|
用户授权
######1.查看主机名称:hostname
######2.权力下放######
文件为/etc/sudoers
此文件可以用vim直接编辑,但是不提供语法检测
 也可以使用visudo编辑此文件,visudo命令是提供语法检测的 
-
######3.下放方式######
visudo ##专门用来编辑/etc/sudoers文件,在100行左右编辑
格式为:用户 主机名称=(得到的用户身份) 命令
例如:lalala localhost=(root) /usr/sbin/useradd
##lalala用户可以在localhost主机以root用户身份执行useradd命令(执行时需要密码
lalala localhost=(root) NOPASSWD: /usr/sbin/useradd
##lalala用户可以在localhost主机以root用户身份免密执行useradd命令
######4.测试######
su - lalala
sudo useradd hello
visudo中输入的:lalala localhost=(root) /usr/sbin/useradd
visudo中输入的: lalala localhost=(root) NOPASSWD: /usr/sbin/useradd
文件的权限管理
######1.文件权限存在的意义######
系统最底层安全设定方法之一
保证文件可以被可用的用户做出相应的操作
######2.文件权限的查看######
ls -l file
ls -ld dir
ll file
ll -d dir
######3.文件权限的读取######
| - | rw-rw-r- -. | 1 | kiosk | kiosk | 0 | Jan 6 17:37 | file |
[1] , [2],,,[3],[4],,[5],[6],,,[7],,[8]
注释:
[1]文件的类型:
[2]文件的权限
rw- |rw- |r- -
1,,2,3
[3]文件个数
对文件:文件硬链接个数(文件内容被记录的次数)
对目录:目录中子目录的个数
[4]文件的所有人
[5]文件的所有组
[6]文件大小
对文件:文件大小
对目录:目录中子文件元数据大小(matedate可以理解为文件的属性)
[7]文件内容被修改的时间
[8]文件名称
######4.改变文件所有人和所有组######
1.监控mnt下的文件属性
 
2.在mnt下创建文件和目录
3.更改文件/目录的所有人
chown user file
chown user dir(不能更改目录下子文件的所有人)
chown -R user dir(更改目录的所有人,同时也更改了目录下所有子文件的所有人)
4.更改文件/目录的所有人和所有组
chown user:group file
chown user:group dir(不能更改目录下子文件的所有人和所有组)
 
chown -R user:group dir(更改目录的所有人和所有组,同时也更改了目录下所有子文件的所有人和所有组)
3.更改文件/目录的所有组
chgrp group file
chgrp group dir(不能更改目录下子文件所有组)
chgrp -R group dir(更改目录的所有组,同时也更改了目录下所有子文件的所有组)
######5.改变文件的权限######
1.权限的含义:
2.更改方式:
chmod <u/g/o> <+/-/=> <r/w/x>
file/dir
chmod u+x /mnt/file1
chmod g-r /mnt/file2
######6.umask######
umask ##系统建立文件是默认保留的权力
umask 077 ##临时设定系统预留权限为077
永久更改umask
vim/etc/profile ##系统配置文件
if [$UID -gt 199] && [“id -gn”=“id -un”]
;then
umask 002 ##普通用户的umask
else
umask 077 ##超级用户的umask
if
vim /etc/bashrc ##shell配置文件
if [$UID -gt 199] && [“id -gn”=“id -un”];then
umask 002
else
umask 077
if
source /etc/profile ##让更改立即生效
source /etc/bashrc
######7.特殊权限######
1.sticky ##粘贴位
作用:
只针对目录生效,当一个目录上有sticky权限时,
在这个目录中的文件只能被文件的所有者删除
设定方式:
chmod o+t dir
chmod 1xxx dir
2.sgid ##强制位
作用:
对文件: 只针对与二进制可执行文件
当文件上有sgid时任何人执行此文件产成的进程都属于文件的组
对目录:当目录上有sgid权限时,任何人在此目录中建立的文件都属于目录的所有组
设定方式:
chmod g+s file/dir
chmod 2xxx file/dir
3.suid ##冒险位
只针对与二进制可执行文件
当文件上有suid时,任何人执行这个文件中记的程序产生的进程都是属于文件的所有人
设定方式:
chmod u+s file
chmod 4xxx file
######8.acl权限列表#######
1.作用:
让特定的用户对特定的文件拥有特定的权限
2.acl列表查看
3.acl列表的管理
4.mask值
在权限列表中mask表示能生效的权力值
当用chmod减小开启acl的文件权限时mask值会发生改变
chmod g-w westos
如果要恢复mask值
setfacl -m m:rw westos
5.acl 的默认权限设定
acl默认权限只针对目录设定
“acl权限只针对设定完成之后新建立的文件或目录生效,而已经存在的文件是不会继承默认权限”
setfacl -m d:u:student:rwx /mnt/test
setfacl -k /mnt/test
(责任编辑:IT) |