linux用戶權(quán)限管理.ppt

1、用戶權(quán)限管理,掌握用于權(quán)限管理的常用命令 掌握用戶權(quán)限管理的常用設(shè)置,第2頁，共20頁,權(quán)限管理,修改文件所有者和所屬組 命令：chown 命令格式：chown -R 用戶名:組名 文件 -R : 遞歸式修改，可修改目錄下的所有內(nèi)容 示例：chown user1 file1 示例：chown user1:group1 file1 示例：chown R user1 dir1,第3頁，共20頁,權(quán)限管理,修改文件所有者和所屬組 命令：chgrp 命令格式：chgrp 組名 文件 示例：chgrp group1 file1 示例: chgrp R group1 dir1 chown和chgrp的使用

2、場合： 普通用戶沒有改變他人文件所有者屬性的權(quán)限 普通用戶沒有改變自己文件所有者屬性的權(quán)限。 只有系統(tǒng)管理者(root)才有這樣的權(quán)限。,第4頁，共20頁,權(quán)限管理,修改文件權(quán)限屬性 命令：chmod 格式：chmod u|g|o|a+|-|=rwx 文件 格式：chmod nnn(數(shù)字組合) 文件 示例：chmod u+x file1 示例：chmod 777 dir1,第5頁，共20頁,權(quán)限管理,關(guān)于目錄權(quán)限 實驗1:驗證目錄的rwx權(quán)限 實驗2: 將root創(chuàng)建的目錄dir1權(quán)限設(shè)為777,在dir1下創(chuàng)建一個文件file1，問：file1所屬的用戶和組是什么？普通用戶user1能刪除這

3、個文件嗎？,第6頁，共20頁,權(quán)限管理,默認(rèn)權(quán)限 umask命令:設(shè)置顯示創(chuàng)建文件或目錄時的默認(rèn)權(quán)限 umask 顯示默認(rèn)權(quán)限掩碼值 umask S 顯示權(quán)限值 umask nnn(掩碼值) 設(shè)置默認(rèn)權(quán)限 umask值的設(shè)置 使用umask命令設(shè)置umask值后，重新登錄shell時，所做設(shè)置失效。 如需對所有用戶設(shè)置，可修改/etc/bashrc，如需對某個用戶設(shè)置，可修改該用戶主目錄下的.bashrc文件。,例子（文件或目錄）,第7頁，共20頁,在默認(rèn)權(quán)限的屬性上，目錄與文件是不一樣的 由于不希望文件具有可執(zhí)行的權(quán)力，默認(rèn)情況中，文件是沒有可執(zhí)行（x）權(quán)限的。 若用戶建立為”文件”，則默認(rèn)

4、“沒有可執(zhí)行（x）項目”，即只有rw這兩個項目，也就是最大為666分，默認(rèn)屬性如下：-rw-rw-rw- 若用戶建立為”目錄”，則由于x與是否可以進入此目錄有關(guān)，因此默認(rèn)為所有權(quán)限均開放，即為777分，默認(rèn)屬性如下：drwxrwxrwx,第8頁，共20頁,計算方法,umask 0022 文件的默認(rèn)權(quán)限： 666-022=644 rw- rw- rw- (-) - -w- -w- =rw- r- r- 目錄的默認(rèn)權(quán)限： 777-022=755 rwx rwx rwx (-) - -w- -w- =rwx r-x r-x,第9頁，共20頁,計算方法,umask 0033 文件的默認(rèn)權(quán)限： 666-

5、033=633 rw-rw-rw- (-) - -wx -wx 目錄的默認(rèn)權(quán)限： 777-033=744 rwxrwxrwx (-) - -wx -wx,第10頁，共20頁,權(quán)限管理,特殊權(quán)限 setUid (設(shè)置用戶id位) : 對應(yīng)符號s 為什么普通用戶可以使用passwd設(shè)置自己的密碼從而修改只有root才擁有的寫權(quán)限的/etc/passwd。 當(dāng)一個程序一旦設(shè)置了該標(biāo)記以后,運行該程序的用戶將擁有該程序所有者同樣的權(quán)限。 設(shè)置可執(zhí)行文件的s位: chmod u+s|4xxx file 示例：設(shè)置/bin/touch的s位 ；設(shè)置vi的s位 注意：這個權(quán)限位是針對可執(zhí)行文件而言的,第11

6、頁，共20頁,權(quán)限管理,特殊權(quán)限 setUid (設(shè)置用戶id位) : 對應(yīng)符號s 例子 which vi ls l /bin/vi su yue vi /etc/shadow (deny) su - chmod 4755 /bin/vi或chmod u+s /bin/vi su yue vi /etc/shadow (permit) 取消VI的設(shè)置用戶id位,自己動手,注意passwd命令的權(quán)限,第12頁，共20頁,權(quán)限管理,特殊權(quán)限 setGid ( 設(shè)置組id位 ) 運行該程序?qū)碛性摮绦蛩鶎俳M同樣的權(quán)限。 設(shè)置方法：chmod g+s|2xxx file,第13頁，共20頁,權(quán)限管理,

