做系统账户，主要作用是各种进程之间访问资源，就像前面说的，所有运行的服务都要有一个系统账户登录到Linux系统上，才会拿到系统资源

*注意 上面第二行的root账户是Linux的系统管理员，他的UID固定是0

下面以root账户为例介绍一下上面的文件中的内容都代表什么

root:x:0:0:root:/root:/bin/bash

信息（以:分隔）	描述
root	用户登录名
x	用户密码
0	用户账户的UID
0	用户账户的组ID（GID）
root	用户账户的文本描述
/root	用户HOME目录的位置
/bin/bash	用户的默认shell

*注意 大家会发现密码都是x，其实不是的，为了安全起见，密码被单独保存在另外一个叫shadow的文件中，下面介绍一下这个文件

做如下操作 cat /etc/shadow

[root@jdu4e00u53f7 ~]# cat /etc/shadow
root:$6$Z9Jjj18u77$70syd1z4TXOBY1O1I9z.:17393:0:99999:7:::
bin:*:16659:0:99999:7:::
daemon:*:16659:0:99999:7:::
adm:*:16659:0:99999:7:::
lp:*:16659:0:99999:7:::
sync:*:16659:0:99999:7:::
shutdown:*:16659:0:99999:7:::
halt:*:16659:0:99999:7:::
mail:*:16659:0:99999:7:::
operator:*:16659:0:99999:7:::
games:*:16659:0:99999:7:::
ftp:*:16659:0:99999:7:::
nobody:*:16659:0:99999:7:::
avahi-autoipd:!!:17151::::::
systemd-bus-proxy:!!:17151::::::
systemd-network:!!:17151::::::
dbus:!!:17151::::::
polkitd:!!:17151::::::
tss:!!:17151::::::
postfix:!!:17151::::::
sshd:!!:17151::::::
centos:!!:17345:0:99999:7:::
nscd:!!:17382::::::
ntp:!!:17382::::::

下面还是以root账户为例介绍一下上面的文件中的内容都代表什么

root:$6$Z9Jjj18u77$70syd1z4TXOBY1O1I9z.:17393:0:99999:7:::

信息（以:分隔）	描述
root	和passwd文件对应的用户名
$6$Z9Jjj18u77$70syd1z4TXOBY1O1I9z.	加密后的用户密码
17393	距离上次修改密码后的天数（自1970.1.1开始计算）
0	多少天后才能更改密码
99999	多少天后必须更改密码
7	密码过期前提前多少天提醒用户更改密码

*注意 后面还有两个::他们中间的信息分别是
密码过期后多少天禁用用户账户
用户账户被禁用日期
预留字段给将来使用

添加新用户 useradd

useradd命令会创建一个账户，他有许多参数，这里有个链接useradd命令详解
创建时可以根据对应的参数，设置账户的具体信息

如果不填写这些参数，系统会为新用户默认添加一些信息，这些信息可以用命令/usr/sbin/useradd -D查看，如下
例：

[root@jdu4e00u53f7 ~]# /usr/sbin/useradd -D
GROUP=100
HOME=/home
INACTIVE=-1
EXPIRE=
SHELL=/bin/bash
SKEL=/etc/skel
CREATE_MAIL_SPOOL=yes

这些信息从上到下分别是账户组ID（GID）、账户的HOME目录位置、密码过期后不会被禁用、账户未设置账户过期日期、新账户的默认shell、系统会将/etc/skel的文件复制到用户的HOME目录下、创建一个用于接收邮件的文件

*注意 SKEL=/etc/skel意识是将/etc/skel的文件复制到用户的HOME目录下，实际上这些复制的文件就是bash shell的标准启动文件
*注意 useradd默认不会创建HOME目录，必须添加参数-m才可以

下面是创建一个默认账户的例子

[root@jdu4e00u53f7 ~]# useradd -m test
[root@jdu4e00u53f7 ~]# ls -al /home/test
总用量 12
drwx------  2 test test  59 8月  15 15:47 .
drwxr-xr-x. 4 root root  30 8月  15 15:47 ..
-rw-r--r--  1 test test  18 12月  7 2016 .bash_logout
-rw-r--r--  1 test test 193 12月  7 2016 .bash_profile
-rw-r--r--  1 test test 231 12月  7 2016 .bashrc

