企业培训_双星教育linux培训

系统管理员 第九章文件 目录权限及归属 3 useradd命令修改了哪几个文件锁定用户其实修改了哪个文件的那个地方 etc passwd文件的第二个字段有什么用处在哪个文件里可以查看用户的主要组和附加组根据下表创建相应的用户和组 课程回顾 4 知识要点 查看文件 目录权限及归属设置文件 目录的权限设置文件 目录的归属高级权限设置 5 查看文件 目录权限及归属 访问权限可读 read 允许查看文件内容 显示目录列表可写 write 允许修改文件内容 允许在目录中新建 移动 删除文件或子目录可执行 execute 允许运行程序 切换目录归属 所有权 文件拥有者 owner 拥有该文件或目录的用户帐号属组 group 拥有该文件或目录的组帐号其它人 others 除了属主和属组的其他人 root localhost ls linstall log rw r r 1rootroot3429804 0200 23install log 文件类型 属组 所有者 访问权限 查看文件 目录权限及归属 6 7 符号类型改变文件权限 chmod命令格式1 chmod ugoa rwx 文件或目录 u g o a分别表示属主 属组 其他用户 所有用户 分别表示增加 去除 设置权限 对应的权限字符 常用命令选项 R 递归修改指定目录下所有文件 子目录的权限 8 数值类型改变文件权限 chmod命令格式2 chmodnnn文件或目录 3位八进制数 9 设置文件 目录的归属 chown命令必须是root用户和组必须存在格式 chown属主文件chown 属组文件chown属主 属组文件chgrp命令格式 chgrp属组文件必须是root或者是文件的所有者必须是新组的成员常用命令选项 R 递归修改指定目录下所有文件 子目录的归属 10 设置文件 目录的归属 在内核级别 文件的初始权限666在内核级别 文件夹的初始权限777用umask命令控制默认权限 临时有效不推荐修改系统默认umask 默认权限 11 root localhost umask0022 root localhost umask Su rwx g rx o rx root localhost umask077 root localhost umask0077 阶段实验1 要求root在 tmp目录下创建 tmp aa bb这个目录 要求在这个bb目录下创建如下图所示的东东 要求 权限 属主属组 名称 完全一致 12 阶段实验2 使用vim文本编辑器手工创建一个用户sxjy UID520 私有组是web GID514 密码是123 用户的主目录是 sxjy 注意不能用useradd passwd groupadd命令 最终要求可以使用sxjy用户成功登录后 在自己的主目录中新建的文件的默认权限是600 新建的文件夹的默认权限是700 13 14 文件或目录的隐藏属性 chattr命令 设置文件的隐藏属性格式 chattr ai 文件或目录常用命令选项 R 递归修改 a 可以增加文件内容 但不能修改和删除 i 锁定保护文件lsattr命令 查看文件的隐藏属性格式 lsattr Rda 文件或目录常用命令选项 R 递归修改 d 查看目录 分别表示增加 去除 设置参数 15 文件的特别权限 16 文件的特别权限 SET位权限主要用途 为可执行 有x权限的 文件设置 权限字符为 s 其他用户执行该文件时 将拥有属主或属组用户的权限SET位权限类型 SUID 表示对属主用户增加SET位权限SGID 表示对属组内的用户增加SET位权限 root localhost ls l usr bin passwd rwsr xr x1rootroot198762006 07 17 usr bin passwd 普通用户以root用户的身份 间接更新了shadow文件中自己的密码 应用示例 usr bin passwd 17 文件的特别权限 粘滞位权限 Sticky 主要用途 为公共目录 例如 权限为777的 设置 权限字符为 t 用户不能删除该目录中其他用户的文件应用示例 tmp var tmp root localhost ls ld tmp var tmpdrwxrwxrwt8rootroot409609 0915 07 tmpdrwxrwxrwt2rootroot409609 0907 00 var tmp 粘滞位标记字符 18 文件的特别权限 设置SET位 粘滞位权限使用权限字符chmodug s可执行文件 chmodo t目录名 使用权限数字 chmodmnnn可执行文件 m为4时 对应SUID 2对应SGID 1对应粘滞位 可叠加 19 文件的特别权限 阶段实验3 创建三个用户sx1 sx2 sx3 这三个用户的附属组都是sxjy组 创建名为 home sxjy的目录 在该目录中 三个用户可以合作处理文件 要求恰当修改该目录的权限 以便只允许用户和组能在这个目录中访问 写入 创建文件 其他用户没有任何权限 三个用户新建的文件只能自己有权限删除 彼此无法删除 而且新建的文件应该被自动分配到sxjy的组所有权 20 21 使用su切换用户身份 su命令用途 SubstituteUser 切换为新的替换用户身份格式 su 用户名 zhangsan localhost su 口令 root localhost whoamiroot 未指定用户时 缺省切换为root 未使用 选项时 仍沿用原来用户的环境 22 使用su切换用户身份 应用示例 仅允许zhangsan用户使用su命令切换身份 root localhost vi etc pam d su authrequiredpam wheel souse uid root localhost gpasswd azhangsanwheel 去掉此行行首的 23 使用sudo提升执行权限 sudo机制用途 以可替换的其他用户身份执行命令 若未指定目标用户 默认将视为root用户格式 sudo u用户名 命令操作 root