当前位置：首页 > article >正文

浅谈Linux 权限、压缩、进程与服务

article 2026/5/9 14:27:19

概述

放假回家，对Linux系统的一些知识进行重新的整理，做到温故而知新，对用户权限管理、文件赋权、压缩文件、进程与服务的知识进行了一次梳理和总结。

权限管理

Linux最基础的权限是用户和文件，先了解基础的用户权限和文件权限。

用户权限

在大多数的Linux发行版中，我们都建议初学者创建一个有限权利的账户，我的stark这个用户就是有限权限的账户。

有些命令对系统的稳定性和安全性造成威胁，具有有限的权限意味着我们不能运行一些可怕的命令，在Linux中，理论上来说，我们可以创建无数个用户，但是这些用户是被划分到不同的群组里面。

在安装完linux系统后，加入我们创建的个人用户叫做stark，这时系统中默认只有两个用户root和stark，我们只在必要的时候才会切换为root身份，其他时候，都是在用有限权限的用户在运行，这个策略的保护大大地提高了Linux系统的安全性，有效防止误操作或者是病毒的攻击。

1、sudo 暂时成为root，终端会提示你输入密码，这个密码是你个人用户的密码，即为stark的账户密码。

[stark@localhost ~]$ sudo systemctl status nginx.service
[sudo] stark 的密码：

2、sudo su切换到root身份，使用exit命令退出root，回到stark账号上。
3、su,这个命令需要输入的是root的密码，这个是需要重点记忆的。

用户操作

1、添加账户名为 work 的用户,并设置密码

[root@localhost ~]# useradd work
[root@localhost ~]# passwd work
更改用户 work 的密码 。
新的密码：
重新输入新的密码：
passwd：所有的身份验证令牌已经成功更新。

2、删除用户

使用userdel删除用户，如果想删除home目录，使用-r命令

userdel work # 删除用户
userdel -r work # 删除用户和家目录

群组操作

1、创建名为work的群组

groupadd work

2、对群组添加用户

假如要将stark这个用户放到我刚创建的work这个群组里。

usermod -g work stark

可以将一个用户添加到多个群组，用-G参数,把用户stark同时添加到work、stark的群组中，备注：群组名之间要用逗号分隔，而且没有空格！

usermod -G work,stark stark

-i:对用户重命名 /home中的用户家目录名不改变，需要手动修改
-g:修改用户所在群组

需要注意的是，使用usermod时要小心，因为配合-g或-G参数时，它会把用户从原先的群组里剔除，加入到新的群组。

如果你不想离开原先去群组，又想加入新的群组，可以在-G的参数基础上加上-a参数。

usermod -aG work,stark stark

3、删除群组

删除名为work的群组

groupdel work

4、用groups命令可以获知一个用户属于哪个群组

[root@localhost home]# groups stark
stark : work

文件权限

1、文件权限

修改文件的所有者和群组,这里有个chown万能的命令，-R参数非常有用，R是recursive的缩写，表示递归，用来设置子目录和子文件。

chown -R stark:stark file.txt

2、文件访问权限

在Linux系统里，每个文件和目录都有一系列的权限属性，使用chmod命令修改文件的访问权限，chmod命令不需要是root用户才能运行,只要你是此文件的所有者，就可以用chmod来修改文件的访问权限。

chmod的绝对用法来分配权限，使用数字赋予文件访问权限chmod 640 file.txt，对所有者、所属组、其他用户，只要分别做加法就可以了，然后把三个和连起来。

权限	数字	说明
r	4	读
w	2	写
x	1	执行

chmod的相对用法是使用字面来赋予权限，+表示添加权限，-表示去除权限，=表示分配权限。

[stark@localhost ~]$ chmod u=rwx,g=r,o=- test.sh
[stark@localhost ~]$ ll | grep test.sh
-rwxr-----  1 stark work    35  1月  5 16:34 test.sh

权限	说明
u	所有者
g	群组
o	其他

防火墙

Linux防火墙是一个用于管理系统内部网络访问的组件，旨在防止未经授权的访问和恶意攻击，Centos7以后 iptables 更换为 firewalld。

1、查看防火墙状态命令

systemctl status firewalldfirewall-cmd --state

● firewalld.service - firewalld - dynamic firewall daemonLoaded: loaded (/usr/lib/systemd/system/firewalld.service; disabled; preset: enabled)Active: active (running) since Sun 2025-01-05 21:19:47 CST; 19min agoDocs: man:firewalld(1)Process: 268803 ExecReload=/bin/kill -HUP $MAINPID (code=exited, status=0/SUCCESS)Main PID: 267866 (firewalld)Tasks: 3 (limit: 22689)Memory: 37.6MCPU: 833msCGroup: /system.slice/firewalld.service└─267866 /usr/bin/python3 -s /usr/sbin/firewalld --nofork --nopid

