一、基本知识
 
   在Linux中，创建一个文件时，该文件的拥有者都是创建该文件的用户。该文件用户可以修改该文件的拥有者及用户组，当然root用户可以修改任何文件的拥有者及用户组。在Linux中，对于文件的权限（rwx），分为三部分，一部分是该文件的拥有者所拥有的权限，一部分是该文件所在用户组的用户所拥有的权限，另 一部分是其他用户所拥有的权限 。对于文件的权限请参考《 Linux的chmod命令》
 
   文件（含文件夹，下同）的权限，在shell中可以通过chmod命令来完成，关于此请参考 《 Linux的chmod命令 》 。 在  shell  中，可以使用 chown命令 来改变文件所有者及用户组， chgrp命令 来改变文件所在用户组。 在 Linux的 C程序 中，可以使用 chown函数 来改变文件所有者， 及 所在用户组。
 
  另外， 在shell中，要修改文件当前的用户必须具有管理员root的权限。可以通过su命令切换到root用户，也可以通过sudo获得root的权限。
 
二、使用 chown命令 更改文件拥有者
 
在 shell 中，可以使用 chown命令 来改变文件所有者。 chown命令 是change owner（改变拥有者）的缩写。需要要注意的是， 用户必须是已经存在系统中的，也就是只能改变为在 /etc/passwd这个文件中有记录的用户名称才可以 。
 
chown命令 的用途很多，还可以顺便直接修改用户组的名称。此外，如果要连目录下的所有子目录或文件同时更改文件拥有者的话，直接加上  -R 的参数即可。
 
基本语法：
 
chown [ -R]  账号名称  文件或 目录
 
chown [ -R]  账号名称: 用户组名称  文件或 目录
 
参数：
 
-R : 进行递归( recursive )的持续更改，即连同子目录下的所有文件、目录
 
都更新成为这个用户组。常常用在更改某一目录的情况。
 
示例1：
 
[root@localhost home]#  touch  testfile  //由 root 用户创建文件 
 
[root@localhost home]#  ls  testfile  –l 
 
-rw--w--w- 1 root root 0 Jun 7 19:35 testfile  //文件的拥有者及拥有者级均为 root 
 
[root@localhost home]#  chown  yangzongde  testfile  //修改文件拥有者为 yangzongde 
 
[root@localhost home]#  ls  testfile  -l 
 
-rw--w--w- 1 yangzongde root 0 Jun 7 19:35 testfile  //查看文件拥有者为 yangzongde，但组仍为 root 
 
示例2：
 
chown   bin   install.log
 
ls  -l
 
-rw-r--r--  1 bin  users 68495 Jun 25 08:53 install.log
 
chown  root: root  install.log
 
ls -l
 
-rw-r--r--  1 root root 68495 Jun 25 08:53 install.log
 
三、使用 chgrp命令 更改文件所属用户组
 
在shell中，可以使用 chgrp命令 来改变文件所属用户组，该命令就是change group（改变用户组）的缩写。需要注意的是要改变成为的用户组名称，必须在  /etc/group 里存在，否则就会显示错误。
 
基本语法：
 
chgrp [ -R]  用户组名称  dirname/ filename ...
 
参数：
 
-R : 进行递归( recursive )的持续更改，即连同子目录下的所有文件、目录
 
都更新成为这个用户组。常常用在更改某一目录的情况。
 
示例3
 
[root@localhost home]#  ls  testfile  -l 
 
-rw--w--w- 1 yangzongde root 0 Jun 7 19:35 testfile  //查看文件拥有者为 yangzongde，但组为 root 
 
[root@localhost home]#  chgrp   yangzongde  testfile  //修改拥有者组为 yangzongde 
 
[root@localhost home]#  ls  testfile  -l 
 
-rw--w--w- 1 yangzongde yangzongde 0 Jun 7 19:35 testfile 
 
[root@localhost home]#  chown  root: root  testfile  // 使用 chown 一次性修改拥有者及组 
 
[root@localhost home]#  ls  testfile  -l 
 
-rw--w--w- 1 root root 0 Jun 7 19:35 testfile 
 
示例4
 
[root@linux ~]#  chgrp  users  install.log
 
[root@linux ~]#  ls  -l
 
-rw-r--r--  1 root users 68495 Jun 25 08:53 install.log
 
示例5
 
更改为一个   /etc/group 里不存在的用户组
 
[root@linux ~]#  chgrp  testing  install.log
 
chgrp: invalid group name `testing' <== 出现错误信息～找不到这个用户组名～
 
四、chown 函数的使用
 
在Linux 的C 应用编程中，可以使用  chown 函数 来修改文件的拥有者及拥有者组。此函数声明如下： 
 
/usr/include/unistd.h文件中
 
 
 