*注意 不传参数创建的账户的默认信息也是可以更改的，例如useradd -D -s /bin/tsch就会将创建的账户的默认shell更改为tsch

下面是更改默认值的参数介绍

参数	描述
-b	更改默认HOME目录位置
-e	更改默认新账户的过期日期
-f	更改默认新用户从密码过期到禁用的天数
-g	更改默认组
-s	更改默认登录shell

删除用户 userdel

userdel只是删除passwd文件中的关于该账户的信息，而不会删除其他该账户的文件
例：userdel test

加上-r参数会删除用户的HOME目录以及邮件目录，但是系统上仍有可能存在删除账户的其他文件
例：userdel -r test

*注意 使用-r参数时要小心，因为你不知道在删除账户的HOME目录下是否存放着其他用户的重用文件

修改用户

下面是一些修改用户的常用命令

参数	描述
usermod	修改用户账户的字段，还可以指定主要组以及附加组的所属关系
passwd	修改密码
chpasswd	从文件中读取登录名密码对，更新密码
chage	修改密码过期日期
chfn	修改账户的备注信息
chsh	修改默认登录shell

下面介绍一下这几个命令

usermod能够修改/etc/passwd文件中的大部分字段，参数和useradd差不多，例如： -c修改备注字段、-e修改过去日期等，除此之外有几个很有用的参数
-l 修改用户账户的登录名
-L锁定账户
-p修改账户密码
-U解除锁定

例：

usermod -l test1 test

将账户test的登录名改为test1

passwd修改密码，看下面的例子：

[root@jdu4e00u53f7 ~]# passwd test
更改用户 test 的密码 。
新的 密码：
无效的密码： 密码少于 8 个字符
重新输入新的 密码：
抱歉，密码不匹配。
新的 密码：
重新输入新的 密码：
passwd：所有的身份验证令牌已经成功更新。

*注意 从修改失败的提示可以看出，密码是有要求的，必须不少于8个字符另外还不可以是纯数字
*注意 只有root用户和用户本省可以修改自己的密码

chpasswd可批量修改用户密码，该命令能够从标准输入读取用户名和密码对列表，分别修改

chsh修改用户登录的默认shell
例：

[root@jdu4e00u53f7 ~]# chsh -s /sbin/nologin test
Changing shell for test.
Shell changed.

chfn会将用于finger命令的信息存储进备注字段

[root@jdu4e00u53f7 ~]# chfn test
Changing finger information for test.
名称 []: This is a test
办公 []: test
办公电话 []: 12344445555
住宅电话 []: 12344445555

Finger information changed.

*注意 由于finger命令可以简单的查到用户信息，所以很多Linux发行版上都没有默认安装该命令

经过上面的一系列修改，现在查看test账户是这样的

test:x:1001:1001:This is a test,test,12344445555,12344445555:/home/test:/sbin/nologin

chage命令配合参数修改各种账户的有效期

参数	描述
-d	设置上次修改密码到现在的天数
-E	设置密码过期的天数
-I	设置密码过期到锁定账户的天数
-m	设置修改密码之间最少要多少天
-w	设置密码过期前多久出现提醒信息

*注意 输入日期的格式有两种，一种是YYYY-MM-DD的格式，一种是1970年1月1日到该日期的天数

2.使用Linux组（GID）

当多个账户要共享资源时，组的存在就很有用了，每个组有自己的权限，每个组下有多个用户，这些用户共享组的权限

查看组信息 /etc/group文件中
例：查看组信息 cat /etc/group

[root@jdu4e00u53f7 ~]# cat /etc/group
root:x:0:
bin:x:1:
daemon:x:2:
sys:x:3:
adm:x:4:centos
tty:x:5:
test:x:1001:

以adm:x:4:centos组为例介绍下信息

信息（以:分隔）	描述
adm	组名
x	组密码
4	组ID（GID）
centos	属于该组的用户列表

*注意 添加用户到组可以用usermod命令，不能直接通过修改文件操作
*注意 组的用户列表信息会误导人，列表中有很多组后面没有这个信息，不代表该组下没有用户，当用户在/etc/passwd文件中指出默认组的时候，该成员就不会出现在这个信息中

