搜索到
6
篇与
linux权限管理
的结果
-
centos6.7的sudo配置 centos6.7的sudo配置su全称,switch user,su可以切换用户,su的切换分为两种,登录式切换和非登录式切换,读取的配置文件也有所不同!一般情况下,su是切换用户,但是一般情况下我们使用的是普通用户,如果管理登录是相当危险的,但是我们又需要root权限,又不能固定持久切换,sudo则可以以普通用户自己的身份,在执行的时候,可临时切换管理员管理身份执行命令,命令结束退回普通用户!sudo功用如下:1,授权指定用户在指定主机上运行指定的管理命令2,详细记录用户基于sudo执行的命令相关日志信息,相当于审计3,用户第一次执行sudo,输入密码,验证成功后,用户会获得一个有固定存活时长的令牌,再次执行则无需输入密码,有时效性,相当于检票系统sudo借助于/etc/sudoers定义哪些用户可以执行管理类操作!<----授权文件(只有管理员才可以编辑)visudo可以编辑并且检查语法,但是vim是可以语法着色,如何操作可随感觉走在这个文件中文件定义如下:/etc/sudoers:别名定义:#当一条命令被频繁调用,不同用户组调用,则使用别名来定义User_Aliads:用户别名User_Alias NAME = item...item:用户名,%组名,#UID,$#GID,User_AliasHost_Aliads:主机别名Host_Alias Name = item ...item:hostname ,ip,network,HostAliasRunas_Alias:以谁的身份运行Runas_Alias,和User_Alias区别不大!ALL:所有用户Runas_Alias NAME = items,items....Cmnd_Alias:命令别名Comd_Alias NAME = items...item:命令,目录(目录下所有命令) ,“sudoedit” (sudo编辑文件)Cmmd_Alias注意:别名必须使用全大写字符!sudo授权:#定义格式,用户->主机->命令一,别名定义如:让mark用户,运行useradd命令!<p> 1,编译文件</p><p> </p>sudo选项:-l :查看当前用户可执行命令<p> 如下:</p><p> </p>-u USERNAME COMMAND:以指定用户身份来执行命令-k:清楚令牌,清楚5分钟内的令牌-b COMMAND:在后台运行指定的COMMAND-e /path/to/somefile:修改指定的文件如果有多个用户都需要一样的授权!则先定义别名:二,用户别名创建一个用户,将用户添加至组中,而后在visodo中定义USERADMIN组,或ID号,或用户允许有创建用户权限#User_Alias 用户别名为USERADMIN = mark用户,%admin组,#500ID的用户有创建用户的权限USERADMIN ALL=(root) /usr/sbin/useradd我们切换到fedora查看下是否有/usr/sbin/useradd三,主机别名定义:用户来自192.168.233.1能够执行/usr/sbin/useradd /usr/sbin/userdel四,Cmnd别名五,其他###########################7如果不期望登录root账号,我们期望mark账号来执行管理员的任意命令,则可以修改如下; -
文件的特殊权限 文件的特殊权限:安全上下文: 1、进程以某用户的身份运行;进程是发起此进程的用户代理,其以对应用户身份完成所需的操作; 2、权限匹配模型: (1) 进程的属主,是否是被访问的资源的属主;如果是,则应用属主权限; (2) 否则,查看进程的属主,是否属于被访问资源的属组;如果是,则应用属组权限; (3) 否则,则应用其它权限;特殊权限:suid 展示于文件属主的执行权限位: 如果属主本来有执行权限,则展示为s;否则,展示为S;功用:对于一个可执行文件来讲,任何用户运行此程序为进程时,进程的属主不再是发起者本人,而可执行程序文件自己的属主;管理文件SUID权限的方法: chmod u+|-s FILE... 演示过程:: 我在mark用户下cat/etc/shadow文件是没有权限的 [mark@localhost root]$ ls -l /bin/cat -rwxr-xr-x. 1 root root 48568 Oct 14 21:51 /bin/cat [mark@localhost root]$ cat /etc/shadow cat: /etc/shadow: Permission denied [mark@localhost root]$ 此时,我用root将/bin/cat cp到/tmp/cat,是可执行的 [root@localhost ~]# cp /bin/cat /tmp/cat [root@localhost ~]# /tmp/cat /etc/shadow root:$1$fsqOhL/U$DSUV4c13OGBzZpDY/vK29/:16529:0:99999:7::: bin:*:15980:0:99999:7::: daemon:*:15980:0:99999:7::: adm:*:15980:0:99999:7::: lp:*:15980:0:99999:7::: sync:*:15980:0:99999:7::: shutdown:*:15980:0:99999:7:: 然后,我在root用户下给/tmp/cat添加s权限位 [root@localhost ~]# chmod u+s /tmp/cat [root@localhost ~]# ll /tmp/cat -rwsr-xr-x. 1 root root 48568 Apr 10 03:07 /tmp/cat [root@localhost ~]#此时,我在用mark用户cat /etc/shadow文件 [mark@localhost root]$ /tmp/cat /etc/shadow root:$1$fsqOhL/U$DSUV4c13OGBzZpDY/vK29/:16529:0:99999:7::: bin:*:15980:0:99999:7::: daemon:*:15980:0:99999:7::: adm:*:15980:0:99999:7::: lp:*:15980:0:99999:7::: sync:*:15980:0:99999:7::: shutdown:*:15980:0:99999:7::: halt:*:15980:0:99999:7::: mail:*:15980:0:99999:7::: uucp:*:15980:0:99999:7::: operator:*:15980:0:99999:7:::此时,mark用户在使用cat命令是,已经不再是已mark的身份,而是root用户。 尽管如何,普通用户还是无法更改其他用户的权限的。如果文件原本有执行权限,则是小s,如果没有则是大s特殊权限:sgid 展示于文件属组的执行权限位; 如果属组本来有执行权限,则展示为s;否则,展示为S;功用:当目录属组有写权限,且有sgid权限时,那么所有属于此目录的属组,且以属组身份在此目录新建文件或目录时,新文件或目录的属组不是创建者所属的基本组,而是目录自己的属组;chmod g+|-s FILE...演示过程: 创建两个用户, [root@localhost ~]# useradd gentoo1 [root@localhost ~]# useradd mageia [root@localhost ~]# [gentoo1@localhost root]$ cd /var/tmp/ [gentoo1@localhost tmp]$ touch a.gentoo1 [gentoo1@localhost tmp]$ ll total 0 -rw-rw-r--. 1 gentoo1 gentoo1 0 Apr 10 03:21 a.gentoo1 [gentoo1@localhost tmp]$ ls [mageia@localhost root]$ cd /var/tmp/ [mageia@localhost tmp]$ touch a.mageia [mageia@localhost tmp]$ ll total 0 -rw-rw-r--. 1 gentoo1 gentoo1 0 Apr 10 03:21 a.gentoo1 -rw-rw-r--. 1 mageia mageia 0 Apr 10 03:21 a.mageia [mageia@localhost tmp]$ [root@localhost ~]# useradd gentoo1 [root@localhost ~]# useradd mageia [root@localhost ~]# mkdir /var/tmp/test [root@localhost ~]# chown :mark /var/tmp/test/ [root@localhost ~]# ls -ld /var/tmp/test/ drwxr-xr-x. 2 root mark 4096 Apr 10 03:22 /var/tmp/test/ [root@localhost ~]# chmod g+w /var/tmp/test/ [root@localhost ~]# ls -ld /var/tmp/test/ drwxrwxr-x. 2 root mark 4096 Apr 10 03:22 /var/tmp/test/ [root@localhost ~]# usermod -a -G mark mageia [root@localhost ~]# usermod -a -G mark gentoo1 [root@localhost ~]# id mageia uid=503(mageia) gid=503(mageia) groups=503(mageia),500(mark) [root@localhost ~]# id gentoo1 uid=501(gentoo) gid=501(gentoo1) groups=501(gentoo1),500(mark) [root@localhost ~]#退出再切换至mageia [mageia@localhost tmp]$ exit exit [root@localhost ~]# su mageia [mageia@localhost root]$ cd /var/tmp/ [[mageia@localhost test]$ touch a.gentoo [mageia@localhost test]$ ll total 0 -rw-rw-r--. 1 mageia mageia 0 Apr 10 03:33 a.gentoo [mageia@localhost test]$ 63.22 退出再切换至gentoo1 [gentoo1@localhost test]$ exit exit [root@localhost ~]# su gentoo1 [gentoo1@localhost root]$ cd /var/tmp/test/ [gentoo1@localhost test]$ touch a.gentoo1 [gentoo1@localhost test]$ ll total 0 -rw-rw-r--. 