/* Change the owner and group of FILE. */  
 
extern int chown ( __const char * __file , __uid_t __owner , __gid_t __group ) __THROW __nonnull (( 1 )) __wur ;  
 
此函数的第一个参数为欲修改用户的文件，第二个参数为修改后的文件拥有者，第三个参数为修改后该文件拥有者所在的组。
 
 
 
对于 已打开的文件 ，使用  fchown 函数 来修改。其第一个参数为已打开文件的文件描述符，其他同 chown 函数。该函数声明如下： 
 
 
 
/* Change the owner and group of the file that FD is open on. */  
 
extern int fchown ( int __fd , __uid_t __owner , __gid_t __group ) __THROW __wur ;  
 
对于 连接文件 ，则可以使用 lchown 函数。其参数同于 chown 函数。 
 
 
 
/* Change owner and group of FILE, if it is a symbolic link the ownership of the symbolic 
 
link is changed. */  
 
extern int lchown ( __const char * __file , __uid_t __owner , __gid_t __group ) __THROW __nonnull (( 1 )) __wur ;  

1.文件属性查看
格式："ls -l 文件名称"
查看文件属性这个操作是不太复杂的，主要来解释一下每个部分的含义，方便修改文件的信息或权限时能准确对应起来
-   rw-rw-r--    1     kiosk     kiosk     0   Oct 2 17:05     file

[1]    [2]         [3]      [4]          [5]       [6]      [7]                [8]



每部分对应的含义：

[1] "-"      #文件类型
文件类型大概有：                          

         1）-        #普通文件
         2）d        #目录
         3）s        #socket套接子
         4）l         #软链接
         5）p        #管道
         6）c        #字符设备
         7）b        #块设备
[2]   "rw-rw-r--"      #读写权限

        rw-|rw-|r--


         @   $   *
        1）@        #文件拥有者对文件能做的动作

        2）$         #文件所在组的组成员能对文件做的动作

        3）*          #其他人对与文件能做的动作

[3]   "1"                        #文件内容被系统记录的次数

[4]   " kiosk"                #文件拥有者

[5]   " kiosk"                #文件所在组

[6]   "0“                        #文件大小

[7]   "Oct 2 17:05"      #文件最后一次被更改的时进


[8]   "file"                     #文件名
2.查看目录属性
格式：ls -ld    目录名称
d   rwxr-xr-x  3     kiosk kiosk  33     Aug 27 09:47         directory

[1]    [2]        [3]      [4]      [5]     [6]              [7]                        [8]


每部分对应的含义：
[1] "d"                           ##类型（同文件）
[2]  "rwxr-xr-x"              ##权限
[3]  "3"                          ##子目录个数
[4]  "kiosk"                   ##目录拥有者
[5]  "kiosk                     ##目录所在组
[6]  "33"                        ##目录中内容的属性的大小
[7]  "Aug 27 09:47"     ##目录中文件增加或减少或被更名的时间

[8]  "directory"              ##目录名称
"ls -l"也可以缩写成"ll" , 我们直接输入'll"就等于是"ls -s"是一样的。

3.文件用户组的更改
chown     用户名称      文件                    ##更改文件所有人

chgrp        组名称        文件                    ##更改文件所有组


chown        -R               用户        目录    ##更改目录本身以及目录中的子文件的所有人

chgrp         -R               组名        目录    ##更改目录本身以及目录中的子文件的所有组

注意：更改的所有人和组都必须存在！

-R表示递归，不加-R只更改了目录本身信息，没有更改目录中子目录和子文件的信息

4.权限的识别
ls -l命令执行后显示的输出中第2 到第10个字符为文件权限，如：

      rw-                       r--                            r--

用户权限(u)     组成员权限(g)      其他用户权限(o)
权限种类
r
r权限针对文件，表示可以查看文件内容
r权限针对目录，表示可以ls 查看目录中存在的文件名称
w
w权限针对文件，表示可以更改文件的内容
w权限针对目录，表示是否可以删除目录中的子文件或者子目录
x
x权限对于文件，表示是否可以开启文件当中记录的程序

x权限对于目录，表示是否可以进入目录中
chmod    ugo+-=rwx      ##改权限，如：

表示删除用户更改文件内容的权限，添加用户组成员和其他用户开启文件中记录程序的权限，也可以用以下方法：

r=4
w=2
x=1
-=0

7=rwx，6=rw-，5=r-x，4=r--，3=-wx，2=-w-，1=--x，0=---，如：

表示把用户和组成员的权限改为读，写，执行，其他用户不可以读，写，执行

5.文件的默认权限

umask    ##显示系统预留权限值

1）临时修改

如：umask  077   ##临时将umask值修改为077    


这个修改只在当前shell中有效
2）永久修改

vim /etc/bashrc        71行是普通用户的更改，73是超级用户的更改


vim /etc/profile    60行是普通用户的更改，62是超级用户的更改

source /etc/bashrc     ##刷新bash配置

source /etc/profile      ##刷新系统配置
6.特殊权限
1）stickyid    ###强制位
o+t      ###针对目录，当一个目录上有t权限时，这个目录中的文件只能被文件拥有者删除
t=1
chmod   o+t   directroy

