双星教育linux培训

1、系统管理员系统管理员第九章第九章 文件文件/目录权限及归属目录权限及归属useradd命令修改了哪几个文件命令修改了哪几个文件锁定用户其实修改了哪个文件的那个地方锁定用户其实修改了哪个文件的那个地方/etc/passwd文件的第二个字段有什么用处文件的第二个字段有什么用处在哪个文件里可以查看用户的主要组和附加组在哪个文件里可以查看用户的主要组和附加组根据下表创建相应的用户和组根据下表创建相应的用户和组课程回顾课程回顾用户名用户名宿主目录宿主目录附加组附加组是否登录是否登录用户密码用户密码uu/uutest可以123hh/user/hhtest，root不可以123知识要点知识要点查看文件查看文

2、件/目录权限及归属目录权限及归属设置文件设置文件/目录的权限目录的权限设置文件设置文件/目录的归属目录的归属高级权限设置高级权限设置查看文件查看文件/目录权限及归属目录权限及归属访问权限访问权限可读可读(read)：允许查看文件内容、显示目录列表：允许查看文件内容、显示目录列表可写可写(write)：允许修改文件内容，允许在目录中新建：允许修改文件内容，允许在目录中新建、移动、删除文件或子目录、移动、删除文件或子目录可执行可执行(execute)：允许运行程序、切换目录：允许运行程序、切换目录归属（所有权）归属（所有权）文件拥有者文件拥有者(owner)：拥有该文件或目录的用户帐号：拥有该文件

3、或目录的用户帐号属组属组(group)：拥有该文件或目录的组帐号：拥有该文件或目录的组帐号其它人其它人(others)：除了属主和属组的其他人：除了属主和属组的其他人权限项权限项读读写写执行执行读读写写执行执行读读写写执行执行字符表示字符表示rwxrwxrwx权限分配权限分配文件所有者文件所有者文件所属组文件所属组其他用户其他用户 rootlocalhost # ls -l install.log -rw-r-r- 1 root root 34298 04-02 00:23 install.log文件类型文件类型属组属组所有者所有者访问权限访问权限查看文件查看文件/目录权限及归属目录权限及归属

4、（r）读）读（w）写）写（x）可执行）可执行文件文件查看内容查看内容cat修改内容修改内容vi作为命令使用作为命令使用文件夹文件夹列出目录内容列出目录内容ls添加、删除添加、删除touch、rm进入文件夹或搜索进入文件夹或搜索cd符号类型改变文件权限符号类型改变文件权限chmod命令命令格式格式1：chmod ugoa +-= rwx 文件或目录文件或目录. u u、g g、o o、a a 分别表示分别表示属主、属组、其他用户、所有用户属主、属组、其他用户、所有用户 +、-、= 分别表示分别表示增加、去除、设置权限增加、去除、设置权限对应的权限字符对应的权限字符常用命令选项常用命令选项 -R：

5、递归修改指定目录下所有文件、子目录的权限：递归修改指定目录下所有文件、子目录的权限rw-r-r-420400400644权限项权限项读读写写执行执行读读写写执行执行读读写写执行执行字符表示字符表示rwxrwxrwx数字表示数字表示421421421权限分配权限分配文件所有者文件所有者文件所属组文件所属组其他用户其他用户数值类型改变文件权限数值类型改变文件权限chmod命令命令 格式格式2：chmod nnn 文件或目录文件或目录.3 3位八进制数位八进制数设置文件设置文件/目录的归属目录的归属chown命令命令必须是必须是root用户和组必须存在用户和组必须存在格式：格式：chown 属主属主

6、 文件文件 chown :属组属组 文件文件 chown 属主属主:属组属组 文件文件chgrp命令命令格式：格式：chgrp 属组属组 文件文件必须是必须是root或者是文件的所有者或者是文件的所有者必须是新组的成员必须是新组的成员常用命令选项常用命令选项-R：递归修改指定目录下所有文件、子目录的归属：递归修改指定目录下所有文件、子目录的归属设置文件设置文件/目录的归属目录的归属操作操作可以执行的用户可以执行的用户chmodroot和文件所有者和文件所有者chgrproot和文件所有者（必须是组成员）和文件所有者（必须是组成员）chown只有只有root在内核级别，文件的初始权限在内核级别，

