双星教育linux培训chap09

系统管理员Ⅰ第九章文件/目录权限及归属3useradd命令修改了哪几个文件锁定用户其实修改了哪个文件的那个地方/etc/passwd文件的第二个字段有什么用处在哪个文件里可以查看用户的主要组和附加组根据下表创建相应的用户和组课程回顾用户名宿主目录附加组是否登录用户密码uu/uutest可以123hh/user/hhtest，root不可以1234知识要点查看文件/目录权限及归属设置文件/目录的权限设置文件/目录的归属高级权限设置查看文件/目录权限及归属访问权限可读(read)：允许查看文件内容、显示目录列表可写(write)：允许修改文件内容，允许在目录中新建、移动、删除文件或子目录可执行(execute)：允许运行程序、切换目录归属（所有权）文件拥有者(owner)：拥有该文件或目录的用户帐号属组(group)：拥有该文件或目录的组帐号其它人(others)：除了属主和属组的其他人5权限项读写执行读写执行读写执行字符表示rwxrwxrwx权限分配文件所有者文件所属组其他用户[root@localhost~]#ls-linstall.log-rw-r--r--1rootroot3429804-0200:23install.log文件类型属组所有者访问权限查看文件/目录权限及归属6（r）读（w）写（x）可执行文件查看内容cat修改内容vi作为命令使用文件夹列出目录内容ls添加、删除touch、rm进入文件夹或搜索cd符号类型改变文件权限chmod命令格式1：chmod[ugoa][+-=][rwx]文件或目录...u、g、o、a分别表示属主、属组、其他用户、所有用户+、-、=分别表示增加、去除、设置权限对应的权限字符常用命令选项-R：递归修改指定目录下所有文件、子目录的权限7rw-r--r--420400400644权限项读写执行读写执行读写执行字符表示rwxrwxrwx数字表示421421421权限分配文件所有者文件所属组其他用户8数值类型改变文件权限chmod命令格式2：chmodnnn文件或目录...3位八进制数设置文件/目录的归属chown命令必须是root用户和组必须存在格式：chown属主文件chown:属组文件chown属主:属组文件chgrp命令格式：chgrp属组文件必须是root或者是文件的所有者必须是新组的成员常用命令选项-R：递归修改指定目录下所有文件、子目录的归属9设置文件/目录的归属操作可以执行的用户chmodroot和文件所有者chgrproot和文件所有者（必须是组成员）chown只有root10在内核级别，文件的初始权限666在内核级别，文件夹的初始权限777用umask命令控制默认权限，临时有效不推荐修改系统默认umask默认权限11[root@localhost~]#umask0022[root@localhost~]#umask-Su=rwx,g=rx,o=rx[root@localhost~]#umask077[root@localhost~]#umask0077阶段实验1要求root在/tmp目录下创建/tmp/aa/bb这个目录，要求在这个bb目录下创建如下图所示的东东，要求（权限、属主属组、名称）完全一致。12阶段实验2使用vim文本编辑器手工创建一个用户sxjy(UID520),私有组是web(GID514)，密码是123，用户的主目录是/sxjy（注意不能用useradd,passwd,groupadd命令），最终要求可以使用sxjy用户成功登录后，在自己的主目录中新建的文件的默认权限是600，新建的文件夹的默认权限是700。13文件或目录的隐藏属性chattr命令：设置文件的隐藏属性格式：chattr[+-=][ai]文件或目录常用命令选项-R：递归修改-a：可以增加文件内容，但不能修改和删除-i：锁定保护文件lsattr命令：查看文件的隐藏属性格式：lsattr[Rda]文件或目录常用命令选项-R：递归修改-d：查看目录14+、-、=分别表示增加、去除、设置参数权限项读写执行读写执行读写执行字符表示rwxrwxrwx权限分配文件所有者文件所属组其他用户特别权限SUIDSGIDSticky有x特别权限rwsrwsrwt无x特别权限rwSrwSrwT15文件的特别权限文件的特别权限SET位权限主要用途：为可执行（有x权限的）文件设置，权限字符为“s”其他用户执行该文件时，将拥有属主或属组用户的权限SET位权限类型：SUID：表示对属主用户增加SET位权限SGID：表示对属组内的用户增加SET位权限[root@localhost~]#ls-l/usr/bin/passwd-rwsr-xr-x1rootroot198762006-07-17/usr/bin/passwd普通用户以root用户的身份，间接更新了shadow文件中自己的密码应用示例：/usr/bin/passwd16文件的特别权限粘滞位权限（Sticky）主要用途：为公共目录（例如，权限为777的）设置，权限字符为“t”用户不能删除该目录中其他用户的文件应用示例：/tmp、/var/tmp[root@localhost~]#ls-ld/tmp/var/tmpdrwxrwxrwt8rootroot409609-0915:07/tmpdrwxrwxrwt2rootroot409609-0907:00/var/tmp粘滞位标记字符17文件的特别权限设置SET位、粘滞位权限使用权限字符chmodug±s可执行文件...chmodo±t目录名...使用权限数字：chmodmnnn可执行文件...m为4时，对应SUID，2对应SGID，1对应粘滞位，可叠加18文件的特别权限操作对象特殊权限功能文件SUID以文件属主的权限执行文件SGID以文件属组的权限执行文件文件夹sticky文件夹中新建的对象只有root和拥有者可以删除SGID文件夹中新建的对象都属于文件夹的属组19阶段实验3创建三个用户sx1,sx2,sx3，这三个用户的附属组都是sxjy组，创建名为/home/sxjy的目录，在该目录中，三个用户可以合作处理文件。