1 mageia mageia 0 Apr 10 03:33 a.gentoo -rw-rw-r--. 1 gentoo1 gentoo1 0 Apr 10 03:37 a.gentoo1 [gentoo1@localhost test]$当某一个用户已组上的权限来访问这个目录创建文件时,属主仍然是自身,而属组则是目录的属组 [root@localhost ~]# chmod g+s /var/tmp/test/ [root@localhost ~]# ll -ld /var/tmp/test/ drwxrwsr-x. 2 root mark 4096 Apr 10 03:42 /var/tmp/test/ [root@localhost ~]#退出再切换至mageia [mageia@localhost test]$ touch b.mageia [mageia@localhost test]$ ll total 4 -rw-rw-r--. 1 mageia mageia 14 Apr 10 03:42 a.gentoo1 -rw-rw-r--. 1 mageia mageia 0 Apr 10 03:41 a.mageia -rw-rw-r--. 1 mageia mark 0 Apr 10 03:47 b.mageia [mageia@localhost test]$再切换至gentoo1 [gentoo1@localhost test]$ touch b.gentool [gentoo1@localhost test]$ ll total 4 -rw-rw-r--. 1 mageia mageia 14 Apr 10 03:42 a.gentoo1 -rw-rw-r--. 1 mageia mageia 0 Apr 10 03:41 a.mageia -rw-rw-r--. 1 gentoo1 mark 0 Apr 10 03:48 b.gentool -rw-rw-r--. 1 mageia mark 0 Apr 10 03:47 b.mageia [gentoo1@localhost test]$与此同时是两个用户都可以删除对方文件。 由此,我们希望这个用户可以创建文件,可以编辑文件,可以删除自己的文件,但不能删除别人的文件: 特殊权限:sticky 特殊权限:sticky 展示于目录其它用户的执行权限位; 如果其它用户本来有执行权限,则展示为t;否则,展示为T;功用: 对于全局可写,或某组全局可写目录,所有用户都于此目录创建文件或删除自己为属主的那些文件,但不能删除非自己为属主文件或目录;chmod o+|-t FILE...[root@localhost /]# chmod o+t /var/tmp/test/ [root@localhost /]# ll -ld /tmp/test/ drwxrwsr-t. 2 root mark 4096 Apr 10 08:00 /tmp/test/[gentoo1@localhost test]$ ll total 0 -rw-rw-r--. 1 mageia mark 0 Apr 10 08:08 1.megeia -rw-rw-r--. 1 gentoo1 mark 0 Apr 10 07:59 2.gentoo1 [gentoo1@localhost test]$ rm 1.megeia rm: cannot remove `1.megeia': Operation not permitted [gentoo1@localhost test]$ rm 2.gentoo1 [gentoo1@localhost test]$ [mageia@localhost test]$ rm 2.gentoo1 rm: cannot remove `2.gentoo1': Operation not permitted [mageia@localhost test]$ rm 1.megeia [mageia@localhost test]$ sst八进制: 000 0 001 1 010 2 011 3 100 4 101 5 110 6 111 7chmod 6664 file chmod 1775 dirumask 0002
-
linux-man命令的基本使用技巧 type 判断内部外部命令内置命令bash自带的:help外部命令有路径的usr/share/man/manman配置的使用技巧先看man的章节命令手册章节 1,用户命令 2,系统调用,system call 3,库调用,library call 4,设备文件 5,配置文件 6,游戏 7,杂项 8,管理命令使用whatis匹配关键字,根据关键字选择,章节,man精确匹配命令 whatis+命令:显示指定关键字存在帮助手册的章节相关信息和简单说明 [root@localhost ~]# whatis passwd passwd (1) - update user's authentication tokens passwd (5) - password file passwd [sslpasswd] (1ssl) - compute password hashes [root@localhost ~]# 模糊匹配 模糊匹配方式显示指定的关键字的描述信息中存在帮助手册相关信息 [root@localhost ~]# man -k passwd chpasswd (8) - update passwords in batch mode fgetpwent_r [getpwent_r] (3) - get passwd file entry reentrantly getpwent_r (3) - get passwd file entry reentrantly gpasswd (1) - administer /etc/group and /etc/gshadow htpasswd (1) - Manage user files for basic authentication lpasswd (1) - Change group or user password lppasswd (1) - add, change, or delete digest passwords pam_localuser (8) - require users to be listed in /etc/passwd pam_passwdqc (8) - Password quality-control PAM module passwd (1) - update user's authentication tokens passwd2des [xcrypt] (3) - RFS password encryption passwd (5) - password file passwd [sslpasswd] (1ssl) - compute password hashes saslpasswd2 (8) - set a user's sasl password smbpasswd (5) - The Samba encrypted password file smbpasswd (8) - change a users SMB password userpasswd (1) - A graphical tool to allow users to change their passwords [root@localhost ~]#man命令借助less命令查看文件内容法则 还有几个命令: info:获取在线文档 changelog:更新日志 install:安装说明 README:程序说明信息 www.redhat.com/docs 官方文档
-
详解:Umask:权限遮罩码 Umask:权限遮罩码:如果没有umask,创建的文件是777的,目录也是。而又umask机制以后,创建文件时不会带来太大的风险,限制其他用户或目录的权限来达到安全授权的目的umask具体说明:在root用户下:当我们在创建文件时:权限为644[root@bogon tmp]# vim /tmp/wenjian1.txt[root@bogon tmp]# ll /tmp/wenjian1.txt-rw-r--r--. 1 root root 6 Apr 1 06:16 /tmp/wenjian1.txt当我们在创建文件时,权限时755[root@bogon tmp]#mkdir /tmp/wenjian2[root@bogon tmp]# lldrwxr-xr-x. 2 root root 4096 Apr 1 06:16 wenjian2 我们切换mark用户,同样操作创建文件权限时:664[mark@bogon tmp]$ vim mark1.txt[mark@bogon tmp]$ ll mark1.txt-rw-rw-r--. 1 mark mark 6 Apr 1 06:22 mark1.txt创建目录权限:775[mark@bogon tmp]$ mkdir mark2[mark@bogon tmp]$lldrwxrwxr-x. 2 mark mark 4096 Apr 1 06:22 mark2 对于root用户而言[root@bogon ~]# umask0022[root@bogon ~]#从后三位来看,是022 Mark用户:[mark@bogon tmp]$ umask0002[mark@bogon tmp]$如果没有umask,创建的文件是777的,目录也是。而又umask机制以后,创建文件时不会带来太大的风险,限制其他用户或目录的权限来达到安全授权的目的umask umask它存在的作用它能让文件实现:创建一个文件是:666-umask这就是为什么管理员的到的是666-022=644创建一个目录:;777-mask 777-022=755Mark用户也一样。 另外,如果用户UID和GID不一样的话,也不会遵循此法则。Umask是和管理员同样的。 Umask是可修改的,umask跟三位数字注意:如果减得的结束中存在x权限(执行权限),则对应用户类别的八进制权限+1因为对linux而言,默认是不准文件有执行权限的,所以,不允许其具有这样的权限另外,umask的修改设置只对当前shell进程有效
-