localhost sudo uzhangsan bin touch tmp sudotest file root localhost ls l tmp sudotest file rw r r 1zhangsanzhangsan005 2609 09 tmp sudotest file 以zhangsan用户身份创建的文件属性 24 使用sudo提升执行权限 配置文件 etc sudoers授权哪些用户可以通过sudo方式执行哪些命令以下2种方法都可以编辑sudoers文件visudovi etc sudoers 25 使用sudo提升执行权限 在sudoers文件中的基本配置格式用户主机名列表 命令程序列表 root localhost grep root etc sudoersrootALL ALL ALL 被授权的用户 在哪些主机中使用 允许执行哪些命令 针对root用户的sudo配置特例 允许以哪些用户的身份执行命令 缺省为root 26 使用sudo提升执行权限 应用示例1 需求描述 允许用户mikey通过sudo执行 sbin usr bin目录下的所有命令 但是禁止调用ifconfig vim命令授权wheel组的用户不需验证密码即可执行所有命令 root localhost visudo mikeylocalhost sbin usr bin sbin ifconfigeth0 usr bin vim wheelALL ALL NOPASSWD ALL 27 使用sudo提升执行权限 为sudo配置项定义别名关键字 User Alias Host Alias Cmnd Alias在sudo配置行中 可以调用已经定义的别名 root localhost visudo User AliasOPERATORS jerry tom tsengyiaHost AliasMAILSERVERS mail smtp popCmnd AliasSOFTWARE bin rpm usr bin yumOPERATORSMAILSERVERS SOFTWARE 28 阶段实验5 配置sudo设立组帐号 managers 用户zz cc和ll都属于managers组 要求授权组内的各成员用户可以添加用户 删除用户和修改用户密码的功能注意禁止这些人删除root用户和修改root的密码 29 ACL的使用 ACL AccessControlList 一个文件 目录的访问控制列表 可以针对任意指定的用户 组使用权限字符分配rwx权限设置ACL setfacl指令格式 setfacl选项规则文件常用选项 m 新增或修改ACL中的规则 b 删除所有ACL规则 x 删除指定的ACL规则查看ACL getfacl指令格式 getfacl文件 30 ACL的使用 设置ACL setfacl指令格式 setfacl选项规则文件常用规则格式 类型 特定的用户或组 权限user uid name perms 指定某位使用者的权限group gid name perms 指定某一群组的权限other perms 指定其它使用者的权限mask perms 设定有效的最大权限注意user group other mask简写为 u g o mperms使用rwx 31 ACL的使用 针对特殊用户 root sxkj ls ltest txt rw r r 1rootroot0Aug409 10test txt root sxkj setfacl mu hello rwtest txt 对特定用户赋予权限 root sxkj getfacltest txt 查看acl权限 file test txt owner root group rootuser rw user hello rw 对特定用户赋予权限group r mask rw other r 32 ACL的使用 针对特定组 root sxkj setfacl mg sxkj rwtest txt 对特定组赋予权限 root sxkj getfacltest txt 查看acl权限 file test txt owner root group rootuser rw user hello rw group r group sxkj rw 对特定用户赋予权限mask rw other r 33 ACL的使用 针对mask设置有效权限 root sxkj setfacl mm rtest txt 设置有效权限限 root sxkj getfacltest txt 查看acl权限 file test txt owner root group rootuser rw user hello rw effective r 有效的其实只有r权限group r group sxkj rw effective r 有效的其实只有r权限mask r other r 34 ACL的使用 ACL类型存取型ACL AccessACL 文件或目录预设型ACL DefaultACL 只能对目录预设型ACL DefaultACL 格式 setfacl mdefault 类型 特定的用户或组 权限setfacl md 类型 特定的用户或组 权限设置了预设型ACL的目录 其下的所有文件或者子目录就都具有了主目录的ACL权限 并且子目录也同样有预设的ACl权限 35 ACL的使用 设置预设ACL root rhela setfacl md u hello rwsoft 设置默认权限 root rhela getfaclsoft user rwxgroup r xother r xdefault user rwxdefault user hello rw default group r xdefault mask rwxdefault other r x 36 阶段实验4 使用ACL授予和限制访问权限研究生需要名为 opt research的合作目录 用于存储他们的研究成果 只有组profs和grads中的成员能够在该目录创建新文件 并