linux云自动化运维基础知识5.6(用户管理及文件权限)

  1. 用户理解
    用户就是系统使用者的身份
    在系统中用户存储为若干窜字符+若干个系统配置文件
    用户信息涉及到的系统配置文件:
    /etc/passwd        ###用户信息
    用户:密码:uid:gid:说明:家目录:用户使用的shell/etc/shadow        ###用户认证信息
    用户:密码:最后一次密码修改该时间:最短有效期:最长有效期:警告期:非活跃期:帐号到期日
    /etc/group        ###组信息

    组名称:组密码:组id:附加组成员

    /etc/gshadow        ###组认证信息


  2. /home/username        ###用户家目录
    /etc/skel/.*        ###用户骨架文件

    2.用户管理
       (1).用户建立
       useradd        参数        用户名字
            -u    ##指定用户uid
            -g    ##指定用户初始组信息,这个组必须已经存在
            -G    ##指定附加组,这个组必须存在
            -c    ##用户说明
            -d    ##用户家目录
            -s    ##用户所使用的shell,/etc/shells记录了用户能使用shell的名字


       (2).用户删除
        userdel     -r    用户名称 -r表示删除用户信息及用户的系统配置

    (3).组的建立
        groupadd     -g        ##建立组
        groupdel    组名字        ##删除组

    作以上实验的监控命令:
    watch -n 1 ‘tail -n 3 /etc/passwd /etc/group;echo ====;ls -l /home;echo ===;ls -l /mnt‘

    (4).用户id信息查看
         id      参数         用户
          -u        ##用户uid
          -g        ##用户初始组id
          -G        ##用户所有所在组id
          -n        ##显示名称而不是id数字
          -a        ##显示所有信息

    (5).用户信息更改
    usermod       参数             用户
             -l             ##更改用户名称
             -u             ##更改uid
             -g             ##更改gid
             -G             ##更改附加组
             -aG     ##添加附加组
             -c             ##更改说明
             -d             ##更改家目录指定
             -md     ##更改家目录指定及家目录名称
             -s             ##更改shell
             -L             ##冻结帐号
             -U             ##解锁

    3.用户权力下放
       (1)在系统中超级用户可以下放普通用户不能执行的操作给普通用户
       (2)下放权力配置文件:/etc/sudoers

    (3)下放权力的方法
        *)超级用户执行visudo进入编辑/etc/sudoers模式
        *)格式:
               获得权限用户       主机名称=(获得到的用户身份)         命令
        test    desktop0.example.com=(root)    /usr/sbin/useradd

    test用户能在desktop0.example.com以超级用户身份执行/usr/sbin/useradd
        (4)执行下放权限命令
            sudo         命令                ##如果第一次执行sudo需要输入当前用户密码
            在/etc/sudoers中如果设置如下:
            test    desktop0.example.com=(root)     NOPASSWD: /usr/sbin/useradd
            表示用户调用sudo命令的时候不需要自己密码

    4.用户认证信息的控制
        chage     参数              用户
                -d                ##用户密码组后一次修改的时间,如果设定成0,用户登陆系统后必须修改自己的密码    
                -m                ##最短有效期
                -M                ##最长有效期
                -W                ##警告期
                -I                ##用户非活跃天数
                -E                ##帐号到期日格式 -E "YYYY-MM-DD"

    5.文件权限

    (1).文件属性的查看####

    ls -l filename
       -|rw-r--r--.|1| root| root|   46 |Oct  1 05:03 |filename
       — —————————  —  ————  ————    ——  ————————————  ————————
       1    2       3    4      5     6      7           8

       1."-":    文件类型
        -       ##普通文件
        d       ##目录
        c       ##字符设备
        s       ##套接字
        p       ##管道
        b       ##快设备
        l       ##连接

    2."rw-r--r--":文件读写权限
        rw-|r--|r--
        *   $   @

    *所有人的权限
        $所有组的权限
        @其他人的权限

    3."1":
        对文件:文件内容被系统记录的次数
        对目录:目录中文件属性的字节数

    4."root":文件所有人

    5."root":文件所有组

    6."46":文件内容的大小

    7."Oct  1 05:03":文件最后一次被修改的时间

    8."filename":文件名字

    (2).文件所有人所有组的管理

    chown     username        file|dir    ##更改文件的所有人
    chown     username.groupname    file|dir    ##更改所有人所有组
    chown -R username        dir        ##更改目录本身及里面所有内容的所有人
    chgrp -R groupname        dir        ##更改目录本身及里面所有内容的所有组

    监控命令
    watch -n 1 ls -lR /mnt

    (3).文件普通权限
           rw-|r--|r--
            u   g   o
           u:文件所有人对文件可以读写
           g:文件组成员对文件可读
           o:其他人对文件可读
            u优先匹配,g次优先,o当u,g不匹配时匹配

