引言

在linux 系统中，最常见的一个就是文件权限了，什么777,755，等等，如果没有权限，就无法操作相关的文件，那么，linux系统中的权限控制是怎么样的呢？为什么有时候设置了777，还是出现没有权限的情况呢？

自主访问控制（DAC: Discretionary Access Control）

linux 777权限

在讲DAC之前，先讲一讲关于linux中文件的权限情况，通过ls -l命令可以查看到文件的详细情况，以及权限：

tioncico@tioncico-PC:~$ ls -l
总用量 1344
drwxr-xr-x  3 tioncico tioncico    4096 1月   6 10:06 CLionProjects
drwxr-xr-x  3 tioncico tioncico    4096 1月   3 23:22 databases-incognito
drwxr-xr-x  5 tioncico tioncico    4096 6月  11 20:55 Desktop
drwxr-xr-x  4 tioncico tioncico    4096 5月  25 01:58 Documents
drwxr-xr-x  4 tioncico tioncico    4096 5月  18 23:28 Downloads
drwxr-xr-x  3 tioncico tioncico    4096 2月   4 10:11 Music
drwx------  6 mysql    mysql       4096 6月  14 18:42 mysql
drwxr-xr-x  9 tioncico tioncico    4096 6月  11 19:55 PhpstormProjects
drwxr-xr-x  2 tioncico tioncico    4096 12月 23 17:32 Pictures
drwxr-xr-x  6 tioncico tioncico    4096 3月  19 00:25 redis-3.2.13
drwxr-xr-x 13 tioncico tioncico    4096 6月  15 11:21 swoole-src-4.3.5
-rw-r--r--  1 tioncico tioncico 1312699 6月  15 11:11 v4.3.5.tar.gz
drwxr-xr-x  2 tioncico tioncico    4096 12月 23 17:42 Videos
drwxr-xr-x  9 tioncico tioncico    4096 6月  15 17:20 work
drwxr-xr-x  2 tioncico tioncico    4096 12月 23 17:32 模板

在第一列中，d代表该文件是一个目录，其他9个字符，分别代表了，如果字符为-则代表没有权限：

1：所属用户是否拥有读权限，所属用户是否拥有写权限，所属用户是否拥有执行权限

2：所属用户组是否拥有读权限，所属用户组是否拥有写权限，所属用户组是否拥有执行权限

3：其他用户是否拥有读权限，其他用户是否拥有写权限，其他用户是否拥有执行权限

只要拥有权限，就代表着能够操作该文件

例如：

当前用户想进入mysql用户，由于tioncico用户没有权限，则进入失败：

tioncico@tioncico-PC:~$ w
 22:01:58 up 1 day,  3:19,  1 user,  load average: 0.53, 0.70, 0.77
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
tioncico tty1     :0               五18   27:19m 19:19  19.27s /usr/bin/startdde
tioncico@tioncico-PC:~$ cd mysql/
bash: cd: mysql/: 权限不够

但是，超级管理员，拥有者所有权限，可以直接进入：

理论上，超级管理员拥有者最高权限，不管该文件权限如何，超级管理员都是可以操作的

root@tioncico-PC:/home/tioncico# cd mysql/
root@tioncico-PC:/home/tioncico/mysql# cd ../
root@tioncico-PC:/home/tioncico# chmod -R 000 mysql/
root@tioncico-PC:/home/tioncico# cd mysql/
root@tioncico-PC:/home/tioncico/mysql# cd ../
root@tioncico-PC:/home/tioncico# chmod -R 700 mysql/

DAC

DAC  权限控制系统针对的是某个用户

系统将识别用户，根据该文件存储的权限情况（777），来决定该用户能不能操作这个文件，linux在大多数情况，都是使用的DAC权限控制

DAC权限控制的缺点有：

1：超级管理员拥有者最高权限，不管有没有权限，超级管理员都可以访问

2：该权限控制系统针对的是用户，无法将一组文件设置一个统一的权限开放给一组用户，DAC 只有文件拥有者，文件所属组，以及其他用户这3种区分

强制访问控制（MAC: Mandatory Access Control）

MAC是为了弥补DAC权限控制过于分散的问题而诞生的。在MAC的设计中，每一个对象都都有一些权限标识，每个用户同样也会有一些权限标识，而用户能否对该对象进行操作取决于双方的权限标识的关系，这个限制判断通常是由系统硬性限制的。比如在影视作品中我们经常能看到特工在查询机密文件时，屏幕提示需要“无法访问，需要一级安全许可”，这个例子中，文件上就有“一级安全许可”的权限标识，而用户并不具有。