简介

[kiosk@foundation0 ~]$ ls -l
total 264
-rw-rw-r--. 2 kiosk kiosk 31943 May 29 2019 ClassPrep.txt
-rw-rw-r--. 2 kiosk kiosk 7605 Jun 14 2019 ClassRHAPrep.txt
-rw-rw-r--. 2 kiosk kiosk 20950 May 29 2019 ClassroomReset.txt
-rw-r--r--. 2 root root 1806 May 30 2019 ClassroomSetup-RH294.txt
-rw-rw-r--. 2 kiosk kiosk 49827 Aug 20 2019 ClassroomSetup.txt
-rw-rw-r--. 2 kiosk kiosk 41135 Jun 27 2019 ClassroomTroubleshooting.txt
-rw-rw-r--. 1 kiosk kiosk 992 Nov 10 2018 DHCP-ranges.txt-foundation0
drwxrwxr-x. 3 kiosk kiosk 27 Feb 25 10:15 Desktop
drwxr-xr-x. 2 kiosk kiosk 6 Feb 25 02:25 Documents
drwxr-xr-x. 2 kiosk kiosk 6 Feb 25 02:25 Downloads
-rw-rw-r--. 1 kiosk kiosk 81759 May 1 2019 History-7.x.txt
-rw-rw-r--. 2 kiosk kiosk 13102 Aug 28 2019 History.txt
drwxr-xr-x. 2 kiosk kiosk 6 Feb 25 02:25 Music
drwxr-xr-x. 2 kiosk kiosk 6 Feb 25 02:25 Pictures
drwxr-xr-x. 2 kiosk kiosk 6 Feb 25 02:25 Public
drwxr-xr-x. 2 kiosk kiosk 6 Feb 25 02:25 Templates
drwxr-xr-x. 2 kiosk kiosk 6 Feb 25 02:25 Videos
drwxrwxr-x. 2 kiosk kiosk 72 Feb 25 10:15 survey
rw-rw-r--
rwxr-xr-x
文件的权限列

-rw-rw-r--. 1 kiosk kiosk 992 Nov 10 2018 DHCP-ranges.txt-foundation0
①rw- rw- r--
②owner group others
③读写 读写 读
拥有人有读写权限，所属组由读写权限，其它人有读权限。

通过上面的步骤之后，给你任何一个文件，你应该能判断出这个文件对三类人有哪些权限了。

对于普通文件来说，r，w，x权限表达的意义是什么呢？

如果一个普通文件有r权限，就表示该文件的内容可以被查看到。

如果一个普通文件有w权限，就表示该文件的内容可以被修改（加内容，删内容，修改内容）

如果一个普通文件有x权限，就表示该文件可以当做脚本一样执行。

权限对应的可操作性内容就是上面描述的

对于目录文件来说，rwx权限表达的意义是什么呢？

如果一个目录文件有r权限，就表示该目录下的文件可以被查看属性（查看文件属性的命令ls）

如果一个目录文件有r权限，能否查看这个目录下的普通文件的内容（不一定）

一个普通文件能否查看它的内容和它所在的目录没有任何关系，而是和它自己是否具备r权限有关系。

如果一个目录文件有w权限，就表示可以在该目录下创建或删除或修改文件属性

如果一个目录文件有w权限，是否能修改这个目录下的普通文件的内容？（不一定）

一个普通文件能否修改它的内容和它自己是否具备w权限有关系，而和它是否在具备w权限的目录没有

任何关系。

如果一个目录文件有x权限，就表示可以进入该目录，如果一个目录连x权限都没有，这个目录是无法进

入的。

一个目录没有x权限，能不能在该目录下创建删除文件，或者我查看文件属性？（可以）

-rw-rw-r--. 1 kiosk kiosk 992 Nov 10 2018 DHCP-ranges.txt-foundation0

①rw- rw- r--

②owner group others

③读写 读写 读

拥有人有读写权限，所属组由读写权限，其它人有读权限。

如果一个目录没有执行权限，那么即使有r权限或者w权限，也表示该目录是一个问题目录。

对于目录来说只有3类权限有意义。
---表示目录没有任何权限
r-x表示目录有读权限
rwx表示目录有写权限
一个目录如果有-wx权限。
一个目录如果有--x权限。

