Linux超級(jí)用戶權(quán)限控制

Linux超級(jí)用戶權(quán)限控制在Linux操作系統(tǒng)中，root的權(quán)限是最高的，也被稱為超級(jí)權(quán)限的擁有者。普通用戶無法執(zhí)行的操作，root用戶都能完成，所以也被稱之為超級(jí)管理用戶。在系統(tǒng)中，每個(gè)文件、目錄和進(jìn)程，都?xì)w屬于某一個(gè)用戶，沒有用戶許可其它普通用戶是無法操作的，但對root除外。root用戶的特權(quán)性還表如今root能夠超越任何用戶和用戶組來對文件或目錄進(jìn)行讀取、修改或刪除〔在系統(tǒng)正常的許可范圍內(nèi)〕；對可執(zhí)行程序的執(zhí)行、終止；對硬件設(shè)備的添加、創(chuàng)立和移除等；可以以對文件和目錄進(jìn)行屬主和權(quán)限進(jìn)行修改，以合適系統(tǒng)管理的需要〔由于root是系統(tǒng)中權(quán)限最高的特權(quán)用戶〕；一、對超級(jí)用戶和普通用戶的理解；1、什么是超級(jí)用戶；在所有Linux系統(tǒng)中，系統(tǒng)都是通過UID來區(qū)分用戶權(quán)限級(jí)別的，而UID為0的用戶被系統(tǒng)約定為是具有超級(jí)權(quán)限。超級(jí)用戶具有在系統(tǒng)約定的最高權(quán)限滿園內(nèi)操作，所以講超級(jí)用戶能夠完成系統(tǒng)管理的所有工具；我們能夠通過/etc/passwd來查得UID為0的用戶是root,而且只要root4、su的優(yōu)缺點(diǎn);SU確實(shí)為管理帶來方便，通過切換到root下，能完成所有系統(tǒng)管理工具，只要把root的密碼交給任何一個(gè)普通用戶，他都能切換到root來完成所有的系統(tǒng)管理工作；但通過SU切換到root后，也有不平安因素；比方系統(tǒng)有10個(gè)用戶，而且都介入管理。假如這10個(gè)用戶都涉及到超級(jí)權(quán)限的運(yùn)用，做為管理員假如想讓其它用戶通過su來切換到超級(jí)權(quán)限的root,必須把root權(quán)限密碼都告訴這10個(gè)用戶；假如這10個(gè)用戶都有root權(quán)限，通過root權(quán)限能夠做任何事，這在一定程度上就對系統(tǒng)的平安造成了威協(xié)；想想Windows吧，幾乎就是惡夢；〃沒有不平安的系統(tǒng)，只要不平安的人〃，我們絕對不能保證這10個(gè)用戶都能按正常操作流程來管理系統(tǒng)，其中任何一人對系統(tǒng)操作的重大失誤，都可能導(dǎo)致系統(tǒng)崩潰或數(shù)據(jù)損失;所以su工具在多人介入的系統(tǒng)管理中，并不是最好的選擇，su只適用于一兩個(gè)人介入管理的系統(tǒng)，畢竟su并不能讓普通用戶受限的使用；超級(jí)用戶root密碼應(yīng)該把握在少數(shù)用戶手中，這絕對是真理!所以集權(quán)而治的存在還是有一定道理的；四、sudo受權(quán)許可使用的su,也是受限制的sul.sudo的適用條件；由于SU對切換到超級(jí)權(quán)限用戶root后，權(quán)限的無限制性，所以su并不能擔(dān)任多個(gè)管理員所管理的系統(tǒng)。假如用su來切換到超級(jí)用戶來管理系統(tǒng)，也不能明確哪些工作是由哪個(gè)管理員進(jìn)行的操作。十分是對于服務(wù)器的管理有多人介入管理時(shí)，最好是針對每個(gè)管理員的技術(shù)特長和管理范圍，并且有針對性的下放給權(quán)限，并且約定其使用哪些工具來完成與其相關(guān)的工作，這時(shí)我們就有必要用到sudo。