chmod 1777  directory

westos下的子文件只能被它的所有者删除，其它用户不能删除

2）sgid        ###粘制位
g+s        ##针对目录，在目录中创建的文件都自动归属到目录所在组，针对二进制文件，文件内记录的程序在执行时和执行者的组身份没有关系，而是以二进制文件的所有组的身份执行的
chmod   g+s   file|directory

chmod 2777   file|directory  ， 如：


这样以来，在westos目录中创建的文件都自动归属到westos所在的组，而不是执行者的组

3）suid        ###冒险位
u+s        ###针对文件，文件记录动作在执行时是一文件所有人身份执行的，与是谁发起的无关
chmod   u+s     file
chmod 4777    file


把/bin/rm的所有人和组改成student普通用户，没有执行“chmod ug+s"这个命令之前，超级用户是以自己身份执行命令的，可以删除自己的文件，当执行这个命令，超级用户是以student的身份来删除root里的文件，权限是不够的，不能删除
7.权限的设定
acl 是指定用户对特定文件有特殊权限

1）指定让某个用户或组操作：“setfacl -m u/g:用户名/组名:权限 文件”。"ls -l 文件名"，看到+表示权限列表开启,里面的权限是不读的，查看具体权限用gefacl
[root@desktop40 ~]# setfacl -m u:student:rwx /mnt/westos
[root@desktop40 ~]# ll /mnt/westos

-rw-rwxr--+ 1 root root 0 4月   4 21:58 /mnt/westos


"getfacl 文件名"查看权限列表


# file: mnt/westos  文件名
# owner: root       拥有者
# group: root       拥有组
user::rw-           拥有者权限
user:student:rwx    指定用户的权限
group::r--          组的权限
group:student:rwx   指定组的权限
mask::rwx           权限最大值
other::r--          其他用户权限

2）删掉某个用户或组的权限信息,"setfacl -x u/g:用户名/组名 文件名"

[root@desktop40 ~]# setfacl -x u:student /mnt/westos


3）关闭权限："setfacl -b 文件名"，+消失权限关闭

4）mask值，权限列表开启后，“ll 文件名”查看的权限是不准确的，所以如果chmod缩小里面权限值的话，mask值会被修改，mask值是指定用户权限最大有效值：



用"setfacl -m m:权限 文件名"就可以修改回来


5）defaul权限
default权限只针对目录，对于目录中新建的文件可写
格式：setfacl -m d:u:用户名:rwx 目录，如:


6）-R表示对目录中原有的文件可写
格式：setfacl  -Rm u:用户名:rwx 目录

1. linux下修改文件用户组
 chgrp： change group的简写，修改文件所属的用户组。 
chgrp users test.log
 修改后查看 ls -l 
-rwxrwx---  1 work users 0 Jun  8 15:46 test.log
 如果要修改该目录下所有文件和目录，使用-R参数。 
chgrp -R users test
 要被改变的group名，必须在 /etc/group 文件中。 /etc/group文件记录系统中所有的组名称。 
2. linux下修改文件所有者
 chown ：change owner的简写， 修改文件的所有者。 
chown [-R] 账号名称  文件或目录
 -R 递归，将子目录下文件全部修改。

 将文件所有者修改bin 
chown bin test.log
 修改的用户必须在/etc/passwd文件中 /etc/passwd记录用户信息。

 chown还可以修改组名称 
chown root:root test.log
 将所有者和组名称都修改为root。

Linux用户与用户组配置文件详解
 
 
 
出发点
 
 
Linux是一个多用户多任务的操作系统，用户需要使用系统，就必须在系统中拥有属于自己的账号。
 作为一个Linux管理员，对用户增删改查等操作当然离不开用户与用户组的配置文件了，熟练的掌握与运用用户与用户组的配置文件是必不可少的学习一步，接下来我会详细介绍用户与用户组的配置文件。
 
1、与用户有关的配置文件（/etc/passwd），所有用户权限为可读
 
 
 
Linux基本思想之一：一切都是文件
 
 
passwd：存放用户账户及其相关信息(密码除外)
 
vim打开passwd用户配置文件
 
 
 passwd文件中包含了系统所有用户的基本信息，一行定义一个用户账户，每行均由7个不同的字段构成，各字段用“:”分割
 
第一个字段（第一个root）：用户名
 第二个字段（x）：加密的密码（为了安全去，使用“x”占位代表）
 第三个字段（第一个0）：用户ID
 第四个字段（第二个0）：用户组ID
 第五个字段（第二个root）:用户的描述信息（默认用户的全名或空值）
 第六个字段（/root）：用户的主目录
 第七个字段（/bin/bash）：登录shell（字段为/sbin/nologin,表示禁止登录）
 
