linux用戶權(quán)限管理

電子科技大學(xué)中山學(xué)院 用戶權(quán)限管理 掌握用于權(quán)限管理的常用命令 掌握用戶權(quán)限管理的常用設(shè)置 電子科技大學(xué)中山學(xué)院 第 2頁，共 20頁 權(quán)限管理 修改文件 所有者 和所屬組 命令： chown 命令格式： chown -R 用戶名 :組名 文件 -R : 遞歸式修改，可修改目錄下的所有內(nèi)容 示例： chown user1 file1 示例： chown user1:group1 file1 示例： chown R user1 dir1 電子科技大學(xué)中山學(xué)院 第 3頁，共 20頁 權(quán)限管理 修改文件所有者和所屬組 命令： chgrp 命令格式： chgrp 組名 文件 示例： chgrp group1 file1 示例 : chgrp R group1 dir1 chown和 chgrp的使用場合： 普通用戶沒有改變 他人文件 所有者屬性的權(quán)限 普通用戶沒有改變 自己文件 所有者屬性的權(quán)限。 只有系統(tǒng)管理者 (root)才有這樣的權(quán)限。 電子科技大學(xué)中山學(xué)院 第 4頁，共 20頁 權(quán)限管理 修改文件權(quán)限屬性 命令： chmod 格式： chmod u|g|o|a+|-|=rwx 文件 格式： chmod nnn(數(shù)字組合 ) 文件 示例： chmod u+x file1 示例： chmod 777 dir1 權(quán)限項 讀 寫 執(zhí) 行 讀 寫 執(zhí) 行 讀 寫 執(zhí) 行 字符表示 (r) (w) (x) (r) (w) (x) (r) (w) (x) 數(shù)字表示 4 2 1 4 2 1 4 2 1 權(quán)限分配 文件所有者 u 文件所屬組 g 其他人 o 電子科技大學(xué)中山學(xué)院 第 5頁，共 20頁 權(quán)限管理 關(guān)于目錄權(quán)限 實驗 1:驗證目錄的 rwx權(quán)限 實驗 2: 將 root創(chuàng)建的目錄 dir1權(quán)限設(shè)為 777,在 dir1下創(chuàng) 建一個文件 file1，問： file1所屬的用戶和組是什 么？普通用戶 user1能刪除這個文件嗎？ 讀 ( r ) 寫 ( w ) 執(zhí)行 ( x ) 文件 可讀取文件的 內(nèi)容 可往文件寫入 內(nèi)容 可執(zhí)行文件 目錄 可查看目錄下 的內(nèi)容 可在目錄下添 加刪除文件、 目錄 可執(zhí)行進入目 錄的操作 電子科技大學(xué)中山學(xué)院 第 6頁，共 20頁 權(quán)限管理 默認權(quán)限 umask命令 :設(shè)置顯示創(chuàng)建文件或目錄時的默認權(quán)限 umask 顯示默認權(quán)限掩碼值 umask S 顯示權(quán)限值 umask nnn(掩碼值 ) 設(shè)置默認權(quán)限 umask值的設(shè)置 使用 umask命令設(shè)置 umask值后，重新登錄 shell時， 所做設(shè)置失效。 如需對所有用戶設(shè)置，可修改 /etc/bashrc，如需對 某個用戶設(shè)置，可修改該用戶主目錄下的 .bashrc文 件。 例子（文件或目錄） 電子科技大學(xué)中山學(xué)院 第 7頁，共 20頁 在默認權(quán)限的屬性上，目錄與文件是不一樣的 由于不希望文件具有可執(zhí)行的權(quán)力，默認情況 中， 文件是沒有可執(zhí)行（ x）權(quán)限的 。 若用戶建立為”文件”，則默認“沒有可執(zhí)行 （ x）項目”，即只有 rw這兩個項目，也就是 最大為 666分，默認屬性如下： -rw-rw-rw- 若用戶建立為”目錄”，則由于 x與是否可以進 入此目錄有關(guān)，因此默認為所有權(quán)限均開放， 即為 777分，默認屬性如下： drwxrwxrwx 電子科技大學(xué)中山學(xué)院 第 8頁，共 20頁 計算方法 umask 0022 文件的默認權(quán)限： 666-022=644 rw- rw- rw- (-) - -w- -w- =rw- r- r- 目錄的默認權(quán)限： 777-022=755 rwx rwx rwx (-) - -w- -w- =rwx r-x r-x 