1Linux基础知识-5linux用户和权限-3文件权限管理 (2)原创

那咱们刚刚已经给大家讲了文件的权限管理啊，这块呢是一个基础，大家还是要下来好好练一练，当然这些命令呢，呃，实际上我们以后会反复用啊，在这个使用过程中，慢慢的大家也能够记得很清啊，记得很清楚很牢的，当然刚才讲的那些逻辑呢，大家得搞清楚啊，就是文件的权限，尤其针对目录的权限，到底什么意思。针对文件的权限读写执行和目录的文件啊，目录的读写执行权限有什么区别，这个呢，大家下来要一定要做总结。刚才提到那个大厂的面试题，希望下来你们自己去验证看看。实现这个文件的复制。需要哪些基本条件？最低要求，所以你们做实验的时候，你可以先把所有的权限先取消，000设完以后呢，你再去一个一个加权限，什么时候加到成功了，说明这就是最小权限。

啊，下来你可做总结啊。好了，那接下来我们继续来看关于权限这部分。在我们新建文件的时候，我们发现新建文件它默认就有一些权限，比方说我这儿新建一个文件a.test你看这个a.test文件好像默认它就有一个这样的权限，如果用数字法来描述的话。应该是几啊644是吧，而且呢，我们发现这个默认权限是固定的，然后再建个B文件也是644。啊，那我再建个文件夹呢，好，那我们看一下这两个文件夹建好以后，它的权限如果用数字法来描述的话，应该是T55对吧，七五。

我们发现默认键的权限是固定的，新建文件夹和文件固定的，那这个默认键的文件权限我能不能给他调了改了呢？可以，那就是通过一个叫you mustsk这个指令来进行修改。U mask这个命令本身它是一个。Building内部命令，这个内部命令它可以间接的来影响新建文件文件夹的默认权限。那我们简单的可以总结出一个公式来，就是you must，它的权限和你默认权限之间是这样的一个关系。把它相加，当然加的话你一定是对倍加啊。假如说你把它转换成这个二进制来对位相加，这个对位相加。

那加出的结果如果是文件加。拿777，如果是文件666666。那当然这个77766，为什么文件夹就拿777目录文件夹是777，而一般的文件就是666。这个七七是文件夹的最大权限，那里来讲，文件也是最大权限，也是七七，它之所以这么设置，就是担心你新建文件就有执行权限。我们刚才也强调了，执行权限是有风险，有安全风险，所以基于这种目的，他不希望你新建的文件就有执行权限。因此他设了一个六。那设了个666的话呢，那么就可以。

在一定程度上避免说，比方说我们故意的设一个u mask是000。按照我们刚才的公式，新建文件夹的权限将是什么？你看这一一减不就算出来了吗？啊，你看000加默认权限是不是就是文件夹的最大权限是什么？777，那还用说吗？默认权限啥呀。就是七七嘛，对不对，那如果是文件，如果是文件的话，那么默认权限啥呀，666嘛，666嘛啊，那所以我们故意的设成文件的666权限，就避免说人家万一设个零，哎，那你是不是新建权限就出现了信息权限，信息权限不就包含执行权限了吗？就不安全了。所以他故意这么设计的啊，最终的目标就是达到一个目的，就是新建文件不能有人权限，你后续加，你是后续加，但是你新建的文件不能直接就有执行权限，理解了吧，哎，避免安全风险，你不能生下来这个文件新建它就有执行权限，这不行，你后加呢，是你恶恶你刻意的要加的，那是另外一个回事了。

啊，这就是他的一个思想，那既然明白了这个道理，那理论上我们把u mask，比方说现在大家实际上能算出来目前的优马值。啊，你看现在就以文件来说，这个文件现在是644。这是默认权限对吧，那么六默认权限是644，那你觉得马是几啊啊，它这个是644就是644啊，所以呢，那你前面的权限自然就是022，因为他们加起来是不是才是能达到666的权限。

对吧？哎，当然是不是呢？那我们可以验证一下，我们有个命令，就是u must的命命令，这个命令直接可以显示当前的U码值。啊，大家大家可能发现前面还有个零，那个零代表着八进制的意思啊，你不用管了，所以平时我们这个前面的零你可以就当不存在一样啊，就看最后的后面的三位022。零二，这就是他当前的值。当然这个u ma的不仅可以显示，还可以改，那怎么改呢？方法就直接后面跟上新值就行了啊，改的时候第一个零是可以不用写的，比方说我们如果改成246。嗯。哎，那我请问大家一个问题，我新建一个C文件，你说。这个文件的权限应该是什么样的，啥权限？那按照刚才的公式吗？那你是不是文件的权限是拿6666来减吧。

六去减246，那是多少？420吧，420，看看是不是420没问题吧，420，哎，当然呢，我要如果新建个文件夹。那你说我这个文件夹的权限是个啥样？你说按照同样的也也是公式，不过是文件夹上拿七来算，777777去减246多少是531，看是不是531。对吧，531没错，所以目前来讲，咱们这个公式是正确的啊，当然只能说目前因为有例外，比方说如果我新建一个文件。

B，那但是这个文件呢，那我们如果把U对不对改成另外一个，比方说123。然后我再建一个这个这个d test，那d test这个文件的权限按照刚才的计算公式应该算出来是几啊，应该是543，但543你不觉得有问题吗？543543是奇数啊，5435是奇数，三是奇数，奇数是不是就带执行权限，因为我们这个读权限相当于四。执行写权限相当于二，执行权限相当于一嘛，加起来正好七嘛啊，所以呢，如果是这样，那就违反了我们u must的原则，如我们新建的文件是不希望有执行权限。

对吧，所以如果你这么真的一减，那得出来的结果那五四三十带执行权限的是不对的，不对的，不允许，不允许怎么办呢？得，我就给你加上一，总之让你必须是偶数，不能奇数，哎，那么就变成了六，当然本身这个四是没关系的，所以你就不用加了，那三的这个东西是奇数，加一就变成了64，明白了吧，那这就是它的逻辑，就是减完了以后，一旦发现奇数你就加一，如果没奇数咱就算了，哎，有奇数就不行，必须你给我变成偶数。不能带执行权限，这个不安全。啊，这就是它的一个逻辑，当然文件夹，文件夹的话会不会影响啊，现在我们的权限已经是这个u must已经是123了啊，那我新建个文件夹，这个文件夹会有影响吗？文件夹这个这文件夹的权限有空有有变化吗？那算出来应该是几啊。

文件夹权限。那777减嘛，对吧，771减123减出来多少啊，654，那654它需要不需要涉及到安全风险，也给它加上一个一啊。不需要加，因为文件夹的执行权限只是说能不能访问这个文件夹，并不代表着安全风险，所以不加了。这就是用mask的计算公式，现在你可以总结了，怎么总结呀，就是看你新建权限，新建的文件用这个666，实际上文文件夹的话，七七减，减完就行了啊，T7去减U码的值，得到权限就是最终它的目录的最终权限。如果是文件，那就看情况了，文件的话呢，拿这个666去减，减完了以后看里面有没有基数，如果有基数加一，没基数就算了，保留原值，这就是它的一个计算公式，记住了吗？啊啊，这就是它的一个背后的计算公式啊，当然u mask，这是我告诉大家一种简单的计算方法，那事实上它内部的工作逻辑呢。