2、设置开放和移除端口

防火墙上添加和移除端口操作，以80端口为例,添加/移除操作后，需要重启防火墙服务。

#添加80端口
firewall-cmd --zone=public --add-port=80/tcp --permanent
#移除80端口
firewall-cmd --zone=public --remove-port=80/tcp --permanent#重启防火墙
firewall-cmd --reload
systemctl reload firewalld.service

3、查看已经开放的端口

sudo firewall-cmd --list-ports
80/tcp 3306/tcp

重定向

重定向输出

Linux重定向的作用是把本来要显示在终端的命令结果，输送到别的地方，到文件中或者作为其他命令的输入。

>最简单的操作就是把操作的命令的输出结果重定向到文件中,使用这个符号要小心，如果此文件不存在，则新建一个文件，如果此文件已经存在，那就会把文件内容覆盖掉，而且是不会征求用户确认的。

>>是将重定向的内容写入到文件末尾，起到追加的作用，如果文件不存在，也会被创建。

有时候我们既不想把输出结果显示在终端上，也不想输出在文件中，Linux中有一个俗称黑洞文件 /dev/null

重定向错误输出

先介绍三种输出stdin,stdout,stderr:

1、从键盘向终端输入数据，这是标准输入，也就是stdin，对应的文件描述符是0。
2、终端接收键盘输入的命令，会产生两种输出，即标准输出stdout，对应的文件描述符是1，一种是标准错误输出，即stderr，对应的文件描述符是2。

2>&1将标准错误输出重定向与标准输出相同的地方。

定时任务

Linux中的定时任务由crontab命令来执行，用来读取和修改名为crontab的文件，crontab文件包含了你要定时执行的程序列表，也包含了执行的时刻。

crontab用于修改crontab文件，cron用于实际执行定时的程序。

crontab 的三个主要参数：

-l：显示crontab文件
-e：修改crontab文件
-r：删除crontab文件

命令格式：
minute hour dom month dow command

1、分钟,取值范围 (0-59)
2、小时,取值范围 (0-23)
3、日,取值范围 (1-31)
4、月份,取值范围 (1-31)
5、星期几,取值范围 (0-6，星期日是0)
6、要执行的命令

例句：

Crontab	意义
47 * * * * command	每个小时的47分都执行 command 命令
0 0 * * 1 command	每个星期1的凌晨都执行 command 命令
30 5 1-15 * * command	每个月的1-15日的5点30分都执行command命令
0 0 * * 1,3,4 command	每个月星期一、星期三、星期四的凌晨都执行command命令
0 /2 * * command	每2个小时的整点(0,2,4,6 等等)都执行command命令
/10 * * 1-5 command	每个星期一到星期五的每个10的倍数的分钟

压缩和解压

操作压缩和解压时，先了解两个概念，将多个文件变成一个总文件，叫打包，将一个大文件通过某些压缩算法变成一个小文件，叫压缩。

1、创建一个归档

把tartest文件夹中的文件，压缩成名为tartest.tar压缩包的命令如下。

c: create 表示创建
v: verbose 表示显示操作的细节
f: file 指定归档文件

[stark@localhost ~]$ sudo tar -cvf tartest.tar tartest/
[sudo] stark 的密码：
tartest/
tartest/erros.log
tartest/file.txt
tartest/nohup.out

2、显示归档里的内容

-tf显示归档里的内容，并不解开归档。

[stark@localhost ~]$ tar -tf tartest.tar
tartest/
tartest/erros.log
tartest/file.txt
tartest/nohup.out

3、追加文件到归档

把 result.txt 追加到文档到 tartest.tar 归档中

[stark@localhost ~]$ tar -rvf tartest.tar result.txt
result.txt

4、解压归档文件

tar -xvf tartest.tar

进程和服务

进程

简单来说，进程就是加载到内存中运行的程序，大多数程序运行时都只在内存中启动一个进程，有的软件在程序运行时却会创建不少进程，比如 Apache、Mysql等等。

1、列出所有参数的所有进程

ps -ef

2、列出指定用户运行的进程

ps -u www

3、通过Cpu和内存过滤进程

ps aux | less

默认的结果集是未排好序的，可以通过 --sort参数来排序,根据CPU使用率降序排列：ps -aux --sort -pcpu,根据内存使用率来降序排列:ps -aux --sort -pmem

将CPU和内存参数合并到一起，并通过管道显示前10个结果ps -aux --sort -pcpn,+pmem | head

4、以树形结构显示进程

pstree 命令有很丰富的参数，更多使用man pstree查看文档

[stark@localhost ~]$ pstree -p  | grep mysql|-mysqld_safe(164526)---mysqld(165067)-+-{mysqld}(165068)|                                      |-{mysqld}(165069)|                                      |-{mysqld}(165070)