 针对一个文件设置权限(切换到root操作)

useradd hcj
useradd zk
你想理解一个文件的权限，你必须要知道，一个文件的权限和文件的owner和group息息相关。
如何修改文件的owner和group
[root@foundation0 zk]# touch women
[root@foundation0 zk]# ls -l
total 0
-rw-r--r--. 1 root root 0 Apr 15 21:03 women
[root@foundation0 zk]# chown hcj women
[root@foundation0 zk]# ls -l
total 0
-rw-r--r--. 1 hcj root 0 Apr 15 21:03 women
[root@foundation0 zk]# chgrp zk women
[root@foundation0 zk]# ls -l
total 0
-rw-r--r--. 1 hcj zk 0 Apr 15 21:03 women
[root@foundation0 zk]# chown zk:hcj women
[root@foundation0 zk]# ls -l
total 0
-rw-r--r--. 1 zk hcj 0 Apr 15 21:03 women
[root@foundation0 zk]# chown :zk women
[root@foundation0 zk]# ls -l
total 0
-rw-r--r--. 1 zk zk 0 Apr 15 21:03 women

使用chmod设置文件权限

chmod u/g/o
u=user (owner)
g=group
o=others
[root@foundation0 zk]# chmod u=rwx,g=rwx,o=rwx women
[root@foundation0 zk]# ls -l
total 0
-rwxrwxrwx. 1 zk hcj 0 Apr 15 21:03 women
表示将拥有人的权限设置为rwx，所属组的权限设置为rws，其他人的权限设置为rwx
测试权限的效果
对于文件的执行权限解释（shell脚本）
当执行一个普通文本文件的时候，相当于将该文件里面的每一行都当成linux的命令去执行
如何执行一个文件
以绝对路径或者相对路径指定那个文件，回车，如果有执行权限，就会执行成功
[root@foundation0 zk]# chmod u-x,g-wx,o-rwx women
[root@foundation0 zk]# ls -l
total 0
-rw-r-----. 1 zk hcj 0 Apr 15 21:03 women
[root@foundation0 zk]#
表示将文件的拥有人减去x权限，文件的所属组减去wx权限，文件的其他人减去rwx权限
[root@foundation0 zk]# chmod u-x,g-wx,o=--- women
[root@foundation0 zk]# ls -l
total 0
-rw-r-----. 1 zk hcj 0 Apr 15 21:03 women
[root@foundation0 zk]# chmod u+x,g+w,o+r women
[root@foundation0 zk]# ls -l
total 0
-rwxrw-r--. 1 zk hcj 0 Apr 15 21:03 women
表示拥有人加上x权限，所属组加上w权限，其他人加上r权限
通过上面的“加权限”，“减权限”，“等于权限”就能设置文件为任何权限。
[root@foundation0 zk]# chmod o+w women
[root@foundation0 zk]# ls -l
total 0
-rwxrw-rw-. 1 zk hcj 0 Apr 15 21:03 women
[root@foundation0 zk]# chmod o-w women
[root@foundation0 zk]# ls -l
total 0
-rwxrw-r--. 1 zk hcj 0 Apr 15 21:03 women