是这个意思，Mask这个单词首先你得明白什么意思，这什么意思，这个单词啥意思，它是遮挡，遮掩的意思就是挡住了，那所以u mask呢，它就是对用户的这个权限呢，来做哎控制的，那么它的本质逻辑就是遮挡的意思，所以为什么123我们设完以后，它会间接的影响咱们的文件权限呢，它本质上是这么来算的啊，我我来来说一下它背后怎么算的啊，实际上大家现在已经知道怎么算啊，我告诉大家的实际上是个巧妙的简单的计算方法，但是你背后它的工作逻辑是怎么回事，你得搞清楚啊，那这个u mask呢，它的123，那么最终得到的权限它是怎么来的呢？是这么来的，666。

123首先先把666转化成二进制，110110110，听懂了吧，先把它转换成二进制，那么123呢，是00101010011，这是不是就是它的二进制啊？那么这个u must的作用呢？是遮挡的意思，也就是说把我们有的权限给它去掉，那么这个去的时候呢，有一个原则，就是一表示去掉的意思。去掉对应的权限。相对应的权限，零表示不变，零表示不遮挡，不去，不去除。

那那大家可以看一下，我这边前两个都是零零表示不关心不去除，那是不是原来啥权限就保留下来就好了，所以这两个权限还下来还是一。但是接下来这个就不一样了，这个是一，这个一表示什么？表示要去除上面有的权限，但是有一个问题，上面有权限吗？没权限，没权你去了干嘛，就别没得去吗？假如说我想把你的权去了，你本身就没权限，我是不是也就不去了，不去了是不是也保留原值了？意思了吗？哎，那当然接下来这个就不一样了，这个是一是表示去除，哎，上面它是真的有这个权限，那有了就把它去了，去了以后变成什么了，就没权限了呗，变成零了，明白这个逻辑了吗？那这个零表示不不关心，那上面还是一嘛，就该保留原值，保留原值，然后这个一表示要去除，但是上面本身是不是人家就没权限，也没得去，那同样的这个零表示不关心，哎，然后这个零，这个一表示要去除，然后这个没得去。

这就是他的最终权限，这个权限算下来是多少，是不是就是6624，这个算出来结果跟我们刚才说的那个方法是一样的，刚才的方法我们是怎么算的。刚才我们方法是先简单再说，我们先减直接减，减完了以后呢，是不是就是543对吧，但是减出来有基数不行，加一加一变成了什么4543，那这个应该是644。诶，这个和我刚才就不一样吗？下面下面是不算错了，下面应该算错了吧，我看一下。

这这给写错了，这是。应该是二二，怎么给写成那个呃101了，应该是010是不是写错了，写错了，所以导致底下就计算就错了，那这个我们刚才说了，这个零表示不关心，然一是去除，但是没得去，然后这个零表示不关心，这个要去掉，去掉就变示零，然后零，呃幺，然后去掉，然后这个是没得去，诶怎么有计算错了，我看看啊，这个是零吧，这个是一啊，人家有权，这个是零，这个是零，这个是幺，这个是要去掉的，这个没得去。对了吧，这回计算的结果跟我们刚才用这种减完了加一的方法是不是得的结果是一样的，哎，这个就是它背后的逻辑啊，就他实际上本质上是这样来做的，不过呢，这种方法太算起来太费劲，还容易算错，你看我算了好几回都算对了啊，这数学学的不太好，实际上不是数学不好，这是时间长了不太算。

实际上我数学还不错，哎，好，当然这个就是我们说的计算方法啊，那么用ma值呢，可以影响咱们新建文件的默认权限啊，现在大家明白了啊，当然那这个u musts设完以后呢，现在我们可以用这个命令来确认，但是呢，这个命令有一个问题，就是当你注销了再进来。他又回去了。也就是说，我们要想持久保存。那是不是必须要怎么样写到文件里是吧，那写到文件里，写到哪个文件里呢？哎，我们这有这样的一个文件82C。啊，事实上这个文件也可以啊，放在80RC里吧，那我就可以点80RC这里边写，当然怎么写呢？我们可以这么来写，Must，把这个文件打开，把这个文件打开，然后呢，在里面去加上u mask什么123明了吧，那事实上除了这种方法，我们还可以用另外一种方法，就是must-P。

大家发现没有，这个ma-P呢，它有个什么作用啊，就是他把这位位给你显示一遍。听懂了吧，写了一遍，那我们是不是就可以，哎，回加了意思了吗？这不就写进去了吗？写进去了，那我们退出来再注销一下，看看它能不能保存住啊，必须保存住啊，理解了吧，这就是它的持久保存方法，好，这就是我们刚才给大家讲的啊MAS，当然这个mask呢，有的时候我们一般来讲很少去直接改这个mask，直接改一般来讲呢，我们要改，偶尔都是临时性修改。

就是改完了以后呢，可能创建几个文件完了以后就恢复回去了啊，比方说我们希望新建的文件权限是600。那如果你希望从现在开始后续建三个文件，五个文件都是600的权限，但是这把这五个权限三个文件建完了，我就又想回到原来的默认的右码了。像这种情况下，那怎么办呀？那有人说了，那我就改呗，那我就改成这样就行了，那比方说如果我们希望新建的权限是600，那么用ma应该设置几就行了。066是吧，006啊，然后我们新建，比方说我们建个F1，再建个F2，再建个F3，当然我们批量件文件的话，有个偷懒的方法什么来着，像这种来点，比方说建个十个文件，这可以吧。这样的话，这十个文件的权限是不是就都是利利率了，这完以后呢，我们来确认一下，你看都是利，那设完了以后，当然你希望以后的文件还是要回到原来的默认权限，你是不是还得再回去回改回去啊，改回去的话，你得知道原来啥样，如果原来都不知道，那就忘了麻烦了，我没法改恢复回去了啊，这样的话，这个方法不是很方便啊，不是很方便，所以我们有一个方法的就更简单，就是我如果想临时。

创建几个文件权限改了，但是我待会要回去的话，我们可以有一个这样的方法，就是小括号，然后零，当然077 077和我们刚才写的066最终的效果一样，不一样，就是对于我家新建文件来讲，你说这个有没有区别？有没有区别？077就是目前来讲啊，就是我这个写法，066和077建新文件有没有区别，最终影响。

啊，有没有印象。对于文件来讲，你拿六去去减，减完了如果有机会要加回来啊，所以实际上对于目录来讲有影响，对于文件没有影响，对文件都一样啊好大家看我这样做完以后你再来看。效果一样吧，而且呢，我执行完了，那这个优ma不自动回归了吗？自动回归了这是不是就特别方便，哎，就比我们哎这个这个改完了，设完了再回归它的手工改，万一我以前不知道原来MAS可能是不是就改不回去了，这是不是就自动回去了，所以这个方法是我们生产中啊比较多的用的方法，当然这个方法背后它是怎么实现的，这个实际上用的是子share的方式来实现，这个我们讲到子share的时候再说啊，这个方法希望大家记住这个属于零时。

设置文件的权限。啊，就想这几个文件设完以后就不设了，就这意思啊，所以记住这个例子啊，这个例子以后我们会用的比较多，用的比较多。好了，这是刚才提到的默认权限，把这些记住就够了，嗯，好了，接下来咱们来继续看一下这个文件，上面还有一些特殊权限。这些特殊权限呢，它的这个呃。用法相对来讲呢，用的不多，不过呢，到时候你必须要明白它的。这个功能是什么啊，虽然我们不会主动去设置特殊权限，相对设的少，但是呢，这个你看到了也不知道它是什么意思。