创建组 groupadd

例：创建一个叫test_group的组

/usr/sbin/groupadd test_group

例： 将test用户添加到test_group组中

/usr/sbin/usermod -G test_group test

这时查看test_group的信息为

test_group:x:1002:test

*注意 只能用户添加到组中，不能组主动添加某个用户
*注意 更改登录系统用户所属的用户组，必须登录用户登出在登录后才会生效
*注意 -G参数的作用是将用户添加到组的列表中，还有一个参数-g是将账户的默认组设定为指定的组名

修改组 groupmod

groupmod有两个有用的参数
-g修改组的GID
-n修改组名

例： 将组名test_group改为test_group1

/usr/sbin/groupmod -n test_group1 test_group

*注意 改组名不会影响组的权限，应为权限是根据GID来的

3.文件权限

首先用ls -l命令查看下系统上的文件，取出其中一条，介绍下文件权限
以下面这条信息为例：

dr-xr-xr-x.  2 root root 20480 8月   8 18:40 bin

其中第一个参数dr-xr-xr-x就表示了文件的权限

这是一个10个字符的字符串，第一位代表对象的类型
上例中的d代表目录，还有其他的

参数	代表
-	代表文件
d	代表目录
l	代表连接
c	代表字符型设备
b	代表块设备
n	代表网络设备

后面的9个字符分为三组，从前往后分别表示文件属主的权限、属组成员的权限和其他用户的权限

每组由三个字符构成，每个字符分别代表不同的意思

参数	代表
-	无操作
r	可读
w	可写
x	可执行

这三个字符的组合会有8中形式，与八进制转二进制的前八中组合对应

参数	二进制值	八进制值	权限描述
---	000	0	无任何权限
--x	001	1	可执行
-w-	010	2	可写
-wx	011	3	可写可执行
r--	100	4	可读
r-x	101	5	可读可执行
rw-	110	6	可读可写
rwx	111	7	可读可写可执行

结合上面的介绍，上面那句话的意思是
登录名为root的用户可以读可以执行，root组的成员可读可执行，不属于root组的用户可读可执行

文件默认权限修改 umask

首先我们创建一个文件

[root@jdu4e00u53f7 ~]# touch newfile
[root@jdu4e00u53f7 ~]# ls -al newfile
-rw-r--r-- 1 root root 0 8月  16 15:34 newfile

这个文件的默认权限是-rw-r--r--
这个默认的权限对应的就是umask的权限

查看umask命令

[root@jdu4e00u53f7 ~]# umask
0022

对于输出结果我们可能已经懵逼了，到底什么意思，似乎和想象的不太一样

首先第一位代表的是安全特性，叫做粘着位，后面会介绍，后面三位代表的是权限，但是似乎和应该的八进制数不太吻合，正常rw-r--r--对应的二进制应该是110100100对应的八进制应该是644为什么这里显示的是022
实际上这里显示的是掩码，对于文件来说，全权限值是666（可读可写可执行）,减掉对应的644就是022了

*注意 对于目录来说，全权限值是777

可以用umask命令设置umask的默认值
例如umask 026，就将默认的文件权限变成了640，默认的目录权限751

上面介绍的是改变默认的文件权限，下面介绍一下已经创建好的文件权限

已创建文件权限修改 chmod
例：

[root@jdu4e00u53f7 ~]# chmod 660 newfile
[root@jdu4e00u53f7 ~]# ls -al newfile
-rw-rw---- 1 root root 0 8月  16 15:34 newfile

修改权限相对来说就比较友好，后面直接跟八进制的数字就好

除了上面的直接修改，还有一种符号模式的修改，相对来说复杂一些，格式是
[ugoa][+-=][rwxXstugo]
其中第一个中括号中代表要修改的目标

参数	目标
u	代表用户
g	代表组
o	代表其他
a	代表上诉所有

第二个中括号中的参数代表增加减少或者直接设置成后面的权限

第三个中括号是权限，会发现比普通的rwx多，增加参数的权限描述如下

参数	目标
X	如果对象是目录或者它已有执行权限，赋予执行权限
s	运行时重新设置UID或GID
t	保留文件或目录
u	将权限设置为跟属主一样
g	将权限设置为跟属组一样
o	将权限设置为跟其他用户一样