测试权限的效果

当你操作Linux的时候，必须要知道你是谁，你在哪，你要干什么？
3个角色来测试权限的效果
我（root）
张凯（zk）
黄橙🐔（hcj）

对于文件的执行权限解释（shell脚本）

当执行一个普通文本文件的时候，相当于将该文件里面的每一行都当成linux的命令去执行

如何执行一个文件

以绝对路径或者相对路径指定那个文件，回车，如果有执行权限，就会执行成功

[root@foundation0 zk]# chmod u-x,g-wx,o-rwx women

[root@foundation0 zk]# ls -l

total 0

-rw-r-----. 1 zk hcj 0 Apr 15 21:03 women

[root@foundation0 zk]#

表示将文件的拥有人减去x权限，文件的所属组减去wx权限，文件的其他人减去rwx权限

[root@foundation0 zk]# chmod u-x,g-wx,o=--- women

[root@foundation0 zk]# ls -l

total 0

-rw-r-----. 1 zk hcj 0 Apr 15 21:03 women

[root@foundation0 zk]# chmod u+x,g+w,o+r women

[root@foundation0 zk]# ls -l

total 0

-rwxrw-r--. 1 zk hcj 0 Apr 15 21:03 women

表示拥有人加上x权限，所属组加上w权限，其他人加上r权限

通过上面的“加权限”，“减权限”，“等于权限”就能设置文件为任何权限。

[root@foundation0 zk]# chmod o+w women

[root@foundation0 zk]# ls -l

total 0

-rwxrw-rw-. 1 zk hcj 0 Apr 15 21:03 women

[root@foundation0 zk]# chmod o-w women

[root@foundation0 zk]# ls -l

total 0

-rwxrw-r--. 1 zk hcj 0 Apr 15 21:03 women

当你操作Linux的时候，必须要知道你是谁，你在哪，你要干什么？

3个角色来测试权限的效果

我（root）

张凯（zk）

黄橙🐔（hcj）

十进制

1+1=2

2+1=3

3+1=4

4+1=5

5+1=6

6+1=7

7+1=8

8+1=9

9+1=10

十进制是逢10进1

二进制

0+0=000 0 --- 0

0+1=001 1 --x

1+1=010 2 -w-

10+1=011 3 -wx

11+1=100 4 r--

100+1=101 5 r-x 5

101+1=110 6 rw-

110+1=111 7 rwx 7

Linux的三种特殊权限 

Linux的三种特殊权限，考试只考一种，实际在生产环境当中，用的并不是特别多
①SET UID
SET UID特殊权限应用于可执行的普通文件，当一个文件被设置SET UID特殊权限时，任何人一旦执行
该文件，都会临时获得文件拥有人的权限。
[zk@foundation0 dir-test]$ ls -l /bin/passwd
-rwsr-xr-x. 1 root root 34512 Aug 13 2018 /bin/passwd
在文件拥有者的权限列的执行权限位置，如果该位置是s或者S，就表示该文件被设置了set UID特殊权
限。
[root@foundation0 ~]# chmod u-s /bin/passwd
[root@foundation0 ~]# ls -l /bin/passwd
-rwxr-xr-x. 1 root root 34512 Aug 13 2018 /bin/passwd
[root@foundation0 ~]# chmod u+s /bin/passwd
[root@foundation0 ~]# ls -l /bin/passwd
-rwsr-xr-x. 1 root root 34512 Aug 13 2018 /bin/passwd
②SET GID(考试要考的)
SET GID特殊权限应用于目录文件，当一个目录被设置SET GID特殊权限时，任何用户在该目录下创建
文件，
文件的所属组都会变成被设置SET GID那个目录的所属组。
[zk@foundation0 dir-test]$ chmod g+s zk-dir1
[zk@foundation0 dir-test]$ ls -ld zk-dir1
drwxrwsrwx. 2 zk zk 23 Apr 15 23:07 zk-dir1
在文件所属组的权限列的执行权限位置，如果该位置是s或者S，就表示该文件被设置了set GID特殊权
限。
③Sticky（粘置位）
针对有写权限的目录设置的特殊权限位，当一个有写权限的目录被设置了sticky特殊权限，那么任何人
在该目录下创建的文件就只有自己和root可以删除。该特殊权限位，限制了目录的写权限。
对于目录的写权限来说，该权限有点太大了，sticky就是限制目录写权限的。
[hcj@foundation0 tmp]$ ls -l /tmp/ -d
drwxrwxrwt. 17 root root 4096 Apr 15 23:19 /tmp/
如果其他人权限列的执行权限位置被设置为t或者T，就表示该文件被设置了stiky特殊权限。
[root@foundation0 zk]# chmod o-t /tmp/
[root@foundation0 zk]# ls -ld /tmp/
drwxrwxrwx. 17 root root 4096 Apr 15 23:21 /tmp/
[root@foundation0 zk]# chmod o+t /tmp/
[root@foundation0 zk]# ls -ld /tmp/
drwxrwxrwt. 17 root root 4096 Apr 15 23:21 /tmp/
[zk@foundation0 ~]$ touch /tmp/zk2
[hcj@foundation0 tmp]$ rm -rf zk2
rm: cannot remove 'zk2': Operation not permitted
[hcj@foundation0 tmp]$ ls -ld /tmp/
drwxrwxrwt. 17 root root 4096 Apr 15 23:23 /tmp/
[hcj@foundation0 tmp]$ ls -l /bin/passwd
-rwsr-xr-x. 1 root root 34512 Aug 13 2018 /bin/passwd
[hcj@foundation0 tmp]$ ls -ld /tmp/dir-test/zk-dir1
drwxrwsrwx. 2 zk zk 40 Apr 15 23:09 /tmp/dir-test/zk-dir1
当设置特殊权限时，执行权限会被“覆盖”，如果是小写字母的特殊权限，那么执行权限就还在，如果是
大写字母的特殊权限，那么执行权限就不在了
[root@foundation0 zk]# chmod o-x /tmp/
[root@foundation0 zk]# ls -ld /tmp/
drwxrwxrwT. 17 root root 4096 Apr 15 23:25 /tmp/
[root@foundation0 zk]# chmod u-x /bin/passwd
[root@foundation0 zk]# ls -l /bin/passwd
-rwSr-xr-x. 1 root root 34512 Aug 13 2018 /bin/passwd
[root@foundation0 zk]# chmod g-x /tmp/dir-test/zk-dir1/
[root@foundation0 zk]# ls -ld /tmp/dir-test/zk-dir1/
drwxrwSrwx. 2 zk zk 40 Apr 15 23:09 /tmp/dir-test/zk-dir1/

