linux用戶權(quán)限管理.ppt

《linux用戶權(quán)限管理.ppt》由會(huì)員分享，可在線閱讀，更多相關(guān)《linux用戶權(quán)限管理.ppt（23頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、電子科技大學(xué)中山學(xué)院 用戶權(quán)限管理 掌握用于權(quán)限管理的常用命令 掌握用戶權(quán)限管理的常用設(shè)置 電子科技大學(xué)中山學(xué)院 第 2頁(yè)，共 20頁(yè) 權(quán)限管理 修改文件 所有者 和所屬組 命令： chown 命令格式： chown -R 用戶名 :組名 文件 -R : 遞歸式修改，可修改目錄下的所有內(nèi)容 示例： chown user1 file1 示例： chown user1:group1 file1 示例： chown R user1 dir1 電子科技大學(xué)中山學(xué)院 第 3頁(yè)，共 20頁(yè) 權(quán)限管理 修改文件所有者和所屬組 命令： chgrp 命令格式： chgrp 組名 文件 示例： chgrp gro

2、up1 file1 示例 : chgrp R group1 dir1 chown和 chgrp的使用場(chǎng)合： 普通用戶沒(méi)有改變 他人文件 所有者屬性的權(quán)限 普通用戶沒(méi)有改變 自己文件 所有者屬性的權(quán)限。 只有系統(tǒng)管理者 (root)才有這樣的權(quán)限。 電子科技大學(xué)中山學(xué)院 第 4頁(yè)，共 20頁(yè) 權(quán)限管理 修改文件權(quán)限屬性 命令： chmod 格式： chmod u|g|o|a+|-|=rwx 文件 格式： chmod nnn(數(shù)字組合 ) 文件 示例： chmod u+x file1 示例： chmod 777 dir1 權(quán)限項(xiàng) 讀 寫 執(zhí) 行 讀 寫 執(zhí) 行 讀 寫 執(zhí) 行 字符表示 (r) (

3、w) (x) (r) (w) (x) (r) (w) (x) 數(shù)字表示 4 2 1 4 2 1 4 2 1 權(quán)限分配 文件所有者 u 文件所屬組 g 其他人 o 電子科技大學(xué)中山學(xué)院 第 5頁(yè)，共 20頁(yè) 權(quán)限管理 關(guān)于目錄權(quán)限 實(shí)驗(yàn) 1:驗(yàn)證目錄的 rwx權(quán)限 實(shí)驗(yàn) 2: 將 root創(chuàng)建的目錄 dir1權(quán)限設(shè)為 777,在 dir1下創(chuàng) 建一個(gè)文件 file1，問(wèn)： file1所屬的用戶和組是什 么？普通用戶 user1能刪除這個(gè)文件嗎？ 讀 ( r ) 寫 ( w ) 執(zhí)行 ( x ) 文件 可讀取文件的 內(nèi)容 可往文件寫入 內(nèi)容 可執(zhí)行文件 目錄 可查看目錄下 的內(nèi)容 可在目錄下添 加

4、刪除文件、 目錄 可執(zhí)行進(jìn)入目 錄的操作 電子科技大學(xué)中山學(xué)院 第 6頁(yè)，共 20頁(yè) 權(quán)限管理 默認(rèn)權(quán)限 umask命令 :設(shè)置顯示創(chuàng)建文件或目錄時(shí)的默認(rèn)權(quán)限 umask 顯示默認(rèn)權(quán)限掩碼值 umask S 顯示權(quán)限值 umask nnn(掩碼值 ) 設(shè)置默認(rèn)權(quán)限 umask值的設(shè)置 使用 umask命令設(shè)置 umask值后，重新登錄 shell時(shí)， 所做設(shè)置失效。 如需對(duì)所有用戶設(shè)置，可修改 /etc/bashrc，如需對(duì) 某個(gè)用戶設(shè)置，可修改該用戶主目錄下的 .bashrc文 件。 例子（文件或目錄） 電子科技大學(xué)中山學(xué)院 第 7頁(yè)，共 20頁(yè) 在默認(rèn)權(quán)限的屬性上，目錄與文件是不一樣的 由

5、于不希望文件具有可執(zhí)行的權(quán)力，默認(rèn)情況 中， 文件是沒(méi)有可執(zhí)行（ x）權(quán)限的 。 若用戶建立為”文件”，則默認(rèn)“沒(méi)有可執(zhí)行 （ x）項(xiàng)目”，即只有 rw這兩個(gè)項(xiàng)目，也就是 最大為 666分，默認(rèn)屬性如下： -rw-rw-rw- 若用戶建立為”目錄”，則由于 x與是否可以進(jìn) 入此目錄有關(guān)，因此默認(rèn)為所有權(quán)限均開(kāi)放， 即為 777分，默認(rèn)屬性如下： drwxrwxrwx 電子科技大學(xué)中山學(xué)院 第 8頁(yè)，共 20頁(yè) 計(jì)算方法 umask 0022 文件的默認(rèn)權(quán)限： 666-022=644 rw- rw- rw- (-) - -w- -w- =rw- r- r- 目錄的默認(rèn)權(quán)限： 777-022=75