用例子解释：

[root@jdu4e00u53f7 ~]# chmod o+r newfile
[root@jdu4e00u53f7 ~]# ls -al newfile
-rw-rw-r-- 1 root root 0 8月  16 15:34 newfile

上面的例子就是为newfile文件的其他用户增加可写权限

改变文件所属关系 chown chgrp

chown改变文件属主或属组

将newfile文件的属主设定为test用户
例：

[root@jdu4e00u53f7 ~]# chown test newfile
[root@jdu4e00u53f7 ~]# ls -l newfile
-rw-rw-r-- 1 test root 0 8月  16 15:34 newfile

chown命令还可以同时改变文件的属主和属组
例：

[root@jdu4e00u53f7 ~]# chown test.test newfile
[root@jdu4e00u53f7 ~]# ls -l newfile
-rw-rw-r-- 1 test test 0 8月  16 15:34 newfile

chown命令改变文件的属组
例：

[root@jdu4e00u53f7 ~]# chown .root newfile
[root@jdu4e00u53f7 ~]# ls -l newfile
-rw-rw-r-- 1 test root 0 8月  16 15:34 newfile

如果属主和属组名字相同可用下面的写法将其同时修改
例：

[root@jdu4e00u53f7 ~]# chown test. newfile
[root@jdu4e00u53f7 ~]# ls -l newfile
-rw-rw-r-- 1 test test 0 8月  16 15:34 newfile

*注意 只有root用户才能改变文件的属主

chown改变默认属组
例：

[root@jdu4e00u53f7 ~]# chgrp root newfile
[root@jdu4e00u53f7 ~]# ls -l newfile
-rw-rw-r-- 1 test root 0 8月  16 15:34 newfile

4.共享文件

文件共享是通过GID来实现的，我们知道，新建的文件，都会分配默认的UID和GID，要想让其他人能够使用该文件，要么改变其他用户的所在组的访问权限，要么就给文件分配一个包含其他用户的新默认属组

下面用例子说明
例：
创建一个文件夹，作为要共享的文件夹

[root@jdu4e00u53f7 ~]# mkdir testdir
[root@jdu4e00u53f7 ~]# ls -l
总用量 0
drwxr-xr-x 2 root root 6 8月  16 18:08 testdir

将文件夹的默认属组改成包含要用这个文件夹的用户的组test

[root@jdu4e00u53f7 ~]# chgrp test testdir/
[root@jdu4e00u53f7 ~]# ls -l
总用量 0
drwxr-xr-x 2 root test 6 8月  16 18:08 testdir

保证目录中新建的文件都用test组作为默认属组

[root@jdu4e00u53f7 ~]# chmod g+s testdir/
[root@jdu4e00u53f7 ~]# ls -l
总用量 0
drwxr-sr-x 2 root test 6 8月  16 18:08 testdir
[root@jdu4e00u53f7 ~]# cd testdir/
[root@jdu4e00u53f7 testdir]# touch testfile
[root@jdu4e00u53f7 testdir]# ls -l
总用量 0
-rw-rw-r-- 1 root test 0 8月  16 18:10 testfile

这样操作后，不管是谁在该目录下创建新文件，新文件的属组都是目录的默认属组，而不是用户的默认属组，这样，test组下所有的用户都能访问这个文件了

*注意 上面用到了前面介绍的改变权限的一个属性s运行时重新设置UID或GID
*注意 其实共享文件涉及到Linux为文件或目录存储的额外三个信息SUID（设置用户ID）、SGID（设置组ID）和粘着位，但是这里不想过多的介绍，那样容易乱，感兴趣的同学可自行了解
*注意 上面的例子主要用的就是SGID，启用SGID位后，可以强制在一个目录下创建的文件都属于该目录的属组，这样就达到了共享的目的