系统缺省权限设置umask(想当有用)

[root@foundation0 ~]# umask
0022
[zk@foundation0 ~]$ umask
0002
一般来说umask只看后3位
创建目录的缺省权限是777
创建普通文件的权限是666
正常来说任何用户创建目录后，该目录的权限是rwxrwxrwx
任何用户创建普通文本文件，该文件的权限是rw-rw-rw-
普通文件如果带上执行权限，是不安全的.
umask能帮助用户修改创建文件的默认权限。
创建目录的最终权限，就是目录777减去umask的后3位
创建普通文件的最终权限，就是666减去umask的后3位
root创建的目录权限应该是777-022=755
root创建的普通文件权限应该是666-022=644
普通用户创建的目录权限应该是777-002=775
普通用户创建的文件权限应该是666-002=664
umask可以修改的。
[root@foundation0 ~]# umask 0033
[root@foundation0 ~]# umask
0033
033=----wx-wx
666-033=(rw-rw-rw-)-(----wx-wx)=(rw-r--r--)
问题：创建目录权限是什么？ 777-033=744=rwxr--r--
创建文件权限是什么？ 666-033=633=rw--wx-wx
umask的缺省权限设置需要将umask转换成权限，再去和缺省权限做减法，才能得到正确的创建文件权
限。
命令行的修改只是临时修改，只在当前shell有效。如果想永久修改。
将某个普通用户的umask永久设置。
[zk@foundation0 ~]$ cat .bashrc
# .bashrc
umask 066
# Source global definitions
if [ -f /etc/bashrc ]; then
. /etc/bashrc
fi
# User specific environment
PATH="$HOME/.local/bin:$HOME/bin:$PATH"
export PATH
# Uncomment the following line if you don't like systemctl's auto-paging
feature:
# export SYSTEMD_PAGER=
# User specific aliases and functions