通過sudo,我們能把某些超級(jí)權(quán)限有針對性的下放，并且不需要普通用戶知道root密碼，所以sudo相對于權(quán)限無限制性的su來講，還是比較平安的，所以sudo也能被稱為受限制的su；另外sudo是需要受權(quán)許可的，所以也被稱為受權(quán)許可的SU;sudo執(zhí)行命令的流程是當(dāng)前用戶切換到root〔或其它指定切換到的用戶），然后以root〔或其它指定的切換到的用戶）身份執(zhí)行命令，執(zhí)行完成后，直接退回到當(dāng)前用戶；而這些的前提是要通過sudo的配置文件/etc/sudoers來進(jìn)行受權(quán)；2、從編寫sudo配置文件/etc/sudoers開場;sudo的配置文件是/etc/sudoers,我們能夠用他的專用編輯工具visodu,此工具的好處是在添加規(guī)那么不太準(zhǔn)確時(shí)，保存退出時(shí)會(huì)提示給我們錯(cuò)誤信息；配置好后，能夠用切換到您受權(quán)的用戶下，通過sudo-l來查看哪些命令是能夠執(zhí)行或禁止的；/etc/sudoers文件中每行算一個(gè)規(guī)那么，前面帶有#號(hào)能夠當(dāng)作是講明的內(nèi)容，并不執(zhí)行；假如規(guī)那么很長，一行列不下時(shí),能夠用'號(hào)來續(xù)行，這樣看來一個(gè)規(guī)那么可以以擁有多個(gè)行；/etc/sudoers的規(guī)那么可分為兩類；一類是別名定義，另一類是受權(quán)規(guī)那么；別名定義并不是必須的，但受權(quán)規(guī)那么是必須的;3、/etc/sudoers配置文件中別名規(guī)那么別名規(guī)那么定義格式如下：Alias_TypeNAME=iteml,item2,...或Alias_TypeNAME=iteml,item2,item3:NAME=item4,item5別名類型(Alias_Type)：別名類型包括如下四種HostAlias定義主機(jī)別名;UsejAlias用戶別名，別名成員能夠是用戶，用戶組〔前面要加％號(hào)）Runas_Alias用來定義runas別名，這個(gè)別名指定的是“目的用戶〃，即sud。允許切換至的用戶；Cmnd_Alias定義命令別名；NAME就是別名了，NMAE的命名是包含大寫字母、下劃線以及數(shù)字，但必須以一個(gè)大寫字母開始，比方SYNADM、SYN_ADM或SYNAD0是合法的，sYNAMDA或1SYNAD是不合法的；item按中文翻譯是工程，在這里我們能夠譯成成員，假如一個(gè)別名下有多個(gè)成員，成員與成員之間，通過半角，號(hào)分隔;成員在必須是有效并事實(shí)存在的。什么是有效的呢？比方主機(jī)名，能夠通過w查看用戶的主機(jī)名〔或ip地址），假如您只是本地機(jī)操作，只通過hostname命令就能查看；用戶名當(dāng)然是在系統(tǒng)中存在的，在/etc/paswd中必須存在；對于定義命令別名，成員也必須在系統(tǒng)中事實(shí)存在的文件名〔需要絕對途徑）；item成員受別名類型Host_Alias>User_Alias>Runas_Alias>Cmnd_Alias制約，定義什么類型的別名，就要有什么類型的成員相配。我們用Host_Alias定義主機(jī)別名時(shí)，成員必須是與主機(jī)相關(guān)相關(guān)聯(lián)，比方是主機(jī)名〔包括遠(yuǎn)程登錄的主機(jī)名）、ip地址〔單個(gè)或整段）、掩碼等；當(dāng)用戶登錄時(shí)，能夠通過w命令來查看登錄用戶主機(jī)信息；用User_Alias和Runas_Alias定義時(shí)，必需要用系統(tǒng)用戶做為成員；用Cmnd_Alias定義執(zhí)行命令的別名時(shí)，必須是系統(tǒng)存在的文件，文件名能夠用通配符表示，配置Cmnd_Alias時(shí)命令需要絕對途徑；其中Runas_Alias和User_Alias有點(diǎn)類似，但與User_Alias絕對不是同一個(gè)概念，Runas_Alias定義的是某個(gè)系統(tǒng)用戶能夠sudo切換身份到Runas_Alias下的成員；我們在受權(quán)規(guī)那么中以實(shí)例進(jìn)行講解；別名規(guī)那么是每行算一個(gè)