    1.r
          对文件:可以查看文件中的字符
          对目录:可以查看目录中文件的信息

    2.w
          对文件:可以更改文件内字符
          对目录:可以在目录中添加删除文件

    3.x
          对文件:可以运行文件内记录的程序动作
          对目录:可以进入目录中
       (4).字符方式修改该文件权限
           chmod [-R] <u|g|o><+|-|=><r|w|x> file|dir

    chmod u-x file1            ##file1拥有者去掉x权限
           chmod g+w file1            ##file1拥有组添加w权限
           chmod u-x,g+w file1        ##file1拥有者去掉x权,file1拥有组添加w权限
           chmod ugo-r file2        ##file2的用户组其他人去掉r权限
           chmod ug+x,o-r file3        ##file3用户和组添加x权限,其他人去掉r权限

    (5).数字方式修改该文件权限
            在linux中
            r=4
            w=2
            x=1
           文件权限数字表示方式
           rw-|r--|r--
            u   g   o
           u=rw-=4+2+0=6
           g=r--=4+0+0=4
           o=r--=4+0+0=4
           所以文件权限表示为644

    chmod    修改后权限值    file
            chmod    777    file

    7=rwx
            6=rw-
            5=r-x
            4=r--
            3=-wx
            2=-w-
            1=--x
            0=---

    6.系统默认权限的设定

    从系统存在角度来说,开放权力越大,系统存在意义越高
         从系统安全角度来说,开放权力越少,系统安全性越高
         所以系统设定新建文件或目录会去掉一些权限
         设定方式
         umask        ##查看系统保留权限默认为022
         umask 077            ##修改该系统保留权限为077,此设定为临时设定,只当前shell中生效

    永久设定方式:
    vim /etc/bashrc        ##shell
    70     if [ $UID -gt 199 ] && [ "`id -gn`" = "`id -un`" ]; then
    71        umask 002    ##普通用户umask
    72     else
    73        umask 077    ##超级用户     uask                                                                     
     74     fi

    vim /etc/profile    ##系统
     59 if [ $UID -gt 199 ] && [ "`id -gn`" = "`id -un`" ]; then
     60     umask 002    ##普通用户umask
     61 else
     62     umask 077       ##超级用户umask                                                                                         
     63   fi

    以上两个文件umask设定值必须保持一致
    source /etc/bashrc
    source /etc/profile
    让设定立即生效

    7.文件的访问控制(acl列表)######
    (1).acl定义
    acl = access control
    指定特殊用户对特殊文件有特殊权限
    drwxrwx---+ 2 root root 17 Jul 18 01:39 /westos/
          ^表

    getfacl  /westos/

    # file: westos/        ##文件名称
    # owner: root        ##文件所有人
    # group: root        ##文件所有组
    user::rwx        ##拥有者权限
    user:student:rwx    ##特殊用户权限
    group::---        ##组权限
    mask::rwx        ##权限掩码
    other::---        ##其他人权限

    注意:当文件上有权限列表时,ls -l 能看到的权限是假的

    (2).设定acl列表

    设定
    setfacl -m <u|g>:<username|groupname>:权限    文件|目录
    -m    #设定
    u    #用户
    g    #组

    删除列表中的用户或者组####
    setfacl -x <u|g>:<username|groupname>    文件|目录

    关闭列表
    setfacl -b 文件|目录    

    acl mask值
    1.mask    权限掩码
    mask用来标示能够赋予用户最大权限
    当用chmod改变文件普通权限时可能会被破坏
    修复
    setfacl -m m:rwx 文件名称

    ####acl 默认权限######
    当我们需求某个目录对于student可写,并且目录中新建的子目录对student也可写
    就要设定默认默认权限

    注意:    默认权限只对目录中新建立的文件或者目录生效,对已经建立的文件无效,
        对于目录本身也无效

    setfacl -m d:u:student:rwx  /westos

    8.特殊权限####
       (1).suid        ##冒险位
          之针对二进制可执行文件,
          文件内记录的程序产生的进程的所有人为文件所有人
          和进程发起人身份无关

    设定方式:
          chmod u+s file
          suid=4
          chmod 4xxx file

    (2).sgid        ##强制位
            对文件:只针对二进制可执行文件,
          任何人运行二进制文件
        程序时程序产生的进程的所有组都是文件的所有组
          和程序发起人组的身份无关
            对目录:当目录有sgid权限后,目录中新建的所有文件的所有组
        都自动归属到目录的所有组之中,和文件建立者所在的组无关

    设定方式:

    chmod g+s file|dir
       sgid=2
       chmod 2xxx file|dir
        
       (3).sticky    ##粘制位
       t权限:
       只针对与目录,当一个目录上有t权限,那么目录中的文件只能被文件的拥有者删除

    设定方式:
       chmod o+t direcotry
       t=1
       chmod    1777 direcotry

时间: 2024-07-30 20:16:39

linux云自动化运维基础知识5.6(用户管理及文件权限)的相关文章

linux云自动化运维基础知识11(ip网络 )