有三个特殊权限，分别成为s suid s did和stick，那么suidd表现为在所有者的执行位上。他把所有者的执行力这个地方给霸占了，什么意思呢？是这样，在这。正常情况下，前三个不就所有者设的权限吗？这个地方应该是放X的，但是一旦有了SUID，它这。就写了一个小S。他把这个位置。那个X权限给挡住了，它变成个S，这个就叫suid。那么SUID到底起到什么作用呢？那我举个例子，大家都知道了。

大家看这个文件。这个文件我们已经知道，它的文件内容存放的是用户的。口令信息。是吧，那这个文件的权限是不是很严格？你看看权限，谁都没有权限，那当然普通用户能访问他，能修改他吗？不可能，对不对，哎，普通用户是没有能力去直接访问他的。那现在你看王账号直接去访问。帮不了他，帮不了他。没有权限。但是大家想过没有？我这个文件虽然不能直接访问，我可以能不能曲线救国呀？比方说我自己改自己的口令行吗？

啊。六。喂。就改自己的口令是啥意思呀？那我就输自己口令呗，比方说输入当前的口令，先输一遍，再输两遍新口令。改成功了吧，改成功了，我们都知道改口令，口令最终是放在哪了，不是还是放在这吗？大家看一下这个文件的时间变了吗？变了，说明我真的把这个文件改了。但是从权限角度来讲，是不是违反了我们正常权限的理解呀？我们说过用户去访问文件的时候和工具有关系吗？用啥工具会影响你访问这个文件的权限吗？

访问文件能不能访问，是和工具有关，还是和人有关，人有关？所以管你是谁呢？你去访问，用什么命令去访问，他最终权限应该都是一样的，因为人决定权限，而不是工具决定权限。但是为什么现在就违反了我们前面讲的这一套理论呢？那就是因为这上面有SUID权限，我刚才改文件的时候不是直接去改的，我是通过这个命令来实现的，那这个命令上面有特殊的信息吗？那我们来看一下就知道了。大家看这上面多了一个S，这就是我们说的SUID，那这个suidd的权限到底功能是什么呢？就是这个SUID权限的文件。首先。设置权限的一定是个可执行文件。

大家看这是不是可执行文件？而且这个文件的所有者是root。那么最终效果就是当王这个用户去执行这个命令的时候，他就不像以前。它会自动的继承这个文件所有者的身份。也就意味着王账号虽然你自己去执行他ID，但是呢，当你执行它的时候，因为它上面有S权，它就瞬间变成了root了。当然只是执行，只是线。只在执行这个命令的时候编成入他就别的命令还不是如此。那这时候你执行PWD，既然你都变成root了，那当然这个PWD修改文件，Set文件不也能改了吗？理解了吧。哎。就跟超人，超人平常表现就跟普通人一样，穿上件衣服就成超人了，是不是这意思，哎，穿上那个那那不知道叫啥衣服，那马甲一穿就就成超人了，就这意思啊，那你不穿的马甲就是普通人。

啊，这就是咱们说的SUID，当然这个SUID权限很危险啊。不是说随便一个权限就往上加的。比方说如果我。把cat上面也带了一个SUID，大家觉得会导致什么结果？我这也给他加个S，你说会产生什么问题，那是不是就是比方说我加一个怎么加的，注意它这个加法是比较特殊的，单加U加SSU不是所有者吗？啊，单加加了以后，你看有了它支持数字法，数字法的话呢，它的数字法和咱们以前的数字法。

就是不在一块算，单独算，我们先把它当成不存在，那个地方应该有个小X的，正常的权限应该是755，对不对。是吧，那么这它单独算它是四，那吃完以后还是这样。啊，这就是suid权限怎么设啊？好设完以后呢，我们现在再来看，如果是王账号。看着啊看王账号刚才访问这个文件，当时我们试了一下访问不了，现在再看怎么样了，可以了，你看这个文件理论上我是没有权限，但是为什么能看，因为我执行的是cat。但是你除了用cat可以在其他命令还是不行的啊，比方说我用一个这个别的命令吧，啊V啊不开是吧，难道打不开。

因为这些命令上没有这个权限。啊，当然了，如果把nano，当然我这儿可能没装nano啊，这我不过我这虽然没装nano，但是我装了一个VI工具，如果这个VI工具上也带有了sid权限，大家觉得会导致什么结果？那是不是任何人拿这个V就可改任何未见，那显而易见，这就麻烦了，这没什么意义了，这入控制不住别人，所以不要这么讲，所以SUID呢，大家知道这个权限就行了，一般也不要讲啊，啊刚才那个cat，那就和它回收吧，要不没啥意思了啊，那我们把它怎么去掉呢？哎，我先给它用传统的655。那前面那个四五就取消了，大家看是不是就没了，这就是他的权限。就实现了。

Idd大家知道的功能就行啊，记住两点，第一，ID一定是作用在二进制的可执行的文件上。第二点，所有者是root。理解了吧，哎，要不没意义嘛。你说你设了一个。非执行权限。没有意义，哎，你再设一个投书组织普通用户的，那他继承这个用户，他也没啥权限，那原来就没啥权限，我觉得就没啥意思了啊，所以知道这两点就行，那么在咱们系统中确实有一些程序就是用的这种特殊的SID属性，你看看这个颜色实际上能看出来啊，你看这红的，你看这红的，这是不是有S啊，是不是这红的看看S是不是这上面都有特殊属性。是吧，但是大部分没有啊，因为都有的话，那就麻烦是吧，那就root就没什么控制控制控制力了啊，这是第一种啊，还有一个呢，叫SJD，当然大家应该聪明的想到了，那SJD在哪啊。

SJD作用作用在哪啊？哎，S didd sidd是作用在所有者的执行位上，那么SJD自然就是作用在所属组的行位上，那么它将来起到的作用就是将继承这个所属组的权限。啊，就是它变成搜主的人能力了啊，当然这个东西实际上用处不大，所以我们发现这里面，你看我们这里面有没有那个SGID的那个S呀。这这有SUID，但是没有SEID吧。所以这个权限用的极少。啊，介绍。好。那第三点特殊权限叫sticky权限，Sticky权限叫年制币。

年制位。粘滞位粘滞粘滞，那就是把它这个权限呢，起到了固定停滞的作用，什么意思呢？是这样的，在前面我们讲过，一个文件夹里面的文件要想被删了，普通用户要想把一个文件夹的内容删了，他只需要有什么权限才能做到。啊，一个文件要想被删，假如说王账号要把这个F1删了，需要符合什么条件，他就能把这个文件删了，是不是对他的上级目录有执行和写权限就可以了，我们说一个文件夹里的文件能不能删，能不能创建新文件夹，和文件本身没关系。

和文件夹有关系，当然我们会觉得不合理，为什么说不合理呢？就是比方说人家入的账号。建了一个文件，我这个文件设置权限还挺严格，我设了一个啥权都没有，大家想过没有，如果我这么设的话，理论上这个除了root以外的其他用户是不能改这个文件的。但是呢，按照我们刚才想的，如果我的副目录给他那写权限啊，比方说我都给它写上吧，那这时候是不是就意味着这个目录里的文件F1文件也能够被王直接删掉，哎，张三建的文件李四能删，李四建的文件张三也能删，只要对立目录有写，我就能删，那这样的话就会存在一个不太好的现象，就是一个目录里面大家都有写文件，都往里写东西，结果他可以互删对方的文件。