有一个普通文件file，需要对该文件进行权限设置，有3个用户，tgb，lxs，xzx。
①要求tgb对file文件有rwx权限
②要求lxs对file文件有rw权限
③要求xzx对file文件有r权限
[root@foundation0 ~]# useradd tgb
[root@foundation0 ~]# useradd lxs
[root@foundation0 ~]# useradd xzx
[root@foundation0 ~]# mkdir /tmp/test
[root@foundation0 ~]# cd /tmp/test/
[root@foundation0 test]# ls
[root@foundation0 test]# touch file
[root@foundation0 test]# ls -l
total 0
-rw-r--r--. 1 root root 0 Apr 18 20:14 file
两条命令来实现上面的需求
第一个问题，能否实现上面的需求？ 可以实现
第二个问题，如何实现？
[root@foundation0 test]# chown tgb:lxs file
[root@foundation0 test]# ls -l
total 0
-rw-r--r--. 1 tgb lxs 0 Apr 18 20:14 file
[root@foundation0 test]# chmod u=rwx,g=rw,o=r file
[root@foundation0 test]# ls -l
total 0
-rwxrw-r--. 1 tgb lxs 0 Apr 18 20:14 file
有一个普通文件file，需要对该文件进行权限设置，有3个用户，tgb，lxs，xzx。
①要求tgb对file文件有rwx权限
②要求lxs对file文件有rw权限
③要求xzx对file文件有r权限
④要求hzz对file没有任何权限
--------------------------
⑤要求zz对file有w权限
⑥要求zzb对file有wx权限
[root@foundation0 test]# useradd hzz
第一个问题，能否实现上面的需求？(用我们现在所学的知识)
第二个问题，如何实现？
针对超出三类人以上的权限，我们使用文件表面的权限已经无法实现了。
应对类似这种非常复杂的权限问题，如何解决呢？文件的ACL权限（Access Control List访问控制列表）
ACL就是对访问进行控制的一张表
文件的ACL设置可以通过ACL让指定的某个用户或用户组对某个文件设置特别的权限（后门） --公式
1
2
3
4
文件的ACL设置可以通过ACL让hzz用户对file文件设置---权限 --把韩壮壮和权限套进上面
的公式
[root@foundation0 test]# setfacl
set(设置)，f（文件file），acl（访问控制列表）
[root@foundation0 test]# setfacl -m u:hzz:--- file
上面命令的意义就是设置hzz用户对file没有任何权限。
-m参数表示modify（修改）
u表示针对用户设置特殊的权限
u后面的"hzz"就是那个设置特殊的特殊权限的用户
hzz后面的"---"就表示针对hzz用户设置的权限
[hzz@foundation0 ~]$ cd /tmp/test/
[hzz@foundation0 test]$ ls -l
total 0
-rwxrw-r--+ 1 tgb lxs 0 Apr 18 20:14 file
[hzz@foundation0 test]$ cat file
cat: file: Permission denied
一旦针对文件设置了acl权限，那么该文件的9列权限后就会变成+，此时该文件表面上看到的权限全都
不一定生效。如果想看到该文件的真实权限，需要使用getfacl来查看
[hzz@foundation0 test]$ getfacl file
# file: file
# owner: tgb
# group: lxs
user::rwx
user:hzz:---
group::rwmask::rwother::r--
如何看一个文件的acl权限
#开头的有三列，分别表示的是文件的名字，文件的拥有人，文件的所属组。
#file：文件名
#owner：文件的拥有者
#gorup：文件的所属组
前三列之后，全部都是acl的表格内容。
表格的内容主要有两类，一类是user开头，一类是group开头，user开头表示该行是针对用户设置的
权限
group开头表示该行是针对用户组设置的权限
格式如下：
user:user1:rwx
user:user2:rw
group:group1:rwx
group:group2:rw
上面4行表示的意思是user1对该文件有rwx权限，user2对该文件有rw权限，group1组的用户对该
文件有rwx权限，group2组内的用户对该文件有rw权限。
我们都能清晰的看出来，“冒号”将3列分隔开了。
如果第一列是user，第二列没有值，就表示该行设置的是owner的权限。
如果第一列是group，第二列没有值，就表示该行设置的是group的权限
如果第一列是others，那么该行就表示对其他人的权限，others行总在最后一行。
[root@foundation0 test]# setfacl -m g:hzz:r-- file
[root@foundation0 test]# getfacl file
# file: file
# owner: tgb
# group: lxs
user::rwx
user:hzz:---
group::rwgroup:hzz:r--
mask::rwother::r--
问题，hzz对这个file有什么权限
[hzz@foundation0 test]$ cat file
cat: file: Permission denied
ACL表示由上至下匹配的，匹配到之后就停止匹配。
acl权限的添加，删除，修改，查看
[root@foundation0 test]# setfacl -x u:hzz file
[root@foundation0 test]# getfacl file
# file: file
# owner: tgb
# group: lxs
user::rwx
group::rwgroup:hzz:r--
mask::rwother::r--
[root@foundation0 test]# setfacl -x g:hzz file
[root@foundation0 test]# getfacl file
# file: file
# owner: tgb
# group: lxs
user::rwx
group::rwmask::rwother::r--
[root@foundation0 test]# ls -l
total 0
-rwxrw-r--+ 1 tgb lxs 0 Apr 18 20:14 file
[root@foundation0 test]# setfacl -b file
[root@foundation0 test]# ls -l
total 0
-rwxrw-r--. 1 tgb lxs 0 Apr 18 20:14 file
针对普通文件设置的acl权限就说到这。