7、文件的初始权限666 在内核级别，文件夹的初始权限在内核级别，文件夹的初始权限777用用umask命令控制默认权限，临时有效命令控制默认权限，临时有效不推荐修改系统默认不推荐修改系统默认umask默认权限默认权限rootlocalhost # umask 0022rootlocalhost # umask -Su=rwx,g=rx,o=rxrootlocalhost # umask 077rootlocalhost # umask0077阶段实验阶段实验1 要求要求root在在/tmp目录下创建目录下创建/tmp/aa/bb这个目录，要求在这个目录，要求在这个这个bb目录下创建如下图所示的东东

8、，要求（权限、属目录下创建如下图所示的东东，要求（权限、属主属组、名称）完全一致。主属组、名称）完全一致。阶段实验阶段实验2使用使用vim文本编辑器手工创建一个用文本编辑器手工创建一个用户户sxjy(UID520),私有组是私有组是web(GID514)，密码，密码是是123，用户的主目录是，用户的主目录是/sxjy（注意不能用注意不能用useradd,passwd,groupadd命令命令），最终要求），最终要求可以使用可以使用sxjy用户成功登录后，在自己的主目录用户成功登录后，在自己的主目录中新建的文件的默认权限是中新建的文件的默认权限是600，新建的文件夹，新建的文件夹的默认权限是的默

9、认权限是700。文件或目录的隐藏属性文件或目录的隐藏属性chattr命令：命令： 设置文件的隐藏属性设置文件的隐藏属性格式：格式：chattr +-= ai 文件或目录文件或目录常用命令选项常用命令选项-R：递归修改：递归修改-a：可以增加文件内容，但不能修改和删除：可以增加文件内容，但不能修改和删除-i： 锁定保护文件锁定保护文件lsattr命令：命令： 查看查看文件的隐藏属性文件的隐藏属性格式：格式：lsattr Rda 文件或目录文件或目录常用命令选项常用命令选项-R：递归修改：递归修改-d： 查看目录查看目录+、-、= 分别表示分别表示增加、去除、设置参数增加、去除、设置参数权限项权限

10、项读读写写执行执行读读写写执行执行读读写写执行执行字符表示字符表示rwxrwxrwx权限分配权限分配文件所有者文件所有者文件所属组文件所属组其他用户其他用户特别权限特别权限SUIDSGIDSticky有有x特别权限特别权限rwsrwsrwt无无x特别权限特别权限rwSrwSrwT文件的特别权限文件的特别权限SET位权限位权限主要用途：主要用途：p 为可执行（有为可执行（有 x 权限的）文件设置，权限字符为权限的）文件设置，权限字符为“s”p 其他用户执行该文件时，将拥有属主或属组用户的权限其他用户执行该文件时，将拥有属主或属组用户的权限SET位权限类型：位权限类型：p SUID：表示对属主用户

11、增加：表示对属主用户增加SET位权限位权限p SGID：表示对属组内的用户增加：表示对属组内的用户增加SET位权限位权限rootlocalhost # ls -l /usr/bin/passwd-rwsr-xr-x 1 root root 19876 2006-07-17 /usr/bin/passwd普通用户以普通用户以root用户的身份，间接更新用户的身份，间接更新了了shadow文件中自己的密码文件中自己的密码 应用示例：应用示例：/usr/bin/passwd文件的特别权限文件的特别权限粘滞位权限（粘滞位权限（Sticky）主要用途：主要用途：p 为公共目录（例如，权限为为公共目录（例

12、如，权限为777的）设置，权限字符为的）设置，权限字符为“t”p 用户不能删除该目录中其他用户的文件用户不能删除该目录中其他用户的文件应用示例：应用示例：/tmp、/var/tmprootlocalhost # ls -ld /tmp /var/tmpdrwxrwxrwt 8 root root 4096 09-09 15:07 /tmpdrwxrwxrwt 2 root root 4096 09-09 07:00 /var/tmp粘滞位标记字符粘滞位标记字符文件的特别权限文件的特别权限设置设置SET位、粘滞位权限位、粘滞位权限使用权限字符使用权限字符p chmod ugs 可执行文件可执行文