6、5 rwx rwx rwx (-) - -w- -w- =rwx r-x r-x 電子科技大學(xué)中山學(xué)院 第 9頁(yè)，共 20頁(yè) 計(jì)算方法 umask 0033 文件的默認(rèn)權(quán)限： 666-033=633 rw-rw-rw- (-) - -wx -wx 目錄的默認(rèn)權(quán)限： 777-033=744 rwxrwxrwx (-) - -wx -wx 電子科技大學(xué)中山學(xué)院 第 10頁(yè)，共 20頁(yè) 權(quán)限管理 特殊權(quán)限 setUid (設(shè)置用戶 id位 ) : 對(duì)應(yīng)符號(hào) s 為什么普通用戶可以使用 passwd設(shè)置自己的密碼 從而 修改只有 root才擁有的寫權(quán)限的 /etc/passwd。 當(dāng)一個(gè)程序一旦設(shè)置了

7、該標(biāo)記以后 ,運(yùn)行該程序的 用戶將擁有該程序所有者同樣的權(quán)限。 設(shè)置 可執(zhí)行文件 的 s位 : chmod u+s|4xxx file 示例：設(shè)置 /bin/touch的 s位 ；設(shè)置 vi的 s位 注意 ：這個(gè)權(quán)限位是針對(duì)可執(zhí)行文件而言的 電子科技大學(xué)中山學(xué)院 第 11頁(yè)，共 20頁(yè) 權(quán)限管理 特殊權(quán)限 setUid (設(shè)置用戶 id位 ) : 對(duì)應(yīng)符號(hào) s 例子 which vi ls l /bin/vi su yue vi /etc/shadow (deny) su - chmod 4755 /bin/vi 或 chmod u+s /bin/vi su yue vi /etc/shado

8、w (permit) 取消 VI的 設(shè)置用戶 id位 自己動(dòng)手 注意 passwd命令的權(quán)限 電子科技大學(xué)中山學(xué)院 第 12頁(yè)，共 20頁(yè) 權(quán)限管理 特殊權(quán)限 setGid ( 設(shè)置組 id位 ) 運(yùn)行該程序?qū)碛性摮绦蛩鶎俳M同樣的權(quán)限。 設(shè)置方法： chmod g+s|2xxx file 電子科技大學(xué)中山學(xué)院 第 13頁(yè)，共 20頁(yè) 權(quán)限管理 特殊權(quán)限 例子： su yue ls l /root 顯示的結(jié)果？ 切換到 root用戶 chmod g+s ls（可能要出現(xiàn)錯(cuò)誤，思考解決的方法） 切換到 yue用戶 ls l /root 顯示的結(jié)果？ 取消所設(shè)的權(quán)限 注意 ls命令和目錄 root

9、的權(quán)限 chmod g+s ls 電子科技大學(xué)中山學(xué)院 第 14頁(yè)，共 20頁(yè) 權(quán)限管理 特殊權(quán)限 sticky (粘著位 ) : 對(duì)應(yīng)符號(hào) t 當(dāng)一個(gè) 目錄 被設(shè)置為 “ 粘著位 ” 時(shí)，則該目錄下的 文件只能由以下用戶才能 刪除 root 該目錄的所有者 設(shè)置目錄的 t位 : chmod +t|1xxx dir 示例： /tmp目錄 設(shè)置權(quán)限為 777的目錄的 t位，測(cè)試刪除 注意：這個(gè)權(quán)限位是針對(duì)目錄而言的。 演示 電子科技大學(xué)中山學(xué)院 第 15頁(yè)，共 20頁(yè) 權(quán)限管理 sudo(superuser do)指令 讓用戶以另一種身份 (通常是以 root身份 )執(zhí)行 某些 規(guī)定的命令 (命

10、令可精確到選項(xiàng) )。 當(dāng)用戶執(zhí)行 sudo時(shí)，會(huì)查找 /etc/sudoers文件， 以判斷用戶是否有執(zhí)行 sudo的權(quán)力 執(zhí)行 sudo時(shí)需要輸入用戶自身的密碼 與 su命令的區(qū)別 sudo 授權(quán)許可使用的 su，也是受限制的 su 電子科技大學(xué)中山學(xué)院 第 16頁(yè)，共 20頁(yè) 權(quán)限管理 針對(duì)每個(gè)管理員的 技術(shù)特長(zhǎng) 和 管理范圍 ，并且有針對(duì)性 的下放給權(quán)限，并且約定其使用哪些工具來(lái)完成與其相關(guān) 的工作 通過(guò) sudo，我們能把 某些超級(jí)權(quán)限有針對(duì)性的下放 ，并 且不需要普通用戶知道 root密碼，所以 sudo 相對(duì)于權(quán)限 無(wú)限制性的 su來(lái)說(shuō)，還是比較安全的 . sudo 執(zhí)行命令的流程

