linux用户权限控制_Linux用户权限管理——学习笔记

Linux 用户：

Linux下的用户有很多，Linux的设计是采用多用户设计理念的，它有很多用户，比如：负责数据库的用户：mysql用户，负责邮件的snmp用户，还有非标准的用户比如：sys、bin等等……但是这些是用来干什么的呢？

我们举个例子：Linux 是一个大公司，一个运营成熟的公司，办公室人员包括：总经理（root）、总经理秘书（sudo 命令）、部门经理（sys、bin 等），为什么没有员工呢？因为员工处于最底层，没有管理权限，只是听从领导的安排，授予执行命令的权限，比如： 等。

那我扮演什么角色呢？电脑是我的，那我当然是董事长，扮演大老板的角色。我指定总经理的密码，远程控制总经理就可以掌控公司的一举一动，随时可以以总经理的身份发号施令。当然，如果我不高兴，我可以把总经理撤职。但公司的存在总得有人干活吧？为了公司的名声，我应该开放一些区域让别人参观吧？比如蒙牛公司邀请市民参观牧场、加工厂，那些市民只是普通用户，只能看看，不能把公司的设备带走！但总经理不喜欢某样东西，直接对物流总监说“去，把那个烦人的东西拿走，看着都烦。” 如果市民对物流主管说“快去把那个烦人的东西拿走，看着都烦”，物流主管心情好的话就不理他（No,），心情不好的话就直接跟保安说请他离开，并屏蔽他（恶意行为处理，如发起DDoS攻击的用户）

命令行处理：

假设我的公司，我的组织结构是这样的：

然后，你可以看到我有很多员工，一把手是root，二把手是（），三把手是bin，四把手是sys，以此类推，这些人都是“老板”，手下有很多精兵强将，比如bin手下就有很多高手：

...未完待续，请用虚拟机自己看详情

其他领导（用户）也是这样，下属也很多。

当然，我们进入这个公司，会有人为我们服务。比如我们参观蒙牛公司的牧场，会有导游给我们介绍牧场的结构（比如执行man命令），也会有服务人员给我们送水。当我们需要帮助的时候，我们可以向董事长发送我们的请求（sudo请求）

启动特定的命令行处理：

添加用户

useradd UserName

删除用户

userdel UserName

添加用户组

groupadd GroupName

删除用户组

groupdel GroupName

限制权限

//1.编辑文件实现 
gedit /etc/sudoers//编辑文件实现限制用户或者用户组的权限 
//2.命令行实现 
    //假设我是kali linux系统，我当前是root身份 
#我添加一个用户组：trainee 
groupadd trainee 
#添加一个用户zhang,隶属于用户组trainee 
useradd zhang -g trainee 
#我不允许zhang 进入root文件夹，那么我告知root“你的文件夹仅仅能有我看到，即：drwx------” 
chmod 700 root  
#0：无权限，1：执行权限 x ,2：写权限 w ，4 ：读权限 r ，那么7=1+2+4，读写执行，则： 
#700代表了 文件拥有者可以读写执行，文件所属组不能操作，其他人无法操作。 

解释一下文件权限的分割：

常用权限：-rw-rw-rw-，拆分后：-rw-rw-rw-第一个是字符，后面三个是群组。

1.-代表普通文件，d代表目录（），l代表链接（类似快捷方式），b代表块设备（如磁盘），c代表字符设备（鼠标、键盘等），s代表套接字，p代表管道文件

2.第一组：rw-代表读、写、无权限，占用比例是1、2、3，如果给的是读、写、执行，就是rwx，读、执行就是rx，明白了吗？第二组、第三组也是类似。

3.第一组权限属于文件拥有者，第二组是所属组的权限，第三组是其他用户组的访问控制权限。比如root用户创建一个文件，属于root，root用户将文件权限修改为：-r-- --- --- 普通用户就算想看也看不到，因为文件是属于root用户的，其他用户想看文件时，先验证后三项权限： --- 也就是没有权限，所以如果是：r-- 那么虽然能看到，但是只能看到文件名和内部的二进制流，而且都是乱码（-_-#），什么都不能动，哪怕文件是苍老师的电影，也只能看，不能看内容（播放属于x-执行权限）

好了，文件权限控制已经实现了，那如果我限制某个用户看某个文件，其他人却不能看呢？比如我限制我的好朋友看电影，其他好孩子却不能看，怎么办呢？解决办法是将好朋友的用户名（jiyou）添加到某个用户组（），然后将文件所属的组改为这个用户组（也可以不变）。

chown -c jiyou:HAOJIYOU canglaoshi.rmvb

就这样，我把sudo权限给了jiyou。。就这样，我好友的人生被我带上了不归路(~_~↑)