我把你的文件删了，你不高兴了，你把我的文件删了，这是不是有点感觉不，不太符合咱们正常的需求。是不是，哎，你见完见就见吧，但是你别煽哄别人的呀。对不对。哎，要想实现功能，通过粘置位可以实现，粘置位是这样的，粘制位在这在这表现为一个T字母other位的T，把它变成T。啊，那现在你看我们在这儿加一个叫O加T，当然你也可以用数字法，数字法就是一啊，那个刚才实际上大家发现没有，那个四代表这是SUID2代表着SGD，一代表的就是哎。就是年制位加起来正好也是七啊啊，你看这就有了年制位了，有了粘制位以后呢，这个目录里的文件要想删。

得有要求了，什么要求呢？就是除了原来的那个写执行权限。呃，就是两个都有以外删还的有一个条件，就是你只能删自己的条件。你不能删别人的名字。啊，所以我们现在这个目录里面的这个文件，我大家都可以往里写是没问题的，比方说王账号往里写没写呀，我这个刚才好像设了一个挺长的一个密码。我的把它改了吧，哎，有一个改密码的。非交互式方法什么来着？这是不是啊，当然也可以用别的方法，比方说是不是也可以啊，这都是非教务方法，这个大家要多掌握一些非交互方法，因为将来工作中我们将来不可能敲一挑微，还得再再再再去手工书什么，有时候我们啪一下就全执行完了，就批量执行，所以这些方法都是非交互的方法。把交互方法。

交互执行过程变成了非交互，这样将来才能实现批量执行。好，那现在口令呢，被我改成了孙S了啊，那现在往3S登录，登录之后进到这目录里，我建个文件王，一看文件。哎，但是我能不能删人家这个这个root线的文件呀，删不了了，哎，删不了了，那这个马哥登录进来，马哥登进来能不能把王的文件删了呀。发现了吗？我们能见文件，但是不能删别人的文件啊，当然你要是删自己的文件，当然那那你要删自己的文件，那没人说自己删删呗。

理解了吗？这就是CKVCKV呢，起到的作用就是不能删别人的文件，只能删自己文件，当然了，那入的账号，入的账号能删网的文件吗？啊哎，Root账号权限对他是不是都不起作用，对吧，Root你想想你理解了吧。啊，所以以后设什么权限就别想着控制root root是控制别人的，不是被控制啊，它是游离在权限之外的。好，这就是我们刚才给大家说的这个权限。那另外呢，我们SUIDSDID这四三个权限。SGD还有CKV这三个权限，这个SSUIDSGIDCKV。

这个SJD它还有一个特殊的功能。这个SPID，刚才我们讲的是SPID作用在可执行的二进制的。文件上，这回换一个场景，就是作用在目录上，作用在目录上。那么，当我std坐在目录上，它的含义又是另一层含义了。作用在目录上假设有一个文件夹叫there。而这个文件夹的所属组。所属组。假设叫G，我们一旦在这个目录上设置了SJD权限的话，将来在这个目录中新建。文件的所属组将自动继承。

是目录的输数据。啥意思啊，就是说你在这个目录里面建个新文件，这个文件的所属组，正常情况下所属组应该是谁，就是张三创建的，那么张三的这个文件的所属组就应该是张三的主组，是不是是主组嘛，默认吗？默认谁建的文件，这个文件的所有者是他所属组就是他的主组。对吧，但是我们这么一加，我在这个文件夹上设了一个SJD，那么它就意味着里面新建文件的时候，这个所属组就不是那个主组了，是谁呢？是这个附目录的组，附目录所属组是谁，我就新建的文件所属组就是谁。明白了吗？哎。

那它用于干嘛呢？就是用来协作多个用户协作工作的时候，比方说假设我们有一个这样的一个这个这样的一个文件夹，这个文件夹放了一些管理工具或者管理文件，那现在我希望张三也好，李四也好，比如说马哥和网上协作都在文夹里面互相建一些文件，那建文件的话呢，我们是不是希望这个文件建好以后，呃，既然咱们都在一个小组里面，可能我会改你的文件，也会改我的文件，但是默认情况下呢，我们这样做完以后，他是做不到的，比方说当然首先这个目录我得有写权限，没写权限的话，王账号码该是进不来，就是写不了东西的，所以我们可能就会这么写，比方说加一个什么呃权限，当然，我们只是希望马哥和马哥和王能够进到这个目录里写别的目录不让写，那怎么办啊？那是不是我们可以考虑这么做呀，就是我把马哥和王加到一个组里面，然后把这个文件夹的所属组给它设成这个组。

并且对这个文件夹给他这个组设上一个写权限，这样的话是不是这个组的人是能写的。因为默认情况下，大家看这个文件夹是不是只有root能写，别写进去啊啊，所以我们可以这么干，就是我先新建个组group。啊，新建个组，比方说这个组呢，叫it管理部门。啊it组，然后呢，把咱们马哥和账号呢加进去啊加的时候呢，我们可以用group。杠A往往里加。Group members，杠D，然后再加上马哥，这样的话，这个马哥和王都进去了，当然我们确认一下，我们确认呢，杠L这个确认it组里面有两个用户了。

啊，当然光这样做完还不够，我们需要把这个文件夹的所属组给它改了，并且改这个文件夹所属组权限。G加W大家看了吗？这是不是就是距离个文件夹设了一个输入组织it，并且给他了一个写权限，这样做完以后，现在王和马哥是不是都可以进到这个目录里写东西了，对吧？哎，比方说我们进到这个in这个文件夹里面，哎，我们去建一个王的文件。呀，怎么回事啊？为什么不行啊？咋回事？这个问题怎么回事啊？哎，对了，需要重新登录，忘了吗？你看马哥不在这个组里。

刚才说的问题再次出现了，注销一下啊，必须重新登录才能获取新的组成员关系呢。是不是啊，那你看这个问题第二次再出现了啊，然后我们进来，进来以后马哥一进一个，你看能见了吧，当然现在能见了，那么对于王来讲，也进来王，呃，对，然后也建一个王一的文件，哎，各自都能建，但是各自都能建，问题来了。王，能不能改马哥的文件呀？能不能改码的文件。能改吗？看权限能改吗？

你看这个文件所有者是马哥，收入组也是马哥，Other没有权限，没有写权限，所以王是不是属于other？常水阿尔，对这个文件是不是就写进去对不对，那么我们既然在一个小组里，我想改马哥的文件，马哥改成改我的文件，那我们说了，那怎么办呢？那是不是就是把这个文件夹里面的文件的输出组给它改了，给它改成。It组。改了吧，改成ID组，既然改成ID组了，那王和马克不都在组里吗？那这些文件是不是彼此之间都能改了？哎，所以那不就可以改了吗？啊，那我在这再进来。然后再执行一次了吧，进来了。改了啊，但是现在又有产生新问题了，而王又建了个新文件，那这个新文件是不是还是所有者是网搜组还是网，那是不是这个马哥又改不了新文件，就是每届的新文件，难不成管理员都得跑到那去执行一下这个改权限吗？这不起步很痛苦吗？难不成每次人家建个新文件，你跑到这来加一下，这是不是太麻烦了？诶，我们说过了，说可以把上级目录的。