5、关闭进程

5.1、Ctrl+C停止终端中正在运行的进程

Ctrl+C这个组合键只能作用于当前终端中正在运行的程序，而终端中的复制和粘帖需要用Ctrl+Shift+C和Ctrl+Shift+V来执行。

5.2、kill命令

可以同时用kill来结束好几个进程，只要用空格隔开他们的PID,可以用kill -9来立即强制结束进程。

sudo kill 254653 254656 254655

5.3、killall

killall命令同一个程序运行时可能启动多个进程，不同于kill命令，killall命令后接程序名。

服务

在Linux中有特殊的进程，这些进程不与任何终端关联，并且无论用户的身份如何，都在后台运行，这些进程的父进程是PID进程号为1的进程，PID为1的进程只在系统关闭时才会被销毁。

这些进程会在后台一直运行，并且等待我们给他们分配工作，在Unix/Liunx的世界中，我们将这类进程称之为守护进程，守护进程也被称为service，服务器软件大多数都是以守护进程形式运行的，守护进行的名字通常会在最后有一个d，例如systemd,httpd,smbd等等。

Linux操作系统的开机过程：BIOS启动->BootLoader启动->加载系统内核->内核进行初始化->启动初始化进程->初始化工作。

Systemd

Systemd 是 Linux 系统工具，用来启动守护进程，已成为大多数发行版的标准配置。历史上，Linux 的启动一直采用init进程，Systemd使用并行代替了init的串行。Systemd 并不是一个命令，而是一组命令，涉及到系统管理的方方面面。

1、Systemd管理系统

# 重启系统
$ sudo systemctl reboot# 关闭系统，切断电源
$ sudo systemctl poweroff# CPU停止工作
$ sudo systemctl halt# 暂停系统
$ sudo systemctl suspend# 让系统进入冬眠状态
$ sudo systemctl hibernate# 让系统进入交互式休眠状态
$ sudo systemctl hybrid-sleep# 启动进入救援状态（单用户状态）
$ sudo systemctl rescue

systemctl list-units命令可以查看当前系统的所有 Unit 。

# 列出正在运行的 Unit
$ systemctl list-units# 列出所有Unit，包括没有找到配置文件的或者启动失败的
$ systemctl list-units --all# 列出所有没有运行的 Unit
$ systemctl list-units --all --state=inactive# 列出所有加载失败的 Unit
$ systemctl list-units --failed# 列出所有正在运行的、类型为 service 的 Unit
$ systemctl list-units --type=service

2、Unit 的状态

systemctl status命令用于查看系统状态和单个 Unit 的状态。

# 显示系统状态
$ systemctl status# 显示单个 Unit 的状态
$ sysystemctl status bluetooth.service# 显示远程主机的某个 Unit 的状态
$ systemctl -H stark@172.16.163.141 status httpd.service

除了status命令，systemctl还提供了三个查询状态的简单方法，主要供脚本内部的判断语句使用，以mysql服务为例。

# 显示某个 Unit 是否正在运行
$ systemctl is-active mysql.service# 显示某个 Unit 是否处于启动失败状态
$ systemctl is-failed mysql.service# 显示某个 Unit 服务是否建立了启动链接
$ systemctl is-enabled mysql.service

3、Unit 管理

对于用户来说，最常用的是下面这些命令，用于启动和停止 Unit（主要是 service）。

# 立即启动一个服务
$ sudo systemctl start apache.service# 立即停止一个服务
$ sudo systemctl stop apache.service# 重启一个服务
$ sudo systemctl restart apache.service# 杀死一个服务的所有子进程
$ sudo systemctl kill apache.service# 重新加载一个服务的配置文件
$ sudo systemctl reload apache.service# 重载所有修改过的配置文件
$ sudo systemctl daemon-reload# 显示某个 Unit 的所有底层参数
$ systemctl show httpd.service# 显示某个 Unit 的指定属性的值
$ systemctl show -p CPUShares httpd.service# 设置某个 Unit 的指定属性
$ sudo systemctl set-property httpd.service CPUShares=500

4、开机启动

# 开机自动启动服务
sudo systemctl enable httpd# 开机不自动启动服务
sudo systemctl disable httpd# 查看服务是否开机自动启动
sudo systemctl is-enable httpd# 查看各个级别下服务的启动和禁止情况
systemctl list-unit-files --type=service

问题

1、sudo 命令，暂时成为root,需要注意的是有可能会提示 stark 不在 sudoers 文件中。此事将被报告。，切换root身份,编辑/etc/sudoers文件，配置权限，步骤如下。

su -
vim /etc/sudoers
stark   ALL=(ALL)   ALL

概述