13、件.p chmod ot 目录名目录名.使用权限数字：使用权限数字：p chmod mnnn 可执行文件可执行文件.p m为为4时，对应时，对应SUID，2对应对应SGID，1对应粘滞位，可叠加对应粘滞位，可叠加文件的特别权限文件的特别权限操作对象操作对象特殊权限特殊权限功能功能文件文件SUID以文件属主的权限执行文件以文件属主的权限执行文件SGID以文件属组的权限执行文件以文件属组的权限执行文件文件夹文件夹sticky文件夹中新建的对象只有文件夹中新建的对象只有root和拥有者可以删除和拥有者可以删除SGID文件夹中新建的对象都属于文件夹的属组文件夹中新建的对象都属于文件夹的属组阶段实验阶段

14、实验3创建三个用户创建三个用户sx1,sx2,sx3，这三个用户的附属，这三个用户的附属组都是组都是sxjy组，创建名为组，创建名为/home/sxjy的目录，在的目录，在该目录中，三个用户可以合作处理文件。要求恰该目录中，三个用户可以合作处理文件。要求恰当修改该目录的权限，以便只允许用户和组能在当修改该目录的权限，以便只允许用户和组能在这个目录中访问、写入、创建文件，其他用户没这个目录中访问、写入、创建文件，其他用户没有任何权限，三个用户新建的文件只能自己有权有任何权限，三个用户新建的文件只能自己有权限删除，彼此无法删除，而且新建的文件应该被限删除，彼此无法删除，而且新建的文件应该被自动分配

15、到自动分配到sxjy的组所有权。的组所有权。使用使用su切换用户身份切换用户身份su命令命令用途：用途：Substitute User，切换为新的替换用户身份，切换为新的替换用户身份格式：格式：su - 用户名用户名zhangsanlocalhost $ su -口令：口令：rootlocalhost # whoamiroot未指定用户时，缺未指定用户时，缺省切换为省切换为rootrootlocalhost # su - zhangsanzhangsanlocalhost $ pwd/home/zhangsanrootlocalhost # su zhangsanzhangsanlocalho

16、st root$ pwd/root未使用未使用“-”选项时，仍沿选项时，仍沿用原来用户的环境用原来用户的环境使用使用su切换用户身份切换用户身份应用示例：应用示例：仅允许仅允许zhangsan用户使用用户使用su命令切换身份命令切换身份rootlocalhost # vi /etc/pam.d/suauth required pam_wheel.so use_uidrootlocalhost # gpasswd -a zhangsan wheel去掉此行行首的去掉此行行首的“#”使用使用sudo提升执行权限提升执行权限sudo机制机制用途：以可替换的其他用户身份执行命令，若未指定用途：以可替换

17、的其他用户身份执行命令，若未指定目标用户，默认将视为目标用户，默认将视为root用户用户格式：格式：sudo -u 用户名用户名 命令操作命令操作rootlocalhost # sudo -u zhangsan /bin/touch /tmp/sudotest.filerootlocalhost # ls -l /tmp/sudotest.file-rw-r-r- 1 zhangsan zhangsan 0 05-26 09:09 /tmp/sudotest.file以以 zhangsan 用户身用户身份创建的文件属性份创建的文件属性使用使用sudo提升执行权限提升执行权限配置文件：配置文件：

18、/etc/sudoers授权哪些用户可以通过授权哪些用户可以通过sudo方式执行哪些命令方式执行哪些命令以下以下2种方法都可以编辑种方法都可以编辑sudoers文件文件visudovi /etc/sudoers使用使用sudo提升执行权限提升执行权限在在sudoers文件中的基本配置格式文件中的基本配置格式用户用户 主机名列表主机名列表=命令程序列表命令程序列表rootlocalhost # grep root /etc/sudoersroot ALL=(ALL) ALL被授权的用户被授权的用户在哪些主机中使用在哪些主机中使用允许执行哪些命令允许执行哪些命令针对针对root用户的用户的sudo

19、配置特例配置特例允许以哪些用户的身份允许以哪些用户的身份执行命令，缺省为执行命令，缺省为root使用使用sudo提升执行权限提升执行权限应用示例应用示例1：需求描述：需求描述：p 允许允许用户用户mikey通过通过sudo执行执行/sbin、/usr/bin目录下的所有目录下的所有命令，但是禁止调用命令，但是禁止调用ifconfig、vim命令命令p 授权授权wheel组的用户不需验证密码即可执行所有命令组的用户不需验证密码即可执行所有命令rootlocalhost # visudomikey localhost=/sbin/*,/usr/bin/*,!/sbin/ifconfig eth0,