####1.ip基础知识####1.ipv42进制32位-----10进制 172.25.0.10/255.255.255.0172.25.0.10:ip地址255.255.255.0:子网掩码子网掩码255位对应的ip位为网络位子网掩码0对应的ip位为主机位 ####2.配置ip####<<图形化>>1.图形界面nm-connection-editor 2.文本化图形nmtui <<命令>>ifconfig 网卡 ip netmask    ##临时设定

linux云自动化运维基础知识3(系统的基本命令)

1 date watch -n 1 date     ###让date命令每秒执行一次,ctrl +c 推出监控模式 date 11181115        ###把系统时间设定为11月18日11:15 格式:月月天天小时分钟 date 111811152016.55    ##2016表示年(可以不加).55 表示秒(可以不加) -d +xday -xday        ##查看x天前或者后的时间+%....            ##设定date的输出格式 2.passwd    参数 

linux云自动化运维基础知识14(设备挂载)

####1.设备访问####1.设备识别/dev/xdxn        ##硬盘设备/dev/sda1/dev/cdrom        ##光驱/dev/mapper/*        ##虚拟设备 2.设备的使用##<设备的发现>##fdisk -l        ##查看真实存在的设备cat /proc/partitions    ##系统能够识别的设备blkid            ##系统能够挂载使用的设备iddf            ##查看设备被系统使用的情况 ##<

linux云自动化运维基础知识7(进程)

####1.进程定义####进程就是cpu未完成的工作 ####2.ps命令####ps    a    ##关于当前环境的所有进程    x| -A    ##所有进程    f    ##显示进程从属关系    e    ##显示进程调用环境工具的详细信息    l    ##长列表显示进程的详细信息    u    ##显示进程的用户信息    -a    ##显示shell前台运行命令的进程,但不保函shell本身    ps ax -o %cpu,%mem,user,group,com

linux云自动化运维基础知识4(系统结构,vim,管理输入输出,正则表达式)

linux系统结构    linux是一个倒树结构   linux中所有的东西都是文件   这些文件都在系统顶级目录"/" /就是根目录  /目录以下为二级目录这些目录都是系统装机时系统自动建立的如图 2.二级目录的作用/bin    ##二进制可执行文件也就是系统命令/sbin   ##系统管理命令存放位置/boot   ##启动分区,负责系统启动/dev    ##设备管理文件/etc    ##大多数系统管理文件/home   ##普通用户的家目录/lib    ##32位系统库

linux云自动化运维基础知识2(系统的基本操作)

切换用户   如图所示:在命令提示符之后输入su - username    注意:高级用户切换到低级用户不需要密码,低级用户切换身份需要密码. 注意:此处密码无回显. 2.虚拟控制台:Ctrl+Alt+F(1|7)    进入图形            Ctrl+Alt+F(2~6) 进入虚拟控制台      Red hat Enterprise Linux Server 7.0 (Maipo)    ##系统版本      Kernel 3.10.0-123.el7.x86_64 on an

linux云自动化运维基础知识23(DNS服务)

一.DNS概述作用:提供域名解析服务正向解析:域名--ip   eg:(www.baidu.com  -- 220.181.111.188)反向解析:ip--域名   eg:(220.181.111.188 -- www.baidu.com) DNS的查询方式递归查询:客户机向自己的DNS服务器请求解析的方式.迭代查询:服务器向服务器查询的方式. DNS解析的先后顺序(由配置文件/etc/nsswitch.comf决定)1.本机缓存2.本机/etc/hosts文件 格式:3.指定的DNS服务器缓

linux云自动化运维基础知识21(selinux的初级管理)

1.什么是selinuxselinux,内核级加强型防火墙ELinux提供了一种灵活的强制访问控制(MAC)系统,且内嵌于Linux Kernel中.SELinux定义了系统中每个[用户].[进程].[应用]和[文件]的访问和转变的权限,然后它使用一个安全策略来控制这些实体(用户.进程.应用和文件)之间的交互,安全策略指定如何严格或宽松地进行检查. SELinux对系统用户(system users)是透明的,只有系统管理员需要考虑在他的服务器中如何制定严格的策略.策略可以根据需要是严格的或宽松

linux云自动化运维基础知识1

如何连接VNC    依次点击:Applications------>internet------>TigerVNC viewer    VNC地址:172.25.254.250:8   [:8表示主机上的第8个网络接口,之前表示的是主机的ip地址]    注意:(1.如果连接不成功,可以确定是网络问题,首先检查网线是否连接好.         (2.老师使用的是TigerVNC,是服务端:我们使用的是TigerVNC viewer,是客户端.2.学习工具    虚拟机:   View Des