针对目录设置acl权限

针对目录设置acl权限意义不大。
目录的权限只有3种组合才有意义
--- tgb
r-x xzz
rwx lxs
针对目录设置acl权限，意义不大。
因为普通的权限设置，只是针对3类人的，恰好，目录只有三种权限有意义，那么针对三类人分别设置这
3种权限就ok了。
一般我们对目录设置的acl权限和对普通文件设置的acl权限意义不一样。
我们希望对目录设置的acl权限是，当一个新的文件在目录中被创建的时候，默认携带的acl权限。
对目录设置默认的acl权限
[root@foundation0 tmp]# setfacl -m d:u:hzz:r test/
[root@foundation0 tmp]# getfacl test/
# file: test/
# owner: root
# group: root
user::rwx
group::r-x
other::r-x
default:user::rwx
default:user:hzz:r--
default:group::r-x
default:mask::r-x
default:other::r-x
多了一个default开头的行，default开头的所有字段，表示在该目录下创建文件，会继承的acl权限
mask表示该文件acl的最大权限，在default的acl权限存在的情况下，创建文件的acl权限，不能超
过mask指定的权限。
[root@foundation0 tmp]# touch test/file
[root@foundation0 tmp]# getfacl test/file
# file: test/file
# owner: root
# group: root
user::rwuser:hzz:r--
group::r-x #effective:r--
mask::r--
other::r--权限委派（生产环境必备）
[root@foundation0 tmp]# setfacl -m mask:r-x test/file
[root@foundation0 tmp]# getfacl test/file
# file: test/file
# owner: root
# group: root
user::rwuser:hzz:r--
group::r-x
mask::r-x
other::r--
针对目录设置acl权限，要求以后在该目录创建的文件，acl权限如下：
文件的拥有人有rwx权限
文件的所属组有rw权限
文件的其他人有r权限
hzz没有任何权限
[root@foundation0 tmp]# setfacl -m d:user::rwx test/
[root@foundation0 tmp]# setfacl -m d:group::rw test/
[root@foundation0 tmp]# setfacl -m d:other::r test/
[root@foundation0 tmp]# setfacl -m d:user:hzz:--- test/
[root@foundation0 tmp]# getfacl test/
# file: test/
# owner: root
# group: root
user::rwx
group::r-x
mask::rwx
other::r-x
default:user::rwx
default:user:hzz:---
default:group::rwdefault:mask::rwdefault:other::r--

权限委派（生产环境必备）

权限委派就是让普通用户能获得管理员权限的一种方式
我们在权限委派部分只会讲/etc/sudoers文件操作，不会将pam模块高级设计。
## Sudoers allows particular users to run various commands as
## the root user, without needing the root password.
sudoers文件允许特定的用户在运行某些命令的时候能将权限提升到和root一样，甚至不需要使用
root密码。进程管理（地位非常高）
作业调度
前台进程后台进程
服务
tgb ALL=(ALL) ALL
表示tgb用户能在任何地方运行任何命令
%tgb ALL=(ALL) ALL
表示tgb用户组内的用户能在任何地方运行任何命令
tgb ALL=/sbin/useradd
表示tgb用户只能运行useradd管理命令
%tgb ALL=(ALL) NOPASSWD: ALL
表示tgb用户组内的用户能在任何地方运行任何命令，且不需要输入tgb自己的密码
后面讲到ansible，所有的被管理主机都不能使用root权限操作，都需要使用普通用户提权到root来
进行自动化操作。
post installation，都会修改/etc/sudoes