所属所有者这个地方已经是it了，把它改了加一个权限叫什么呢？G加S，看现在是不是多了一个S权限啊，多了S权限以后，那就意味着将来新建文件啊，我说是新建文件，那现在你看王再建个王三文件，大家看没有，你看这个王三文件就变成了搜出组是谁？It，为什么是it？因为它的上级目录是it，上面目录的所属组是it，并且设置了SJD权限，它就继承了上级目录的所属组。

当然它只影响新建文件，你看老的那个王二文件是吧，那个。但是以后是不是就好好说了，以后咱们就建文件，它自动就属于网这个I组了，我们就不用改了，这不省事了吗？对不对，这样的话，我们一个小组里面是不是内部互相改文件就轻松了。对吧，这就是协作，用这种方式来实现全线的这个可以共同协作这个工作。这就是SG。好了，那么到此呢，我已经把四个应用场景，三个特殊权限说了。Suid，一个应用场景。SJD2种应用场景，一个是针对目录，一是针对文件，文件用处不大，一般很少用，就这个目录，这个还有意义，还有一个呢，叫sticky sticky way呢是设置在other的执行位上，表现为T，那么一旦做上以后呢，就这个目录里的文件，要想删就是只能自己删自己的，别人不让删啊，当然root例外啊，Root不控制。

啊，你像我们系统中确实有一个目录，就是这么来设的，哪个目录呢？这个目录你看这个目录上面它就有T权限。为什么t temp temp是不是临时文件夹？临时文件夹是不是张三李四，谁的文件可能都会往里建一建，你看他这个权限不是设的是七七嘛，所以谁都往里扔，那谁都往里扔是不是就有可能产生干扰，比方我把你文件删了，你把我文件删了，所以为了避免这种情况的发生，你看就加了个T，理解了吧，哎，这就是特殊权限。记住了吗？啊，记不住也没关系啊，听懂了吧？嗯。

不说话的同学就是听懂了是吧？啊，我就姑且认为听懂了啊。大家觉得内容多不多，有点乱，有点乱，脑脑子里头现在一锅粥了啊，实际上这里面我都有啊，我这笔记里面都把你们都给整理好了啊，这里面都有详细的用法啊，这都有说明。啊，都有桌面啊，这些笔记都给你写好了，下来你就看就行了啊。嗯，你们还能复制粘贴呢。不是不让复制粘贴吗？好，那这是刚才给大家讲的啊，那我们讲到这儿呢，目前来讲这些权限都是针对普通用户来设置的啊。

啥意思啊啊，这个连连你你在表达什么情绪呢？这个前面是前面还有一个这个是啊啊你们这是对诗呢是吧？啊对诗呢。河北对你你们这个你们这个这个这个是这个，还有光有上一句，怎么感觉没有下一句呢，横批呢。

这个思想的下列自己去听，去捋顺了它啊，反正是这个内容先听懂就行啊，把这个知识先听明白我在讲什么，那剩下的就是你们把它不断的去练习重复熟悉。关于权限这块呢，咱们主要的内容就差不多了，不过呢，目前来讲我发现了一个问题，就是权限针对root是控制的。Root当然就也不应该控制你，Root本身就是控制别人的，当然就不应该受限，但是不受限也会带来一个恶果，就是它容易胡作非为，哎，在工作中，在我们生活中也一样。生活中，那难道统治者就一点不约束？难道他就想干嘛干嘛吗？是吧，他真要干什么？老百姓要是不高兴了，是不是也可以推翻他呀？所以他也不能胡作非为呀，也得有所约束吧，至少表面上应该有所约束，是吧？所以那对root来讲呢，也希望应该略微有些场景下约束一下。

至少约束他。不能让他。犯第一错误啊，比方说删根这种行为，是不是至少说不让他删除一些什么重要的文件。那么这个能不能做到呢，可以。哎，这宇说了，天子犯法，与庶民同乐同乐是吧？啊，那天子都不存在犯法的事，天子哪有犯法的事，他就是法是吧？当然，那虽然说他可能我可以有很大权限，但是肯定他会做一些事的时候，至少身边有一些大臣会约束他，或或者说去跟他提意见，呃，提醒他对吧？当然他可以听，也可以不听。

那咱们在设置权限的时候，也有一种防止凝固操作的手段，尤其在系统中有一些重要文件，你特别。重视，你特别担心这个文件被你不小心，或者被别的域名工程师不小心权限太大给删了，你就可以加一些约束性的属性。那这个加上属性以后，这个文件就不能删，不能改，不能去做一些改名之类的操作了，那这个操作我们可以通过这个工具来实现，叫PR。C乘DDR，它就是来约束root账号的啊，比方说就以F1文件为例，这个F1文件实际上root是不受限的，你想删发就什么都删了，那现在我想建一个文件，比方说这个文件太重要了，这个文件放了一些什么密码信息，用户信息，我们现在希望这个文件保护好，即使root也不能直接删，那就可以用这个文件叫at drr，可以加一个I的这样的一个属性，在加之前你也可以用ls at DR来看它上面这些特殊属性是否具有。

大家看它上面是全是横线，就没有权限，就是没有这个特殊属性，那我们现在用这个命令来加，加了以后大家看有什么变化啊。是不是多了个I啊，当然光I加了，那么对于这个文件来讲。从。从他的LS的执行结果来讲，好像没什么新的这个信息体现出来，看不出来，所以你要看的话，只能用这个命令来看，这个命令能看到有一个I出来了，那么I出来以后带来的结果就是这个文件不能随便。

改了不能删了啊，比方说我把这个文件删了，删不动了，改呢改不了了。移移走，或者改个名。做不了了，可以看，只读了就相当于。理解了吧，那这样的话，这个文件是不是就安全了。啊，当然这个目录下，现在这个文件很安全，我再建一个别的文件，这个文件上面它没有这个属性。没有这个属性，所以这个文件呢，我们可以随删，那这时候我们就会发现一个问题，比方说我想把对的目录删掉的时候。

发现它就会出现。操作不允许的提示，那是不是刚才那个pass WD文件不让我们删。但是除了这个文件，其他文件是不是都可以删了？啊，所以如果说有一个目录里面，哎，当然这时候有一个这样的问题啊，如果这个目录里面假设有一个文件夹，叫第一第这个目录，然后这个目录里面有一个文件带有这个属性啊，比方说我们就随便再拷个文件过来，我给它加上CHDR。这个加呢，加I的话呢，就保证这个文件是不能改，不能删，只能读，那么我对这个文件加了这样的一个属性，但是上级文件夹我没加，那请问这个文件夹能删了吗？这个文夹能不能删了。发现了吗？因为里面有一个文件有这种属性，所以导致文件夹也删不了了。

所以以前有的同学上班以后啊，发现有个文件夹想删死或删不了，他就抓着挠腮，搞不清咋回事，那我都root怎么还删不了文件呢？那实际上就是因为上面有特殊属性。当然这个特殊属性呢，要想去掉的话也行，刚才我们是怎么加的呀，啊加A，那所以我们想到了，那要想去掉的话，那就是减A。就把它去了，去了以后你再看就没了啊，当然没了，那这个文件夹是不是也是可以删了，理解了吧，那这就是特殊的A这个属性。以前有同学就是他删一个文件夹删不了。折腾了半天，后来才想起来，他一年前对这个文件夹上面的某个文件设置了一个特殊属性。