11、是當(dāng)前用戶切換到 root（或其它指 定切換到的用戶），然后以 root（或其它指定的切換到 的用戶）身份執(zhí)行命令，執(zhí)行完成后，直接退回到當(dāng)前用 戶；而這些的前提是要通過(guò) sudo的配置文件 /etc/sudoers來(lái)進(jìn)行授權(quán) 電子科技大學(xué)中山學(xué)院 第 17頁(yè)，共 20頁(yè) vi sudo指令 編輯 /etc/sudoers文件 可以用專用編輯工具 visodu（或 vi /etc/sudoers） ，此 工具的好處是在添加規(guī)則不太準(zhǔn)確時(shí)，保存退出時(shí)會(huì)提示給 我們錯(cuò)誤信息 用戶 主機(jī) =(用戶身份 ) 命令 beinan ALL=（ root） /bin/chown,/bin/chmod 如果在

12、 /etc/sudoers 中添加這一行，表示 beinan用戶可以 在任何可能出現(xiàn)的主機(jī)名的系統(tǒng)中，可以切換到 root用戶下 執(zhí)行 /bin/chown 和 /bin/chmod 命令 通過(guò) sudo -l 來(lái)查看 beinan 在這臺(tái)主機(jī)上允許和禁止運(yùn)行 的命令； username ALL=(ALL) ALL 電子科技大學(xué)中山學(xué)院 第 18頁(yè)，共 20頁(yè) 批量增加用戶 使用 shell腳本 腳本中使用 useradd和 passwd命令 如何解決交互式輸入密碼的問(wèn)題 passwd username stdin echo 密碼 |passwd username stdin 使用 newus

13、ers和 chpasswd工具 1、創(chuàng)建類似于 /etc/passwd的文本文件 user.txt 2、使用命令 : newusers user.txt 3、使用命令： pwunconv 取消 shadow功能 4、創(chuàng)建 “ 用戶名 :密碼 ” 格式的文本文件 pass.txt 5、使用命令： chpasswd pass.txt 6、使用命令： pwconv啟動(dòng) shadow功能 電子科技大學(xué)中山學(xué)院 第 19頁(yè)，共 20頁(yè) 磁盤配額 磁盤配額 ( quota ) 對(duì)用戶 |組設(shè)置硬盤容量限制 使用情形 ： www服務(wù)器的網(wǎng)頁(yè)空間容量限制；郵件 服務(wù)器的郵箱空間容量限制 注意 :磁盤配額是針對(duì)

14、整個(gè)分區(qū)的且只對(duì) root無(wú)效。 磁盤配額限制內(nèi)容 最低限制 ( soft ) : 用戶在一段時(shí)間 (寬限時(shí)間 ) 內(nèi)可以超過(guò)最低限制的容量，但必須在寬限時(shí)間內(nèi) 將磁盤容量降到最低限制的容量范圍之內(nèi)。 最高限制 ( hard ) : “絕對(duì)不能超過(guò) ” 的容量，這 個(gè)值應(yīng)該比最低限制的值大。 配置實(shí)例： qgroup ( quser1 , quser2 ) 電子科技大學(xué)中山學(xué)院 第 20頁(yè)，共 20頁(yè) 磁盤配額 步驟 1：文件系統(tǒng)啟動(dòng)磁盤配額支持 在 /etc/fstab的選項(xiàng)字段設(shè)置啟動(dòng) quota 在第四個(gè)字段添加 usrquota,grpquota 重新載入文件系統(tǒng) 運(yùn)行 mount a

15、重新載入文件系統(tǒng) 查看 /etc/mtab文件，看文件系統(tǒng)是否載入，是 否啟動(dòng)磁盤配。 電子科技大學(xué)中山學(xué)院 第 21頁(yè)，共 20頁(yè) 磁盤配額 步驟 2：掃描文件系統(tǒng)的用戶使用情況 使用命令： quotacheck avug mountpoint -a : 掃描 /etc/fstab中所有設(shè)置了 quota的分區(qū) -v : 顯示過(guò)程 -u : 針對(duì)用戶掃描文件系統(tǒng) -g : 針對(duì)組掃描文件系統(tǒng) 該命令會(huì)在分區(qū)根目錄下生成磁盤配額記錄 文件 : aquota.user 、 aquota.group 步驟 3：?jiǎn)?dòng)磁盤配額 使用命令： quotaon avug 電子科技大學(xué)中山學(xué)院 第 22頁(yè)，共 20頁(yè) 磁盤配額 步驟 4：編輯磁盤配額限制值 使用命令： edquota -ugpt 用戶或組 -u : 配置用戶 , 如： edquota u quser1 -g : 配置組 , 如： edquota g qgroup -p : 復(fù)制設(shè)置 , 如： edquota p quser1 quser2 -t : 設(shè)置寬限時(shí)間 , 如： edquota t 步驟 5：查看 quota結(jié)果報(bào)告 使用命令： quota 或者 repquota 電子科技大學(xué)中山學(xué)院 第 23頁(yè)，共 20頁(yè) 電 子 科 技 大 學(xué) 中 山 學(xué) 院 程 東 Thank You! 本章結(jié)束