详解chmod/chown操作某类用户的某位或某些位权限 修改mode:Chmod命令:操作三类用户权限:使用八进制数字chmod [-R] OCTAL-MODE FILE... -R: 递归修改;rwx: r-x, r--, -w-, --x--- 000 0--x 001 1-w- 010 2-wx 011 3r—100 4r-x 101 5rw- 110 6rwx 111 7操作指定类别用户的权限:=PS:仍然可以执行-r递归(依次传递到文件夹下的所有文件),但这种操作不太多,因为文件一般没有执行权限,如果文件有执行权限将不再安全,而目录如果没有执行权限将无法cd进目录。当然,你可以-r递归取消权限。u=, g=, oug=, a= ug实例;[root@bogon ~]# ll /tmp/mytest.txt-rw-r--r--. 1 root root 828 Mar 26 20:55 /tmp/mytest.txtYou have new mail in /var/spool/mail/root[root@bogon ~]# chmod ug=rw /tmp/mytest.txt[root@bogon ~]# ll /tmp/mytest.txt-rw-rw-r--. 1 root root 828 Mar 26 20:55 /tmp/mytest.txt[root@bogon ~]# O=实例:[root@bogon ~]# ll /tmp/mytest.txt-rw-rw-r--. 1 root root 828 Mar 26 20:55 /tmp/mytest.txt[root@bogon ~]# chmod o= /tmp/mytest.txt[root@bogon ~]# ll /tmp/mytest.txt-rw-rw----. 1 root root 828 Mar 26 20:55 /tmp/mytest.txt[root@bogon ~]# A=实例:[root@bogon ~]# chmod a=w /tmp/mytest.txt[root@bogon ~]# ll /tmp/mytest.txt--w--w--w-. 1 root root 828 Mar 26 20:55 /tmp/mytest.txt[root@bogon ~]#操作某类用户的某位或某些位权限:+|-u+, g+, o+u-, g-, o- o实例:[root@bogon ~]# chmod o-r /tmp/mytest.txt[root@bogon ~]# ll /tmp/mytest.txt-rw-rw----. 1 root root 828 Mar 26 20:55 /tmp/mytest.txt[root@bogon ~]#-权限[root@bogon ~]# ll /tmp/mytest.txt-rwxrwxrwx. 1 root root 828 Mar 26 20:55 /tmp/mytest.txt[root@bogon ~]# chmod g-w,o-w,u-w /tmp/mytest.txt[root@bogon ~]# ll /tmp/mytest.txt-r-xr-xr-x. 1 root root 828 Mar 26 20:55 /tmp/mytest.txt[root@bogon ~]# PS:在9位字符串中,每三位为一组,从左到右分别为u,g,o,a表示所有,如果不填写u,g,o,直接=权限字符,则默认a 引用性修改;--reference(参考性引用)=/PATH/TO/SOMEFILE 例:[root@bogon tmp]# ll mytest3.txt-rw-r--r--. 1 root root 6 Apr 1 05:32 mytest3.txt[root@bogon tmp]# ll mytest.txt-r-xr-xr-x. 1 root root 828 Mar 26 20:55 mytest.txt[root@bogon tmp]# chmod --reference=mymylinux/ mytest1.txt/ mytest3.txt mytest.txt[root@bogon tmp]# chmod --reference=mytest.txt mytest3.txt[root@bogon tmp]# ll mytest3.txt-r-xr-xr-x. 1 root root 6 Apr 1 05:32 mytest3.txt[root@bogon tmp]# ll mytest.txt-r-xr-xr-x. 1 root root 828 Mar 26 20:55 mytest.txt[root@bogon tmp]# Chown和chgrpPS:Chown又能改属组也能改属主,同时支持-r, --reference当我们给一个用户读某些文件时,其组不再root用户中,如果修改右三位权限给次文件,那么其他任何用户将对此文件有读写权限。所以这种改法是相当危险的,通常情况下我们会把这个文件的属主改成其用户,让属主来实现读权限 [root@bogon tmp]# ll mytest.txt-r-xr-xr-x. 1 root root 828 Mar 26 20:55 mytest.txt[root@bogon tmp]# chown mark mytest.txt[root@bogon tmp]# ll mytest.txt-r-xr-xr-x. 1 mark root 828 Mar 26 20:55 mytest.txt[root@bogon tmp]# -r, -reference不再演示同时改属主属组[root@bogon tmp]# chown mark:mark mytest.txt[root@bogon tmp]# ll mytest.txt-r-xr-xr-x. 1 mark mark 828 Mar 26 20:55 mytest.txt[root@bogon tmp]#只改属组[root@bogon tmp]# chown :mark mytest.txt[root@bogon tmp]# ll mytest.txt-r-xr-xr-x. 1 root mark 828 Mar 26 20:55 mytest.txt[root@bogon tmp]#