電子科技大學(xué)中山學(xué)院 第 9頁，共 20頁 計算方法 umask 0033 文件的默認權(quán)限： 666-033=633 rw-rw-rw- (-) - -wx -wx 目錄的默認權(quán)限： 777-033=744 rwxrwxrwx (-) - -wx -wx 電子科技大學(xué)中山學(xué)院 第 10頁，共 20頁 權(quán)限管理 特殊權(quán)限 setUid (設(shè)置用戶 id位 ) : 對應(yīng)符號 s 為什么普通用戶可以使用 passwd設(shè)置自己的密碼 從而 修改只有 root才擁有的寫權(quán)限的 /etc/passwd。 當(dāng)一個程序一旦設(shè)置了該標(biāo)記以后 ,運行該程序的 用戶將擁有該程序所有者同樣的權(quán)限。 設(shè)置 可執(zhí)行文件 的 s位 : chmod u+s|4xxx file 示例：設(shè)置 /bin/touch的 s位 ；設(shè)置 vi的 s位 注意 ：這個權(quán)限位是針對可執(zhí)行文件而言的 電子科技大學(xué)中山學(xué)院 第 11頁，共 20頁 權(quán)限管理 特殊權(quán)限 setUid (設(shè)置用戶 id位 ) : 對應(yīng)符號 s 例子 which vi ls l /bin/vi su yue vi /etc/shadow (deny) su - chmod 4755 /bin/vi 或 chmod u+s /bin/vi su yue vi /etc/shadow (permit) 取消 VI的 設(shè)置用戶 id位 自己動手 注意 passwd命令的權(quán)限 電子科技大學(xué)中山學(xué)院 第 12頁，共 20頁 權(quán)限管理 特殊權(quán)限 setGid ( 設(shè)置組 id位 ) 運行該程序?qū)碛性摮绦蛩鶎俳M同樣的權(quán)限。 設(shè)置方法： chmod g+s|2xxx file 電子科技大學(xué)中山學(xué)院 第 13頁，共 20頁 權(quán)限管理 特殊權(quán)限 例子： su yue ls l /root 顯示的結(jié)果？ 切換到 root用戶 chmod g+s ls（可能要出現(xiàn)錯誤，思考解決的方法） 切換到 yue用戶 ls l /root 顯示的結(jié)果？ 取消所設(shè)的權(quán)限 注意 ls命令和目錄 root的權(quán)限 chmod g+s ls 電子科技大學(xué)中山學(xué)院 第 14頁，共 20頁 權(quán)限管理 特殊權(quán)限 sticky (粘著位 ) : 對應(yīng)符號 t 當(dāng)一個 目錄 被設(shè)置為 “ 粘著位 ” 時，則該目錄下的 文件只能由以下用戶才能 刪除 root 該目錄的所有者 設(shè)置目錄的 t位 : chmod +t|1xxx dir 示例： /tmp目錄 設(shè)置權(quán)限為 777的目錄的 t位，測試刪除 注意：這個權(quán)限位是針對目錄而言的。 演示 電子科技大學(xué)中山學(xué)院 第 15頁，共 20頁 權(quán)限管理 sudo(superuser do)指令 讓用戶以另一種身份 (通常是以 root身份 )執(zhí)行 某些 規(guī)定的命令 (命令可精確到選項 )。 當(dāng)用戶執(zhí)行 sudo時，會查找 /etc/sudoers文件， 以判斷用戶是否有執(zhí)行 sudo的權(quán)力 執(zhí)行 sudo時需要輸入用戶自身的密碼 與 su命令的區(qū)別 sudo 授權(quán)許可使用的 su，也是受限制的 su 電子科技大學(xué)中山學(xué)院 第 16頁，共 20頁 權(quán)限管理 針對每個管理員的 技術(shù)特長 和 管理范圍 ，并且有針對性 的下放給權(quán)限，并且約定其使用哪些工具來完成與其相關(guān) 的工作 通過 sudo，我們能把 某些超級權(quán)限有針對性的下放 ，并 且不需要普通用戶知道 root密碼，所以 sudo 相對于權(quán)限 無限制性的 su來說，還是比較安全的 . sudo 執(zhí)行命令的流程是當(dāng)前用戶切換到 root（或其它指 定切換到的用戶），然后以 root（或其它指定的切換到 的用戶）身份執(zhí)行命令，執(zhí)行完成后，直接退回到當(dāng)前用 