忘了，时间太长了，但忘了。是吧，所以这个也正常啊。好，那接下来刚才这个文件不能改，彻底不能改，好像设置有点严格，那么我们还可以另外一种方式，就是我设置一个文件，它能改，但是这个改仅限于增加，仅限于增加，就是你不能把旧的内容去了，你只能在后面追加啊。比方说我考一个文件过来，叫test，这个文件呢，我给它加一个这样的选项，叫加AA呢，实际上大家应该猜到它是什么意思，A是A叫追加的意思，我这样做的话，那就意味着这个文件只能追加，不能删。不能改，我说的不能改就不能移，改名移走，比方说移到别的目录下，不能做，看可以看，可以追加，也可以追加，大家看追加成。

但是你要清空它就不行了。这样的话是不是就是我能在这个文件的后面加东西可以，但是不能破坏原来的旧的问题。理解了吧，这个意思啊，这就是这个at t这个命令的作用，所以这个命令呢，我觉得可以适当的做一下约束吧，避免你自己误操作啊，当然你就想把它删了，那那你把它去掉不就行了，减A。这是不是就去掉了，去掉以后呢，这时候这个文件呢，你就想删，那就可以删了。啊，这就是T点啊，这个命令呢，虽然简单，但是确实还是有一定的安全保护作用。

啊。这是咱们给大家讲的这个工具。好，那么最后呢，我们这章里面再来给大家说一说访问控制列表。这个防护列表英文单词，简称AC。AC全称啊，叫access control list。咱们班里面有没有搞网络工程师的呀？网不是网管，这个网络工程师，网络工程师和网管不是一个级别的啊，比网管要高一点点啊，当然网网络工程现在也待遇不太好了啊。这个网络那是专门做网络设备的维护管理的，比方说路由器啊，交换机啊，各种设备。在这些设备里面，思科华为他们里面都有一个技术叫AC啊C涛总算是吧，涛总，涛总你你这个待遇多少钱啊，你现在做网网络工程师这个待遇怎么样啊，你干了多久了吧。

干了多久了？有有有有一年半年两年。啊，这个往届班里头有确实不少。是做网络工程师的，而且也是资深网络工程师。但是确实网络这行不像以前那么不好干了，工资上不去，工资比较低了。啊，那acr的作用就是啊，对工资差不多吧，就是网管乘二那个收入，比方说网管是这个8000。哎，这个他就是16000，而且这个基本上多少年也就16000，干个五年16000，干个十年16000，反正工资上不去，不像运维，咱们这个课程为什么好多网络工程师跑过来学运维，工资涨得快呀，第一年不高，1万块钱。

第二年恨不得就2万了，第第三年好像还是2万，因为第三年你努力不努力就有问题了，你要是不努力，还是眼前这点知识，那就上不去了，如果你再学点别的，比方说学点Python啊，懂点这个开发的技术啊，那你可能30K40K，那就打不过你了。如果你还是眼前这点技术还是不行的啊啊，甚至咱们这行工资，昨天跟咱们这边老师跟他聊天，他原来是做PP开发的，PP大家都知道吧，世界上最好的语言呀，PP他这个干了好像是干了几年了，干了六七年了吧，老老司机了，六七年什么概念，你要是做667年的，可能公司就不止这点钱了，三四三四万一个月至少吧。

啊，结果他的工资才多少钱，一万一万五一万六，就这样PP啊，所以这个选错方选错方向，有时候这个选择的重要性比你的努力的重要性还要。更大是吧，更大，所以大家选对方向啊，所以你们坐在这，我觉得至少起步已经对了，方向对了，方向对了，但是你得努力啊，是吧，方向对了，你们实际上大部分同学不错啊，条件都不错，这么年轻，这么小。啊，你不知道现在我带的那个46期吗？四十六七网络班，网络班他们年龄都普遍偏大，三四十岁的，40多岁的，你像那个时候在学运维，是不是这个年龄不是已经不占多不占优势了，所以他们前期付出了很多，但是确实付出和得到啊不一致。

好了，那我们接着继续看SL，那我们说了半天，就是希望大家珍视这个机会啊，虽然你们方向对了，但是并不代表着一定成功，还得靠自己的努力。Acr的技术就是实现权限控制的，它的权限控制比咱们前面讲的。文件的读写执行权限要更加重要啊，就是说更加灵活，更加灵活。那这个灵活性主要体现在哪呢？大家看我这。这样的一个文件，这个文件我发现按照传统的Linux unix权限的话，它只能设置三种人的不同权限。

因为这个地方只有两个属性。把访问文件的用户是不是就分成了三类人，所有者一类，所属组一类啊一类是不是就三类？这三类人你觉得在生产中？难道访问这个文件的人只能有三类人吗？能不能有第四类人，第五类人，希望他们设置的权限是不一样的，对不对？比方说现在我就希望针对王单独设一个权限，我希望王不能访问这个文件。不能访问，大家看现在能做到吗？我怎么让王账号不能访问判断例子什么都不能访问啊，读写执行什么都不能干，怎么做？有人说那简单呀，我把这个other这个地方变成。零就行了吗？但是你要这么干意味着什么？你设设的保吗？你设的时边马哥也给影响，你设的是所有人的，你设的除了root组root，其他人都影响，影响人太多了，我只是限限制网不能访问，没说不让网马格访问。

是不是他们就做不到了？我们发现传统的权限是不是太简单了？只能针对三种人设置权限，那现在多出一个第四类人，那将来可能还要多出个第五类人，没这功能啊。它属性就俩，根据这俩属性就分成三类人。那么如何来解决问题？ACLACL叫访问控列表，它可以任意的定义你希望设置的用户的权限，非常的哎方便，功能强大。那下面咱们就来看看怎么去实现啊，当然了，因为在unix Linux里面设置复杂权限场景不是特别多。

所以很多人，甚至一些老运维工程师，干了五六年，好像也从来没有用过Excel。也是可能的啊，这和你的业务有关，有些企业里面它可能会涉及到权限分配比较复杂，他就要用到，如果说你的业务比较简单，或者是和权限这块关系不大的话，可能确实也用不到。所以咱们学技术的话呢，也不能说某个技术学完了一定用上，哎，咱们学习的时候目前就别挑了，你都给他知道工作时用了，你至少说我这个东西会，别到时候书到用时方恨少，你是用的时候你不会，是不是就不合适了，不用就不用了吧，但是用的时候你应该会啊。昨天大家看那个聊天记录是吧，你们看了吗？都看了为什么不给我点个赞呢？啊，我说的简单，就是那个同学啊，那个同学他现在找工作呢，他手上好几个offer了，嗯，现在他就是面试的时候也总结出经验来了，总结出经验教训来了，就是呃，人家面试里面会问到的一些问题。

做了一些总结，我就问了他，我也问问他这个这两天面试有些都是大厂，问的是哪些问题，发现问的问题也并不是说想象有多么的，这个偏实际上还多是基础的东西，很多都是基础，大家还得把基础课打扎实。啊，谢谢啊郝总，哎，这个献花花的话你可以，呃，不用给我献了，可以给咱们班里的其他人献一献，你现在一直没给别人献花，我好像注意是吧。好，那接着我们继续啊，Acr的控制呢，是什么呢？是这样的，它可以针对你希望设置的某些人或者某些组来设置。