7、特殊權(quán)限 例子： su yue ls l /root 顯示的結(jié)果？ 切換到root用戶 chmod g+s ls（可能要出現(xiàn)錯誤，思考解決的方法） 切換到y(tǒng)ue用戶 ls l /root 顯示的結(jié)果？ 取消所設(shè)的權(quán)限,注意ls命令和目錄root的權(quán)限 chmod g+s ls,第14頁，共20頁,權(quán)限管理,特殊權(quán)限 sticky (粘著位) : 對應(yīng)符號t 當(dāng)一個目錄被設(shè)置為“粘著位”時，則該目錄下的文件只能由以下用戶才能刪除 root 該目錄的所有者 設(shè)置目錄的t位: chmod +t|1xxx dir 示例： /tmp目錄 設(shè)置權(quán)限為777的目錄的t位，測試刪除 注意：這個權(quán)限位是針對目錄

8、而言的。,演示,第15頁，共20頁,權(quán)限管理,sudo(superuser do)指令 讓用戶以另一種身份(通常是以root身份)執(zhí)行某些規(guī)定的命令(命令可精確到選項)。 當(dāng)用戶執(zhí)行sudo時，會查找/etc/sudoers文件，以判斷用戶是否有執(zhí)行sudo的權(quán)力 執(zhí)行sudo時需要輸入用戶自身的密碼 與su命令的區(qū)別 sudo 授權(quán)許可使用的su，也是受限制的su,第16頁，共20頁,權(quán)限管理,針對每個管理員的技術(shù)特長和管理范圍，并且有針對性的下放給權(quán)限，并且約定其使用哪些工具來完成與其相關(guān)的工作 通過sudo，我們能把某些超級權(quán)限有針對性的下放，并且不需要普通用戶知道root密碼，所以su

9、do 相對于權(quán)限無限制性的su來說，還是比較安全的. sudo 執(zhí)行命令的流程是當(dāng)前用戶切換到root（或其它指定切換到的用戶），然后以root（或其它指定的切換到的用戶）身份執(zhí)行命令，執(zhí)行完成后，直接退回到當(dāng)前用戶；而這些的前提是要通過sudo的配置文件/etc/sudoers來進行授權(quán),第17頁，共20頁,vi sudo指令,編輯/etc/sudoers文件 可以用專用編輯工具visodu（或vi /etc/sudoers） ，此工具的好處是在添加規(guī)則不太準(zhǔn)確時，保存退出時會提示給我們錯誤信息 用戶 主機=(用戶身份) 命令 beinan ALL=（root）/bin/chown,/bin

10、/chmod 如果在/etc/sudoers 中添加這一行，表示beinan用戶可以在任何可能出現(xiàn)的主機名的系統(tǒng)中，可以切換到root用戶下執(zhí)行 /bin/chown 和/bin/chmod 命令 通過sudo -l 來查看beinan 在這臺主機上允許和禁止運行的命令； username ALL=(ALL) ALL,第18頁，共20頁,批量增加用戶,使用shell腳本 腳本中使用useradd和passwd命令 如何解決交互式輸入密碼的問題 passwd username stdin echo 密碼|passwd username stdin 使用newusers和chpasswd工具 1、

11、創(chuàng)建類似于/etc/passwd的文本文件user.txt 2、使用命令: newusers user.txt 3、使用命令：pwunconv 取消shadow功能 4、創(chuàng)建 “用戶名:密碼” 格式的文本文件pass.txt 5、使用命令：chpasswd pass.txt 6、使用命令：pwconv啟動shadow功能,第19頁，共20頁,磁盤配額,磁盤配額 ( quota ) 對用戶|組設(shè)置硬盤容量限制 使用情形：www服務(wù)器的網(wǎng)頁空間容量限制；郵件服務(wù)器的郵箱空間容量限制 注意:磁盤配額是針對整個分區(qū)的且只對root無效。 磁盤配額限制內(nèi)容 最低限制 ( soft ) : 用戶在一段時間

12、 (寬限時間 )內(nèi)可以超過最低限制的容量，但必須在寬限時間內(nèi)將磁盤容量降到最低限制的容量范圍之內(nèi)。 最高限制 ( hard ) : “絕對不能超過”的容量，這個值應(yīng)該比最低限制的值大。 配置實例：qgroup ( quser1 , quser2 ),第20頁，共20頁,磁盤配額,步驟1：文件系統(tǒng)啟動磁盤配額支持 在/etc/fstab的選項字段設(shè)置啟動quota 在第四個字段添加usrquota,grpquota 重新載入文件系統(tǒng) 運行mount a重新載入文件系統(tǒng) 查看/etc/mtab文件，看文件系統(tǒng)是否載入，是否啟動磁盤配。,第21頁，共20頁,磁盤配額,步驟2：掃描文件系統(tǒng)的用戶使用情況 使用命令：quotacheck avug mountpoint -a : 掃描/etc/fstab中所有設(shè)置了quota的分區(qū) -v : 顯示過程 -u : 針對用戶掃描文件系統(tǒng) -g : 針對組掃描文件系統(tǒng) 該命令會在分區(qū)根目錄下生成磁盤配額記錄文件 : aquota.user 、 aquota.group 步驟3：啟動磁盤配額 使用命令：quotaon avug,第22頁，共20頁,磁盤配額,步驟4：編輯磁盤配額限制值 使用命令：edquota -ugpt 用戶或組 -u : 配置用