規(guī)那么，假如一個(gè)別名規(guī)那么一行容不下時(shí)，能夠通過'來續(xù)行；同一類型別名的定義，一次可以以定義幾個(gè)別名，他們中間用:號(hào)分隔，Host_AliasHT01=localhost,st05,st04,10,0,0,4,255.255.255.0,192.168.1.0/24注：定義主機(jī)別名HT01,通過二號(hào)列出成員HostAliasHT02=st09,stl0ft：主機(jī)別名HT02,有兩個(gè)成員;Host_AliasHT01=localhost,5105,8104,10,0,0,4,255.255.255.0,192.168.1.0/24:HT02=st09,stl0注：上面的兩條對主機(jī)的定義，能夠通過一條來實(shí)現(xiàn)，別名之間用:號(hào)分割；注：我們通過HosjAlias定義主機(jī)別名時(shí)，工程能夠是主機(jī)名、能夠是單個(gè)ip〔整段ip地址可以以〕，可以以是網(wǎng)絡(luò)掩碼；假如是主機(jī)名，必須是多臺(tái)機(jī)器的網(wǎng)絡(luò)中，而且這些機(jī)器得能通過主機(jī)名互相通信訪問才有效。那什么才算是通過主機(jī)名互相通信或訪問呢？比方ping主機(jī)名，或通過遠(yuǎn)程訪問主機(jī)名來訪問。在我們局域網(wǎng)中，假如讓計(jì)算機(jī)通過主機(jī)名訪問通信，必須設(shè)置/etc/hosts,/etc/resolv.conf,還要有DNS做解析，否那么互相之間無法通過主機(jī)名訪問；在設(shè)置主機(jī)別名時(shí)，假如工程是中某個(gè)工程是主機(jī)名的話，能夠通過hostname命令來查看本地主機(jī)的主機(jī)名，通過w命令查來看登錄主機(jī)是;，通過;來確認(rèn)其它客戶機(jī)的主機(jī)名或ip地址；對于主機(jī)別名的定義，看上去有點(diǎn)復(fù)雜，其實(shí)是很簡單。假如您不明白Host_Alias是怎么回事，可以以不用設(shè)置主機(jī)別名，在定義受權(quán)規(guī)那么時(shí)通過ALL來匹配所有可能出現(xiàn)的主機(jī)情況。假如您把主機(jī)方面的知識(shí)弄的更明白，確實(shí)需要多多學(xué)習(xí)。User_AliasSYSAD=beinan,linuxsir,bnnnb,lanhaitun注：定義用戶別名，下有四個(gè)成員；要在系統(tǒng)中確實(shí)在存在的；UserAliasNETAD=beinan,bnnb注：定義用戶別名NETAD,我想讓這個(gè)別名下的用戶來管理網(wǎng)絡(luò)，所以取了NETAD的別名；User_AliasWEBMASTER=linuxsir注：定義用戶別名WEBMASTER,我想用這個(gè)別名下的用戶來管理網(wǎng)站；User_AliasSYSAD=beinanJinuxsir,bnnnb,lanhaitun:NETAD=beinan,bnnb:WEBMASTER=linuxsir注：上面三行的別名定義，能夠通過這一行來實(shí)現(xiàn)，請看前面的講明，是不是符合？Cmnd_AliasUSERMAG=/usr/sbin/adduser,/usr/sbin/userdel,/usr/bin/passwd[A-Za-z]*,/bin/chown,/bin/chmod注意：命令別名下的成員必須是文件或目錄的絕對途徑；Cmnd_AliasDISKMAG=/sbin/fdisk,/sbin/partedCmnd_AliasNETMAG=/sbin/ifconfig,/etc/init.d/networkCmnd_AliasKILL=/usr/bin/killCmnd_AliasPWMAG=/usr/sbin/reboot,/usr/sbin/haltCmnd_AliasSHELLS=/usr/bin/sh,/usr/bin/csh,/usr/bin/ksh,\/usr/local/bin/tcsh,/usr/