 
 
用户名：加密的密码：UID：GID：用户名全名或描述信息：用户主目录：登录shell
 
 
 
 
如果要禁用某个用户账户，可以修改/etc/passwd文件，在该用户对应的行首添加“#”符号(linux中行首第一个字符为#，代表这一行为注释)，或者用户的shell设置为/sbin/nologin
 
 
2、用户账户密码信息配置文件（/etc/shadow）,只有超级用户root可读，普通用户无法读取
 
shadow文件中，每个用户信息也是占用一行，由9个字段组成，中间用冒号“：”分割
 
vim打开shadow配置文件
 
 
 
从左往右依次是：
 第一个字段（root）：用户名
 第二个字段（$…0）：加密后的密码（如果为空，用户不需要输入密码即可登录）
 第三个字段（空值）：密码的最后一次修改时间（这是一个相对时间，即从1970年1月1日到修改时的天数）
 第四个字段（0）：密码在多少天内不能更改
 第五个字段（99999）：密码在多少天后必须更改
 第六个字段（7）：密码到期前多少天给用户发出警告
 第七个字段（空值）：密码在多少天后用户账户将被禁用
 第八个字段（空值）：密码被禁用的具体日期（这是一个相对时间，即从1970年1月1日到禁止时的天数）
 第九个字段（空值）：保留字段
 
 
 
通过vim打开/etc/shadow文件，通过修改相关内容可以达到管理用户的目的
 
 
3、设置用户属性的配置文件（/etc/login.defs）
 
建立用户账户是会根据/etc/login.defs文件的配置信息设置用户的某些属性
 
vim打开login.defs
 
 
 MAIL_DIR /var/spool/mail （用户邮箱所在的目录）
 PASS_MAX_DAYS 99999 （账户密码最长有效天数）
 PASS_MIN_DAYS 0 （账户密码最短有效天数）
 PASS_MIN_LEN 5 （账户密码的最小长度）
 PASS_WARN_AGE 7 （账户密码过期前，提前警告的天数）
 UID_MIN 1000 （使用useradd命令添加账户是自动产生UID，最小UID值）
 UID_MAX 60000 （使用useradd命令添加账户是自动产生UID，最大UID值）
 SYS_UID_MIN 201 （使用useradd -r 添加账户时自动产生的系统UID，最小UID值）
 SYS_UID_MAX 999 使用useradd -r 添加账户时自动产生的系统UID，最大UID值）
 GID_MIN 1000 （使用groupadd命令添加账户组时自动产生GID，最小GID值）
 GID_MAX 60000 （使用groupadd命令添加账户组时自动产生GID，最大GID值）
 SYS_GID_MIN 201 使用groupadd -r 添加账户组时自动产生的系统GID，最小GID值）
 SYS_GID_MAX 999 使用groupadd -r 添加账户组时自动产生的系统GID，最大GID值）
 CREATE_HOME yes （创建用户时是否为用户创建主目录）
 USERGROUPS_ENAB yes （创建用户是是否为用户常见同名的组）
 ENCRYPT_METHOD SHA512 （密码加密方式）
 
 
 
/etc/login.defs文件中某些设置不会影响超级管理员root用户
 
 
4、用户组管理配置文件（/etc/group）
 
group文件用于存放用户组的加密密码，每个用户组账户的信息在改文件中占用一行，每行分为4个字段，中间用“：”分割
 通过修改group文件，达到管理用户组的目的。
 
vim打开group
 

 
 
 
 
组名：加密后的组密码：GID：组成员列表
 
 
第一个字段（root）：用户组的组名
 第二个字段（x）：加密后的用户组密码
 第三个字段（0）：用户组ID，GID
 第四个字段（空值）：用户组的成员列表（多个组成员用逗号分割）
 
 
 
group文件中，用户的主组并不把该用户作为成员列出，只有用户的附属组才能把该用户作为成员列出
 
 
5、用户组密码配置文件（/etc/gshadow）
 
gpasswd用于存放组的加密密码，每个组账户在该行占用一行，每行分为4个字段，中间用“：”分割
 
vim打开gshadow
 
 
 
 
 
组名：加密后的组密码：组的管理员：组成员列表
 
 
第一个字段（root）：用户组的组名
 第二个字段（空值）：加密后的用户组密码（空值代表没密码）
 第三个字段（空值）：用户组管理员（空值代表无组管理员）
 第四个字段（空值）：用户组的成员列表（空值代表无成员列表）
 
 
 
可以通过修改gshadow文件达到管理用户组的目的