权限，它不影响你的原来的这些权限控制的基础之上，尤其不影响所有者和other尔权限的基础之上，直接可以任意的指定用户权限，那当然由于这个权限呢，呃，我们只需要掌握基本用法，这个命令叫set f SL。这个呢叫get Excel一个是设置，一个是查看，那查看的话呢，咱们可以来这么来查一下，叫get f acel f呢是文件的意思，就是查看文件上面的acl权限啊，我们看一下这个文限，大家看这是默认的权限控制。这个权限控制目前来讲显示的实际上就是我们传统的。所有者、所属组的权限，大家看这写的，所有者是root，所属组是root，所有者啥权限，所属组啥权限？

Other刷权限，这是不是还是原来的权限是吧，因为我们还没有加进来权限啊，那现在我们要加怎么加呢？这么加叫set f facl这么来加。这个命令加的时候呢，杠M表示修改修改啊，这个权限呢，你可以在这来看一下。设置文件的acl权限设的时候呢，这里面有一一大堆属性啊，那这个M呢，表示的就是修改acl啊，那我们就可以直接acl。然后用set f a CL，杠M这修改，修改的时候呢，后面我们要跟上它的权限控制啊，那么改的时候后面要加一个Excel，那怎么加呢？这么加主要是针对谁呢？针对用户，那就写U，针对左你就写G用户，我现在是用户，比方说我要想控制王不能访问这个文件，那我就写冒号王。

那这样的话，就是我对王账号设置一个权限，啥权限呢，啥权限没有。那就是啥呢，零或者横线也行。在这就我这样设完，那么网就没有权限了啊，没有权限了，那我们来看看是不是真的呀，这咋回事啊？哎，怎么权限操作不允许，这这命令好像没错呀，咋回事。这咋回事？我这命令没错，应该是。咋回事？你们说说啥原因？这这过去也没几分钟，还没到一年呢，你就忘了我们刚才设的那个特殊的属性，你看看你这一年以后，你不是早忘的干干净净了，你这过了十分钟都用不了，你看你就忘了。

是不是你一看这个操作，你一个敏感的想到，可能上面是不是有特殊属性，是不是去掉它吧。啊，去掉它再加一下你看就成了。这是不是大家得多练多敲，然后你犯的错越多，你经验越丰富是吧，掉的坑越深？你爬出来的时候，你就充满了这个经验。那现在就设完了，设完以后它的文件上面发现有一个特殊的变化。发现了吗？是不是这个地方多了一个加号，记住了，有加号。

代表着它上面有acl权限。那我怎么知道他的Excel权限，是不是我刚才设置那个Excel权限呢？Get一下大家看原来这些东西都在，是不是又增加了一个新的一行。王账号什么权限都没有，那是不是现在王账号，那按这个文件权限来讲呢，王是不是应该属于other呀。传统的权限不是所有者，不是所属组，应该属于other啊，当然王账号不在，你看他不在入组里面，他属于other。Other的话，传统的方法应该是。但是现在我加了VCR以后，那我们看看他得到权限是读啊还是啥权限没有啊，你觉得啥权限啊。能读吗？不能是不是在全起作用。

看到没有，写也写不了。是不是读也读不了？因为有al权限。当然，大家可能也发现了，这个AR权限一定是优先于什么other权限。是不是？因为因为你要不有些二段权限，二段权限那是不是就生效，生效什么叫王，王是不是就具有读权限。当然，那现在我只是针对王设的权限，针对马哥设权限了吗？没有，所以马哥权限，如果他去访问最终得到权限什么啊？马哥要去访问的话，啥权限读啊，因为它属于other，你又没有设acr权限，那么是不是还是按照传统的权限来判断就行了？你属于other other就是啊，当然他应该是没有写权限的啊，当然现在我希望马哥不仅能读，而且能写，那怎么办啊，哎，我们可以设置它的。

这个选项。他说，那我们。把它加到组里行不行？但这个组里面有写权限吗？没有，那我给他改一下某的一加W。那组有写权限了，表面上，然后我们再把马哥加到这个组里。啊，加组的话呢，咱们用u Mo来加吧，啊哥加到这个这个组里，在这个组里了吧，好，那在这个组里以后，那么马哥去访问这个文件的话。理论上是不是应该有写权限了，对吧。但是他要获取组成员关系，是不是还得退出来呀？哎，马哥啊，那我先看一下这个文件没问题，那我里写东西行不行？哎，好奇怪啊。

我没看错吧？咋回事啊？发现莫名其妙的问题了吗？发现问题了吗？啥问题啊，明明马克是不是在主流？但是写不进去，明明我们看到写了是吧。但是没有。为什么？那就是因为一旦添加了acr权限。用get fall来看好，大家看在这显示的好奇怪呀。

显示的东西跟我们这儿看到的东西对不上号了，这明明是RW，怎么这写的是。反而这是多了一个什么。哎，记住了，记住了，就是一旦设了acl以后，我们在这看到的权限已经不是所属组的权限了，不是所属的权限，而是一个叫must的权限。那我们刚才加权限的时候，我们是怎么加的呢？我们是这么加的。针对这个组这么加，但是一旦有了AC以后，这个命令已经不是对组加权限，而是对must加的权限，那如果组要加权限的话呢？呃，我们需要将杠M。就是group冒号，冒号RW。

GF。好，我们看，我们得需要这么设。这样设才行，你这个命令就变了，你就不能用传统的这个命令来加全限了，因为这个命令加的话也不是改组，而是改must。那么这样做完以后呢，我们现在再来看一下马哥。马哥，在这个组里，刚才加是不可以的，再加那你看加进去了。那这个地方呢，大家可能会觉得有点困惑啊，什么困惑呢？这个东西是什么意思？那为什么这个命令？以前我们设置所属组就这个命令就行了，为什么现在多了一个mask呢？诶，记住了mask的设置权限。它的作用是影响，记住了啊，它是影响这个这个中产阶级，中产阶级，中产阶级。

啊，我们都知道，正常的一个社会，应该中产阶级人数最多的。对吧，富豪也少，是特别穷的人也少，就正好中间的人是最多的。那我们国家颁布的政策法律也主要是针对中产阶级来颁发，因为这些人最多。那mask呢？他就是干这个活的，影响中产阶级，啥叫中产阶级呢？就是不是所有者，也不是other中间这帮人，听了吧，中间这帮人。影响这些人，那影响这些人干嘛呢？大家都知道国家的法律，比方说制定税收，税收政策，税收政策。高级富豪。影响人家吗？那个税收你能收到真正有钱的人的税吗？收也能收到，也不是说收不到，但是估计是好多都不一定收到，比方说人家可以通过也许是合法的，或者是某些灰色的手段来避税，对吧？那当然你要工资太低了，是不是也涉及不到你啊？你连工资都一万一万块钱都不到，事业是不是对你来讲可以不影响？

哎，现在税收不了多少钱底薪才算收收收收税，多少钱收税呀，5000是吧？啊，那如果你的工资低于5000，那对你就没影响了呗，不收你的税呀。所以影响的就是中产阶级，所以我们现在看到的acr权限就这个ma，影响就是中间这帮人，既不是所有者，也不是other，就影响中间那帮人。那中间这帮人怎么影响呢？这个地方设置就是。所有中产权限的最高权限，这就叫ma。