20、!/usr/bin/vim%wheel ALL=(ALL) NOPASSWD: ALL使用使用sudo提升执行权限提升执行权限为为sudo配置项定义别名配置项定义别名关键字：关键字：User_Alias、Host_Alias、Cmnd_Alias在在sudo配置行中，可以调用已经定义的别名配置行中，可以调用已经定义的别名rootlocalhost # visudoUser_Alias OPERATORS=jerry,tom,tsengyiaHost_Alias MAILSERVERS=mail,smtp,popCmnd_Alias SOFTWARE=/bin/rpm,/usr/bin/yumO

21、PERATORS MAILSERVERS=SOFTWARE阶段实验阶段实验5配置配置sudo设立组帐号设立组帐号“managers”，用户，用户zz、cc和和ll都属于都属于managers组，要求授权组内的各成员用户可以添加用组，要求授权组内的各成员用户可以添加用户、删除用户和修改用户密码的功能户、删除用户和修改用户密码的功能注意禁止这些人删除注意禁止这些人删除root用户和修改用户和修改root的密码的密码ACL的使用的使用ACL(Access Control List) 一个文件一个文件/目录的访问控制列表，可以针对任意指定的用目录的访问控制列表，可以针对任意指定的用户户/组使用权限字符

22、分配组使用权限字符分配rwx权限权限设置设置ACL：setfacl指令指令 格式格式： setfacl 选项选项 规则规则 文件文件常用选项常用选项 -m：新增或修改新增或修改ACL中的规则中的规则 -b： 删除所有删除所有ACL规则规则 -x： 删除指定的删除指定的ACL规则规则查看查看ACL：getfacl指令指令 格式格式： getfacl 文件文件ACL的使用的使用设置设置ACL：setfacl指令指令 格式格式： setfacl 选项选项 规则规则 文件文件常用规则常用规则 格式：格式：类型类型:特定的用户或组特定的用户或组:权限权限 user:(uid/name):(perms)

23、指定某位使用者的权限指定某位使用者的权限 group:(gid/name):(perms) 指定某一群组的权限指定某一群组的权限 other:(perms) 指定其它使用者的权限指定其它使用者的权限 mask:(perms) 设定有效的设定有效的最大权限最大权限注意注意 user、group、other、mask简写为：简写为：u , g , o , m perms使用使用rwxACL的使用的使用针对特殊用户针对特殊用户rootsxkj # ls -l test.txt -rw-r-r- 1 root root 0 Aug 4 09:10 test.txtrootsxkj # setfacl

24、-m u:hello:rw test.txt =对特定用户赋予权限对特定用户赋予权限rootsxkj # getfacl test.txt =查看查看acl权限权限# file: test.txt # owner: root# group: rootuser:rw-user:hello:rw- =对特定用户赋予权限对特定用户赋予权限group:r-mask:rw-other:r-ACL的使用的使用针对特定组针对特定组 rootsxkj # setfacl -m g:sxkj:rw test.txt =对特定对特定组组赋予权限赋予权限rootsxkj # getfacl test.txt =查看

25、查看acl权限权限# file: test.txt # owner: root# group: rootuser:rw-user:hello:rw-group:r-group:sxkj:rw- =对特定用户赋予权限对特定用户赋予权限mask:rw-other:r-ACL的使用的使用针对针对mask设置有效权限设置有效权限 rootsxkj # setfacl -m m:r test.txt =设置有效权限设置有效权限限限rootsxkj # getfacl test.txt =查看查看acl权限权限# file: test.txt# owner: root# group: rootuser:r

26、w-user:hello:rw- #effective:r- =有效的其实只有有效的其实只有r权限权限group:r-group:sxkj:rw- #effective:r- =有效的其实只有有效的其实只有r权限权限mask:r-other:r-ACL的使用的使用ACL类型类型 存取型存取型ACL(Access ACL)：文件或目录：文件或目录 预设型预设型ACL(Default ACL)：只能对目录：只能对目录预设型预设型ACL(Default ACL) 格式：格式：setfacl m default:类型类型:特定的用户或组特定的用户或组:权限权限 setfacl m d:类型类型:特定的用户或组特定的用户或组:权限权限 设置了设置了预设型预设型ACL的目录，其下的所有文件或者子目录就的目录，其下的所有文件或者子目录就都具