bin/rsh,\/usr/local/bin/zsh注：這行定義命令別名有點(diǎn)長，能夠通過'號(hào)斷行；Cmnd_AliasSU=/usr/bin/su,/bin,/sbin,/usr/sbin,/usr/bin在上面的例子中，有KILL和PWMAG的命令別名定義，我們能夠合并為一行來寫，也就是等價(jià)行；Cmnd_AliasKILL=/usr/bin/kill:PWMAG=/usr/sbin/reboot,/usr/sbin/halt)4：這一行就代表了KILL和PWMAG命令別名，把KILL和PWMAG的別名定義合并在一行寫也是能夠的；Runas_AliasOP=root,operatorRunas_AliasDBADM=mysql:OP=root,operator注：這行是上面兩行的等價(jià)行；至于怎么理解Runas_Alias,我們必須得通過受權(quán)規(guī)那么的實(shí)例來理解；4、/etc/sudoers中的受權(quán)規(guī)那么:受權(quán)規(guī)那么是分配權(quán)限的執(zhí)行規(guī)那么，我們前面所講到的定義別名主要是為了更方便的受權(quán)引用別名；假如系統(tǒng)中只要幾個(gè)用戶，其實(shí)下放權(quán)限比較有限的話，能夠不用定義別名，而是針對系統(tǒng)用戶直接直接受權(quán)，所以在受權(quán)規(guī)那么中別名并不是必須的；受權(quán)規(guī)那么并不是無章可尋，我們只講基礎(chǔ)一點(diǎn)的，比較簡單的寫法，假如您想具體了解受權(quán)規(guī)那么寫法的，請參看mansudoers受權(quán)用戶主機(jī)二命令動(dòng)作這三個(gè)要素缺一不可，但在動(dòng)作之前可以以指定切換到特定用戶下，在這里指定切換的用戶要用()號(hào)括起來，假如不需要密碼直接運(yùn)行命令的，應(yīng)該加NOPASSWD:參數(shù)，但這些能夠省略；舉例講明；實(shí)例一：beinanALL=/bin/chown,/bin/chmod假如我們在/etc/sudoers中添加這一行，表示beinan能夠在任何可能出現(xiàn)的主機(jī)名的系統(tǒng)中，能夠切換到root用戶下執(zhí)行/bin/chown和/bin/chmod命令，通過sudo-l來查看beinan在這臺(tái)主機(jī)上允許和禁止運(yùn)行的命令；值得注意的是，在這里省略了指定切換到哪個(gè)用戶下執(zhí)行/bin/shown和/bin/chmod命令；在省略的情況下默以為是切換到root用戶下執(zhí)行；同時(shí)也省略了是不是需要beinan用戶輸入驗(yàn)證密碼，假如省略了，默以為是需要驗(yàn)證密碼。為了更具體的講明這些，我們能夠構(gòu)造一個(gè)更復(fù)雜一點(diǎn)的公式；受權(quán)用戶主機(jī)，（切換到哪些用戶或用戶組）n能否需要密碼驗(yàn)證］命令L［（切換到哪些用戶或用戶組）］［能否需要密碼驗(yàn)證］［命令2］,［（切換到哪些用戶或用戶組）］［能否需要密碼驗(yàn)證］［命令3］……注解：但凡口中的內(nèi)容，是能夠省略；命令與命令之間用，號(hào)分隔；通過本文的例子，能夠?qū)φ罩茨男┦鞘÷粤?，哪些地方需要有空格；在［（切換到哪些用戶或用戶組）］，假如省略，那么默以為root用戶；假如是ALL,那么代表能切換到所有用戶；注意要切換到的目的用戶必須用（）號(hào)括起來，比方（ALL）、（beinan）實(shí)例二：beinanALL=(root)/bin/chown,/bin/chmod對應(yīng)的UID為0,從這一點(diǎn)來看，root用戶在系統(tǒng)中是無可替代的至高地位和無限制權(quán)限。root用戶在系統(tǒng)中就是超級(jí)用戶；2、理解UID和用戶的對應(yīng)關(guān)系當(dāng)系統(tǒng)默認(rèn)安裝時(shí)，系統(tǒng)用戶和UID是一對一的對關(guān)系，也就是講一個(gè)UID對應(yīng)一個(gè)用戶。