要求恰当修改该目录的权限，以便只允许用户和组能在这个目录中访问、写入、创建文件，其他用户没有任何权限，三个用户新建的文件只能自己有权限删除，彼此无法删除，而且新建的文件应该被自动分配到sxjy的组所有权。2021使用su切换用户身份su命令用途：SubstituteUser，切换为新的替换用户身份格式：su[-][用户名][zhangsan@localhost~]$su-口令：[root@localhost~]#whoamiroot未指定用户时，缺省切换为root[root@localhost~]#su-zhangsan[zhangsan@localhost~]$pwd/home/zhangsan[root@localhost~]#suzhangsan[zhangsan@localhostroot]$pwd/root未使用“-”选项时，仍沿用原来用户的环境22使用su切换用户身份应用示例：仅允许zhangsan用户使用su命令切换身份[root@localhost~]#vi/etc/pam.d/su……authrequiredpam_wheel.souse_uid……[root@localhost~]#gpasswd-azhangsanwheel去掉此行行首的“#”23使用sudo提升执行权限sudo机制用途：以可替换的其他用户身份执行命令，若未指定目标用户，默认将视为root用户格式：sudo[-u用户名]命令操作[root@localhost~]#sudo-uzhangsan/bin/touch/tmp/sudotest.file[root@localhost~]#ls-l/tmp/sudotest.file-rw-r--r--1zhangsanzhangsan005-2609:09/tmp/sudotest.file以zhangsan用户身份创建的文件属性24使用sudo提升执行权限配置文件：/etc/sudoers授权哪些用户可以通过sudo方式执行哪些命令以下2种方法都可以编辑sudoers文件visudovi/etc/sudoers25使用sudo提升执行权限在sudoers文件中的基本配置格式用户主机名列表=命令程序列表[root@localhost~]#grep^root/etc/sudoersrootALL=(ALL)ALL被授权的用户在哪些主机中使用允许执行哪些命令针对root用户的sudo配置特例允许以哪些用户的身份执行命令，缺省为root26使用sudo提升执行权限应用示例1：需求描述：允许用户mikey通过sudo执行/sbin、/usr/bin目录下的所有命令，但是禁止调用ifconfig、vim命令授权wheel组的用户不需验证密码即可执行所有命令[root@localhost~]#visudo……mikeylocalhost=/sbin/*,/usr/bin/*,!/sbin/ifconfigeth0,!/usr/bin/vim%wheelALL=(ALL)NOPASSWD:ALL27使用sudo提升执行权限为sudo配置项定义别名关键字：User_Alias、Host_Alias、Cmnd_Alias在sudo配置行中，可以调用已经定义的别名[root@localhost~]#visudo……User_AliasOPERATORS=jerry,tom,tsengyiaHost_AliasMAILSERVERS=mail,smtp,popCmnd_AliasSOFTWARE=/bin/rpm,/usr/bin/yumOPERATORSMAILSERVERS=SOFTWARE28阶段实验5配置sudo设立组帐号“managers”，用户zz、cc和ll都属于managers组，要求授权组内的各成员用户可以添加用户、删除用户和修改用户密码的功能注意禁止这些人删除root用户和修改root的密码ACL的使用ACL(AccessControlList)一个文件/目录的访问控制列表，可以针对任意指定的用户/组使用权限字符分配rwx权限设置ACL：setfacl指令格式：setfacl选项规则文件常用选项-m：新增或修改ACL中的规则-b：删除所有ACL规则-x：删除指定的ACL规则查看ACL：getfacl指令格式：getfacl文件29ACL的使用设置ACL：setfacl指令格式：setfacl选项规则文件常用规则格式：类型:特定的用户或组:权限user:(uid/name):(perms)指定某位使用者的权限group:(gid/name):(perms)指定某一群组的权限other::(perms)指定其它使用者的权限mask::(perms)设定有效的最大权限注意user、group、other、mask简写为：u,g,o,mperms使用rwx30ACL的使用针对特殊用户31[root@sxkj~]#ls-ltest.txt-rw-r--r--1rootroot0Aug409:10test.txt[root@sxkj~]#setfacl-mu:hello:rwtest.txt=对特定用户赋予权限[root@sxkj~]#getfacltest.txt=查看acl权限#file:test.txt#owner:root#group:rootuser::rw-user:hello:rw-=对特定用户赋予权限group::r--mask::rw-other::r--ACL的使用针对特定组32[root@sxkj~]#setfacl-mg:sxkj:rwtest.txt=对特定组赋予权限[root@sxkj~]#getfacltest.txt=查看acl权限#file:test.txt#owner:root#group:rootuser::