最高权限。也就是说，我们设了个mask这个权限以后，你们这些人的权限不能超过他，只能比他低或者相同。设了一个高压线。不能抽。让。这就是mask的作用。大家看到过那个马路上是不是有那个汽车的限高杆，那个限高杆不就防止那个大车过的吗？小车过没事是吧，飞机也控制不住飞过去了，就是那个中间那个大车过不去。那这个mask就干这活了，Mask一旦射完以后，中间这帮人最高权限只能是到这儿不能抽。比方说那现在我们就把它改一改这个ma，要想改他一改，改这些权限自然就怎么样了，你想把限高杆也往下一拉，是不是所有比它高的都过不去？

所以我们如果把这个地方变成R。大家看这个地方的WW还有吗？就应该没了，因为我们说了它是线高杆嘛，所以那怎么改呢？我们可以用这个命令改，叫set f a c-m ma，直接变成读好，这样的话我就改了ma了，改了ma以后get facr，大家再仔细观察。发现有变化吗？什么变化呢？这个地方是不是已经是R了，我们发现组怎么还是RW啊，但是你别忘了后面又补了一个东西是吧。这个单词什么意思？四六级都过去的同学可以答一下了啊。这个是四级英语啊，四级英语就可以。有效，也就是说你表面上是权限，这个有效权限只是这个。

为什么有效全是这个，因为我这线包干你不能抽。这就是最终得到权限读，那理论上马哥现在就只读了，那我们来试试看看是不是这样，马哥不就在这个里面吗？刚才不是可以写来的吗？现在再写一次，马哥二再写一次，写明去看到没有写明，哎，为什么限高杆线路了。你这些人权限只能比他相同或者是小，不能超。那那我把这个线钩钩给它抬高一点不就行了吗？那抬高那怎么抬呢？我再给它补上，补上那么抬高了，那么人家原来是不是就有这个写权线。所以现在就可以了，当然网络原来就没这个权限，那抬高了，你本身就觉得就没那么多，那你还是没有。它只是一个限制的作用啊，当然那现在如果我们人为的把王账号给他改了，比方说杠M完给它设成无写执形，设完以后s get fac，再看大家发现没有，王怎么变成这个了。

他怎么变成这个这个这个怎么读解这个都有啊。大家注意到了吗？它自动的就给你调了这个限高杆了。因为你非要把王设成这个权限，那我不改视频号杆也不行吗？明意思了吧，所以他就这字给你调了。当然，如果我现在接下来再把它调一下。杠，MU a mask，比方说我写个X。再看是不是就通通的。最多不能超过X选项，你看这个地方光有读写，因为我这只限制X，所以读写就没了，看到没有，然后你这边读写没了，这就就行了，是不是限制住了。

下一个。理解了吧？啊，当然这里面还有一个小问题啊，就是王账号它现在的权限是执行，这这这个执行对于我们这个文件来讲没什么实际啊，所以我们这给他加上这个改成这个吧，改这个，改这个以后呢，王账号它的权限实际权限是这个，主账号权限是这个啊，主账号权限这个啊，那现在我把王账号的权限给他改成改一下，我给他改成什么呢？我把王账号的权限给他改成子读。啊，这应该是U冒号，嗯，改成只读，改成只读以后呢，我们再把王账号加到。

弱的阻力，呃叫CWD-A，然后往。加到这个这个入组里，现在王战号也在这个组里了。那现在按照我们现在的目前的结果，大家觉得王账号去访问这个文件应该得到的权限是什么权限？你判断一下。嗯。嗯。啥权限？是只读啊还是RW，因为王账号已经在那个哪了，王已经在柱子组里了。那你说他得的权限是啥？好，那现在咱们就来试一试，然后进到这里面看这个文件没问题，往里写东西写进去。

那现在是不是又得出一个结论来了？啥？结论就是如果有一个用户他设置了acl，同时他对组也设了al，他的用户权限要优先于主的权限。理解了吗？优先于，所以现在我们就可以得出一个结论。这个结论。Acr设立以后，它的权限生效的次序，这就是他的最终生效次序。就是先看文件是不是所有者，如果是所有者，所有者全日生效，如果不是所有者，就看你是不是用户自定义用户，如果是自己用户自定义用户生效，如果不是，就看组啊，如果还不是，那就other权限就生效，明白了吗？这就是他们设置权限的生效次序。

啊好，那么到此呢，我们acl这块呢，你掌握这些，当然我们不仅会加，你也得会去删啊，删除acl，删除acel，怎么删呢？那么我们如果删除一个acl，那就用set f FA CL-X，比方说我们把王账号的这个ID这个这个删了，那你就可以这样写U加王，光写他就够了，因为删嘛，删的话你不需要指定他什么权限，那这样的话呢，这个王账号的acr权限就可以杀了。那么呃，但是如果我想把这个acr权限的上面的属性全给它清理了，一个都不留，那么还有一个呢，是AC-BB是清理上面的所有acl权限就全干净了，干了以后呢，你会发现这个地方加号就没了，明白吗？一个acl权都没了。就是清理，所以你把这些记住就可以了啊，Acr权限呢，这个我们工作中还是那句话，用的不是特别多啊，那这边还有一个set命令，它是把原来的SL权限全部覆盖，还有一个备份SL，备份SL的话可以用这种方法就get f s-R，它可以把这个文件夹里面的文件呢，全给它生成放在一个文件里面，然后呢，通过这个命令可以清理它上面的一小权限，通过它呢那个恢复。

就是相当于备份AC，这个备份acl的话呢，主要是因为我们有的说用CP命令，MV命令能够保留acl，但是如果用别的工具就保留不住，保留不住就可能会导致属性发生丢失，所以我们可以用这种方式呢来备份acl，当然备份L了解一下就行了，这个我们用的不是特别多，至少我们大家现在知道怎么去设置acel，怎么去删除ACE，这样就差不多。够我们一般用了啊，掌握这些基本就够了，那么acr的这个设置呢？嗯，还有一个好处就是它不像我们传统的文件权限，一旦设完了，将来不好改，比方说我们这样写。

我这样设完以后，我们把这些文件呢，给它建起来。我们如果用传统的方式，可以这么来设权限，比方说我们设置一个777第一，你这样设的话，它就会递规的把第一里面的所有子目录文件全给它设完。而且生完以后，将来想还原的话就没法还原了，因为你也不知道原来什么样子，而我们有了acr以后就省事了，Acl的话呢，我们可以这样做杠R，假如说我们想针对王设一个读写图形。这样就可以了。这样设完了，设完以后呢，我们将来想删除这个acl的话，想删除acl的话也非常方便。这一个M。

怎么删呢？大家可以看一下，你看这里面的权限确实有了FA c de1，你看上面是不是有acl权限，但是我要删的话也简单，删的话呢，就是这个小B，当然递归杠B第一，那这时候把上面的AC2权限全给删了。所以它不像我们以前讲的c Mo的命令啊，一旦设完了，你改回去，除非你知道原来什么样。而acl不需要知道原来什么样，也可以直接把它清了，所以这样的话呢，我们用这个命令来设置权限的话，相对来讲加也方便，山也方便。它比传统权限既灵活啊，又这个有些功能是传统权限做不到的，当然还是一句话啊，就有些企业里面被应用到这么复杂，所以我们学到这差不多够用了啊。好了，关于文件权限这章我们就给大家讲到这儿，上午呢我们就休息，然后下午我们开始学习新的一章啊。

下课吧。