我們知道用戶身份是通過UID來確認(rèn)的，我們在（用戶（user）和用戶組〔group）配置文件詳解）中的UID的講解中有談到"UID是確認(rèn)用戶權(quán)限的標(biāo)識(shí)，用戶登錄系統(tǒng)所處的角色是通過UID來實(shí)現(xiàn)的，而非用戶名；把幾個(gè)用戶共用一個(gè)UID是危險(xiǎn)的，比方我們把普通用戶的UID改為0,和root共用一個(gè)UID,這事實(shí)上就造成了系統(tǒng)管理權(quán)限的混亂。假如我們想用root權(quán)限，能夠通過su或sudo來實(shí)現(xiàn)；切不可隨意讓一個(gè)用戶和root共享同一個(gè)UID；〃在系統(tǒng)中，能不能讓UID和用戶是一對多的關(guān)系？是能夠的,比方我們能夠把一個(gè)UID為0這個(gè)值分配給幾個(gè)用戶共同使用，這就是UID和用戶的一對多的關(guān)系。但這樣做確實(shí)有點(diǎn)危險(xiǎn)；一樣UID的用戶具有一樣的身份和權(quán)限。比方我們在系統(tǒng)中把beinan這個(gè)普通用戶的UID改為。后，事實(shí)上這個(gè)普通用戶就具有了超級(jí)權(quán)限，他的能力和權(quán)限和root用戶一樣；用戶beinan假如我們把第一個(gè)實(shí)例中的那行去掉，換成這行；表示的是beinan能夠在任何可能出現(xiàn)的主機(jī)名的主機(jī)中，能夠切換到root下執(zhí)行/bin/chown,能夠切換到任何用戶招執(zhí)行/bin/chmod命令，通過sudo-l來查看beinan在這臺(tái)主機(jī)上允許和禁止運(yùn)行的命令；實(shí)例三：beinanALL=(root)NOPASSWD:/bin/chown,/bin/chmod所有的操作都將被標(biāo)識(shí)為root的操作，由于beinan的UID為0,而UID為0的用戶是root,是不是有點(diǎn)擾口？可以以理解為UID為0的用戶就是root,root用戶的UID就是0；UID和用戶的一對一的對應(yīng)關(guān)系，只是要求管理員進(jìn)行系統(tǒng)管理時(shí)，所要堅(jiān)守的準(zhǔn)那么，由于系統(tǒng)平安還是第一位的。所以我們還是把超級(jí)權(quán)限保存給root這唯一的用戶是最好的選擇；假如我們不把UID的0值的共享給其它用戶使用，只要root用戶是唯一擁有UID=0的話，root用戶就是唯一的超級(jí)權(quán)限用戶；3、普通用戶和偽裝用戶與超級(jí)用戶相對的就是普通用戶和虛擬〔也被稱為偽裝用戶〕，普通和偽裝用戶都是受限用戶；但為了完成特定的任務(wù)，普通用戶和偽裝用戶也是必須的；Linux是一個(gè)多用戶、多任務(wù)的操作系統(tǒng)，多用戶主要體如今用戶的角色的多樣性,不同的用戶所分配的權(quán)限也不同；這也是Linux系統(tǒng)比Windows系統(tǒng)更為平安的本質(zhì)所在，即便是如今最新版本的Windows2003,也無法抹去其單用戶系統(tǒng)的烙?。欢?jí)用戶〔權(quán)限）在系統(tǒng)管理中的作用超級(jí)權(quán)限用戶〔UID為。的用戶）到底在系統(tǒng)管理中起什么作用呢？主要表如今下面兩點(diǎn)；1、對任何文件、目錄或進(jìn)程進(jìn)行操作；但值得注意的是這種操作是在系統(tǒng)最高許可范圍內(nèi)的操作;有些操作就是具有超級(jí)權(quán)限的root也無法完成；比方/proc目錄，/proc是用來反響系統(tǒng)運(yùn)行的實(shí)時(shí)狀態(tài)信息的，因而即使是root也無能為力；它的權(quán)限如下[root@localhost~]#pwd/root[root@localhost~]#cd/[root@localhost/]#ls-ld/proc/dr-xr-xr-xl34rootroot02005-10-27/proc/就是這個(gè)目錄，只能是讀和執(zhí)行權(quán)限，但絕對沒有寫權(quán)限的;就是我們把/proc目錄的寫權(quán)限翻開給root,root用戶也是不能進(jìn)行寫操作；[root@localhost~]#chmod755/proc[root@localhost/]#ls-ld/proc/drwxr-xr-xl34rootroot02005-10-27/proc/[root@localhost/]#cd/proc/[root@localhostproc]#mkdirtestdirmkdir:無法創(chuàng)立目錄弋estdi已沒有那個(gè)文件或目錄2、對于涉及系統(tǒng)全局的系統(tǒng)管理；硬件管理、文件系統(tǒng)理解、用戶管理以及涉及到的系統(tǒng)全局配置等等……假如您執(zhí)行某個(gè)命令或工具時(shí)，提示您無權(quán)限,大多是需要超級(jí)權(quán)限來完成；比方用adduser來添加用戶，這個(gè)只能用通過超級(jí)權(quán)限的用戶來完成；3、超級(jí)權(quán)限的不可替代性；由于超級(jí)權(quán)限在系統(tǒng)管理中的不可缺少的重要作用，為了完成系統(tǒng)管理任務(wù)，我們必須用到超級(jí)權(quán)限；在一般情況下,為了系統(tǒng)平安，對于一般常規(guī)級(jí)別的應(yīng)用，不需要root用戶來操作完成，root用戶只是被用來管理和維護(hù)系統(tǒng)之用；比方系統(tǒng)日志的查看、清理，用戶的添加和刪除……在不涉及系統(tǒng)管理的工作的環(huán)境下，普通用戶足能夠完成,比方編寫一個(gè)文件，聽聽音樂；用gimp處理一個(gè)圖片等……基于普通應(yīng)用程序的調(diào)用，大多普通用戶就能夠完成;當(dāng)我們以普通權(quán)限的用戶登錄系統(tǒng)時(shí)，有些系統(tǒng)配置及系統(tǒng)管理必須通過超級(jí)權(quán)限用戶完成，比方對系統(tǒng)日志的管理,添加和刪除用戶。而怎樣才能不直接以root登錄，卻能從普通用戶切換到root用戶下才能進(jìn)行操作系統(tǒng)管理需要的工作，這就涉及到超級(jí)權(quán)限管理的問題；獲取超級(jí)權(quán)限的經(jīng)過，就是切換普通用戶身份到超級(jí)用戶身份的經(jīng)過；這個(gè)經(jīng)過主要是通過su和sudo來解決；三、使用su命令臨時(shí)切換用戶身份；1、SU的適用條件和威力SU命令就是切換用戶的工具，怎么理解呢？比方我們以普通用戶beinan登錄的，但要添加用戶任務(wù)，執(zhí)行useradd,beinan用戶沒有這個(gè)權(quán)限，而這個(gè)權(quán)限恰恰由root所擁有。解決辦法無法有兩個(gè)，一是退出beinan用戶，重新以root用戶登錄,但這種方法并不是最好的;二是我們沒有必要退出beinan用戶，能夠用su來切換到root下進(jìn)行添加用戶的工作，等任務(wù)完成后再退出root。我們能夠看到當(dāng)然通過su切換是一種比較好的方法；通過su能夠在用戶之間切換，假如超級(jí)權(quán)限用戶root向普通或虛擬用戶切換不需要密碼，什么是權(quán)利？這就是！而普通用戶切換到其它任何用戶都需要密碼驗(yàn)證；2、su的用法：su[OPTION選項(xiàng)參數(shù)][用戶]-,-l,-login登錄并改變到所切換的用戶環(huán)境；-c,-commmand=COMMAND執(zhí)行一個(gè)命令，然后退出所切換到的用戶環(huán)境；至于更具體的，請參看mansu；3、su的范例：su在不加任何參數(shù)，默以為切換到root用戶，但沒有轉(zhuǎn)到root用戶家目錄下,也就是講這時(shí)固然是切換為root用戶了,但并沒有改變r(jià)oot登錄環(huán)境；用戶默認(rèn)的登錄環(huán)境，能夠在/etc/p