Linux相关概念和重要知识点（5）（权限的修改、时间属性）

1.权限的修改

（1）提权行为

普通用户是会受到权限的限制，但root账户无视一切权限限制，因此当我们要获取更高的权限，有一种办法就是将自己变成root或者短暂拥有和root一样的权力。

普通用户 -> root ：su - + 回车 + root的登录密码。su可以切换账户，对于普通用户而言，你需要知道对方的密码，但root可以随便su，即进入任何账户而无需对方的密码。

root用户的命令行标识是#，普通用户是$

除了直接切换用户，我们还可以使用sudo + 指令，意思是在当前用户以root身份执行该指令。当前用户如果要使用这个功能，我们需要先把该用户加到白名单中。

使用root账户进入/etc/sudoers文件，添加光标所在行，一定要和上面root那一行保持格式一致，vim可用yy+p来操作

因为sudoers禁止修改，所以我们只能使用root加wq!强制保存来突破权限。

添加之后我们就可以在自己的普通账户使用sudo了，sudo之后我们需要输入自己账户的密码（注意是自己的，而不是root账户的密码），这也是为什么要添加白名单。在合作时，我们将信任的人添加到白名单中，之后他们就可以使用root权限来短暂处理一些需要高权限的事。如果后续出了问题，我们也可以用白名单迅速找到对应的人，所以输自己的密码而不是root密码，安全性也有保障。

（2）拥有组 user、所属组 group、other

①为什么有这三个组？

一个文件或目录对不同人来说权限是不一样的，也即不同人在同一个地方身份不同。在Linux中划分了三个组，创建文件的用户自动变成该文件的拥有组和所属组，其余用户都是other。设计拥有组和所属组的用处在于权限更细粒度的管理，我们可以修改所属组给另一个我们信任的人，这就能保证所属组和other做出区分。Linux中我们能对最多能对两个用户进行精确权限管理（拥有组和所属组），其余的other共享一套权限。

②身份认定

当我们刚开始创建文件时，创建文件的用户自动变成该文件的拥有组和所属组，那么用户可以既是拥有组也是所属组吗？就像一个人在家里可以是母亲也可以是妻子？答案是否定的。

Linux中身份认定是唯一的，我们不能既是又是。认定顺序是拥有组->所属组->other，只要有其一匹配，身份不再向后检验。这就意味着如果拥有组和所属组都是某个普通用户，但所属组的权限更大，最后这个普通用户也只有前者拥有组的权限。

③权限识别

第一个明确是目录还是文件，从第二个开始依次表示user、group、other权限

（3）权限修改

权限 = 角色 + 身份，你可以将su和sudo理解为修改自己的角色，su切换用户，sudo则是用root的权限来执行指令。我们还可以修改文件的属性，即修改当前用户在文件那里的身份。

①chmod（修改各个组的权限）

这是修改三个组别拥有的权限，只有拥有组和root有资格执行这条指令

用这条指令，我们可以随意增加删除组别的权限，注意的是有文件的x权限并不意味着一定能执行，它首先得是可执行文件

修改权限的方式是chmod + (组别) (权限调整) 文件名，其中u、g、o是拥有组、所属组、other的缩写，a（all）代表所有组别。组别可以写ug，权限可以写rw，表示拥有组、所属组同时进行rw权限的修改，不同组进行不同权限修改之间用,逗号间隔

还有一种二进制->八进制表示权限的修改。先使用二进制表示某个组的权限：拥有该权限为1，没有为0，三位数就能表示所有可能，如111代表rwx，000表示---，110表示为rw-，随后将这些数字转为八进制，111->7，000->0，110->6。每个组别都这样处理，最后按拥有组、所属组、other排列表示三个组的权限，如644、777等。

每一种权限组合表示的八进制都是唯一的，3个权限2种状态，共8种状态，对应0~7刚好。

②chown（修改拥有组、所属组的用户）、chgrp（修改所属组的用户）

只有root能执行这些指令，所以普通用户必须sudo。因为我们修改拥有组、所属组的用户本质是直接将该文件交给别人，和chmod这种单一修改身份不一样，交给别人某样东西要经过它的同意，所以只有靠root强制交给它。chown、chgrp交给自己不会被拦截，可行但没意义，只要改了拥有组和所属组的用户必定被拦截。

注意chown、chgrp和是否有目录修改权限没关系

chown能同时修改拥有组和所属组，chown (新的拥有组，没有可不写):(新的所属组，没有可直接不写冒号) 文件名。

注意如果要修改所属组但不修改拥有组一定要记得些冒号:，否则就修改到拥有组去了

chgrp只能修改所属组，功能上欠缺了一点，了解即可。

（4）权限掩码

当我们新建一个文件或者目录时，我们会发现默认权限是不一样的，并且为什么会是这种权限呢？能不能自定义默认权限呢？这就要引入权限掩码了

我们使用八进制描述三个组的属性，普通文件创建时默认为664，目录为775，之所以默认权限是这样，依赖umask权限编码。目录的起始权限是777（x允许进入目录），普通文件的起始权限是666（普通文件不可执行），但最终权限的二进制表示 = 转为9位二进制的起始权限 &（~权限掩码的二进制形式），如何简单理解呢？3位权限掩码展开成二进制有9位，如002会展为000 000 010。取反之后我们发现为111 111 101（三三对应拥有组、所属组、other的3个权限）。根据与运算的规则，1 & 任何值，与上什么值，最后的结果就是什么值。0 & 任何值，无论与上什么值，最后的结果就是0。也就是说，002就是减掉other中和2对应的权限w，因此我们会发现最终权限表示中目录和文件的other都少了w权限。

因此，最终权限 = 起始权限 - umask权限掩码对应的权限，但最终权限掩码 != 起始权限掩码 - umask权限掩码对应的权限，一定要做好区分

用umask (num)修改权限掩码为154，根据154权限掩码规则，文件会在起始权限666上做减法。一位一位看：1会减掉x，这里看上去rw确实如此，但实际上新建文件本来就没有x，所以1是不做任何削减权限处理的；5会减掉rx，实际减掉的是r，x本来就没有；4会减掉r，实际减掉r，所以这就是为什么54处理后没有区别，多出来的1本来就没有，会被抛弃。因此，我们不能直接用起始权限掩码 - umask权限掩码得到权限，要逐个考虑，有的掩码是无用的

（5）粘滞位

当用户有目录的w权限时，就可以删除该目录下的所有文件而无需对文件本身有权限，这极为危险。当合作时，由于拥有组和所属组只能由两个用户当，大部分人都会是other，要保证共享目录编辑还必须开放目录中other的w权限，这就会导致一些误删的情况出现。

粘滞位就可以避免这个问题，chmod o+t (目录名)或chmod +t (目录名)，之后有且仅有root、目录所有组、文件所有组才有资格删除、移动目录里面的文件（other和所属组都被限制）

2.时间属性

（1）时间属性包含哪些？

stat (name) 可查询任何文件和目录的属性信息（修改时间、大小、inode等），其中时间属性很值得注意。

文件和目录有三种时间属性，Access最近访问时间、Modify最近修改时间、Change最近被改变时间。其中Modify是指最近修改内容的时间，Change是指最近修改属性的时间（注意区分）。