戶；而這些的前提是要通過 sudo的配置文件 /etc/sudoers來進行授權(quán) 電子科技大學(xué)中山學(xué)院 第 17頁，共 20頁 vi sudo指令 編輯 /etc/sudoers文件 可以用專用編輯工具 visodu（或 vi /etc/sudoers） ，此 工具的好處是在添加規(guī)則不太準(zhǔn)確時，保存退出時會提示給 我們錯誤信息 用戶 主機 =(用戶身份 ) 命令 beinan ALL=（ root） /bin/chown,/bin/chmod 如果在 /etc/sudoers 中添加這一行，表示 beinan用戶可以 在任何可能出現(xiàn)的主機名的系統(tǒng)中，可以切換到 root用戶下 執(zhí)行 /bin/chown 和 /bin/chmod 命令 通過 sudo -l 來查看 beinan 在這臺主機上允許和禁止運行 的命令； username ALL=(ALL) ALL 電子科技大學(xué)中山學(xué)院 第 18頁，共 20頁 批量增加用戶 使用 shell腳本 腳本中使用 useradd和 passwd命令 如何解決交互式輸入密碼的問題 passwd username stdin echo 密碼 |passwd username stdin 使用 newusers和 chpasswd工具 1、創(chuàng)建類似于 /etc/passwd的文本文件 user.txt 2、使用命令 : newusers user.txt 3、使用命令： pwunconv 取消 shadow功能 4、創(chuàng)建 “ 用戶名 :密碼 ” 格式的文本文件 pass.txt 5、使用命令： chpasswd pass.txt 6、使用命令： pwconv啟動 shadow功能 電子科技大學(xué)中山學(xué)院 第 19頁，共 20頁 磁盤配額 磁盤配額 ( quota ) 對用戶 |組設(shè)置硬盤容量限制 使用情形 ： www服務(wù)器的網(wǎng)頁空間容量限制；郵件 服務(wù)器的郵箱空間容量限制 注意 :磁盤配額是針對整個分區(qū)的且只對 root無效。 磁盤配額限制內(nèi)容 最低限制 ( soft ) : 用戶在一段時間 (寬限時間 ) 內(nèi)可以超過最低限制的容量，但必須在寬限時間內(nèi) 將磁盤容量降到最低限制的容量范圍之內(nèi)。 最高限制 ( hard ) : “絕對不能超過 ” 的容量，這 個值應(yīng)該比最低限制的值大。 配置實例： qgroup ( quser1 , quser2 ) 電子科技大學(xué)中山學(xué)院 第 20頁，共 20頁 磁盤配額 步驟 1：文件系統(tǒng)啟動磁盤配額支持 在 /etc/fstab的選項字段設(shè)置啟動 quota 在第四個字段添加 usrquota,grpquota 重新載入文件系統(tǒng) 運行 mount a重新載入文件系統(tǒng) 查看 /etc/mtab文件，看文件系統(tǒng)是否載入，是 否啟動磁盤配。 電子科技大學(xué)中山學(xué)院 第 21頁，共 20頁 磁盤配額 步驟 2：掃描文件系統(tǒng)的用戶使用情況 使用命令： quotacheck avug mountpoint -a : 掃描 /etc/fstab中所有設(shè)置了 quota的分區(qū) -v : 顯示過程 -u : 針對用戶掃描文件系統(tǒng) -g : 針對組掃描文件系統(tǒng) 該命令會在分區(qū)根目錄下生成磁盤配額記錄 文件 : aquota.user 、 aquota.group 步驟 3：啟動磁盤配額 使用命令： quotaon avug 電子科技大學(xué)中山學(xué)院 第 22頁，共 20頁 磁盤配額 步驟 4：編輯磁盤配額限制值 使用命令： edquota -ugpt 用戶或組 -u : 配置用戶 , 如： edquota u quser1 -g : 配置組 , 如： edquota g qgroup -p : 復(fù)制設(shè)置 , 如： edquota p quser1 quser2 -t : 設(shè)置寬限時間 , 如： edquota t 步驟 5：查看 quota結(jié)果報告 使用命令： quota 或者 repquota 電子科技大學(xué)中山學(xué)院 第 23頁，共 20頁 電 子 科 技 大 學(xué) 中 山 學(xué) 院 程 東 Thank You! 本章結(jié)束