linux用户权限管理

用户权限管理,掌握用于权限管理的常用命令掌握用户权限管理的常用设置,第2页，共20页,权限管理,修改文件所有者和所属组命令：chown命令格式：chown-R用户名:组名文件-R:递归式修改，可修改目录下的所有内容示例：chownuser1file1示例：chownuser1:group1file1示例：chownRuser1dir1,第3页，共20页,权限管理,修改文件所有者和所属组命令：chgrp命令格式：chgrp组名文件示例：chgrpgroup1file1示例:chgrpRgroup1dir1chown和chgrp的使用场合：普通用户没有改变他人文件所有者属性的权限普通用户没有改变自己文件所有者属性的权限。只有系统管理者(root)才有这样的权限。,第4页，共20页,权限管理,修改文件权限属性命令：chmod格式：chmodu|g|o|a+|-|=rwx文件格式：chmodnnn(数字组合)文件示例：chmodu+xfile1示例：chmod777dir1,第5页，共20页,权限管理,关于目录权限实验1:验证目录的rwx权限实验2:将root创建的目录dir1权限设为777,在dir1下创建一个文件file1，问：file1所属的用户和组是什么？普通用户user1能删除这个文件吗？,第6页，共20页,权限管理,默认权限umask命令:设置显示创建文件或目录时的默认权限umask显示默认权限掩码值umaskS显示权限值umasknnn(掩码值)设置默认权限umask值的设置使用umask命令设置umask值后，重新登录shell时，所做设置失效。如需对所有用户设置，可修改/etc/bashrc，如需对某个用户设置，可修改该用户主目录下的.bashrc文件。,例子（文件或目录）,第7页，共20页,在默认权限的属性上，目录与文件是不一样的由于不希望文件具有可执行的权力，默认情况中，文件是没有可执行（x）权限的。若用户建立为”文件”，则默认“没有可执行（x）项目”，即只有rw这两个项目，也就是最大为666分，默认属性如下：-rw-rw-rw-若用户建立为”目录”，则由于x与是否可以进入此目录有关，因此默认为所有权限均开放，即为777分，默认属性如下：drwxrwxrwx,第8页，共20页,计算方法,umask0022文件的默认权限：666-022=644rw-rw-rw-(-)-w-w-=rw-r-r-目录的默认权限：777-022=755rwxrwxrwx(-)-w-w-=rwxr-xr-x,第9页，共20页,计算方法,umask0033文件的默认权限：666-033=633rw-rw-rw-(-)-wx-wx目录的默认权限：777-033=744rwxrwxrwx(-)-wx-wx,第10页，共20页,权限管理,特殊权限setUid(设置用户id位):对应符号s为什么普通用户可以使用passwd设置自己的密码从而修改只有root才拥有的写权限的/etc/passwd。当一个程序一旦设置了该标记以后,运行该程序的用户将拥有该程序所有者同样的权限。设置可执行文件的s位:chmodu+s|4xxxfile示例：设置/bin/touch的s位；设置vi的s位注意：这个权限位是针对可执行文件而言的,第11页，共20页,权限管理,特殊权限setUid(设置用户id位):对应符号s例子whichvilsl/bin/visuyuevi/etc/shadow(deny)su-chmod4755/bin/vi或chmodu+s/bin/visuyuevi/etc/shadow(permit)取消VI的设置用户id位,自己动手,注意passwd命令的权限,第12页，共20页,权限管理,特殊权限setGid(设置组id位)运行该程序将拥有该程序所属组同样的权限。设置方法：chmodg+s|2xxxfile,第13页，共20页,权限管理,特殊权限例子：suyuelsl/root显示的结果？切换到root用户chmodg+sls（可能要出现错误，思考解决的方法）切换到yue用户lsl/root显示的结果？取消所设的权限,注意ls命令和目录root的权限chmodg+sls,第14页，共20页,权限管理,特殊权限sticky(粘着位):对应符号t当一个目录被设置为“粘着位”时，则该目录下的文件只能由以下用户才能删除root该目录的所有者设置目录的t位:chmod+t|1xxxdir示例：/tmp目录设置权限为777的目录的t位，测试删除注意：这个权限位是针对目录而言的。,演示,第15页，共20页,权限管理,sudo(superuserdo)指令让用户以另一种身份(通常是以root身份)执行某些规定的命令(命令可精确到选项)。当用户执行sudo时，会查找/etc/sudoers文件，以判断用户是否有执行sudo的权力执行sudo时需要输入用户自身的密码与su命令的区别sudo授权许可使用的su，也是受限制的su,第16页，共20页,权限管理,针对每个管理员的技术特长和管理范围，并且有针对性的下放给权限，并且约定其使用哪些工具来完成与其相关的工作通过sudo，我们能把某些超级权限有针对性的下放，并且不需要普通用户知道root密码，所以sudo相对于权限无限制性的su来说，还是比较安全的.sudo执行命令的流程是当前用户切换到root（或其它指定切换到的用户），然后以root（或其它指定的切换到的用户）身份执行命令，执行完成后，直接退回到当前用户；而这些的前提是要通过sudo的配置文件/etc/sudoers来进行授权,第17页，共20页,visudo指令,编辑/etc/sudoers文件可以用专用编辑工具visodu（或vi/etc/sudoers），此工具的好处是在添加规则不太准确时，保存退出时会提示给我们错误信息用户主机=(用户身份)命令beinanALL=（root）/bin/chown,/bin/chmod如果在/etc/sudoers中添加这一行，表示beinan用户可以在任何可能出现的主机名的系统中，可以切换到root用户下执行/bin/chown和/bin/chmod命令通过sudo-l来查看beinan在这台主机上允许和禁止运行的命令；usernameALL=(ALL)ALL,第18页，共20页,批量增加用户,使用shell脚本脚本中使用useradd和passwd命令如何解决交互式输入密码的问题passwdusernamestdinecho密码|passwdusernamestdin使用newusers和chpasswd工具1、创建类似于/etc/passwd的文本文件user.txt2、使用命令:newusersuser.txt3、使用命令：pwunconv取消shadow功能4、创建“用户名:密码”格式的文本文件pass.txt5、使用命令：chpasswdpass.txt6、使用命令：pwconv启动shadow功能,第19页，共20页,磁盘配额,磁盘配额(quota)对用户|组设置硬盘容量限制使用情形：www服务器的网页空间容量限制；邮件服务器的邮箱空间容量限制注意:磁盘配额是针对整个分区的且只对root无效。磁盘配额限制内容最低限制(soft):用户在一段时间(宽限时间)内可以超过最低限制的容量，但必须在宽限时间内将磁盘容量降到最低限制的容量范围之内。最高限制(hard):“绝对不能超过”的容量，这个值应该比最低限制的值大。配置实例：qgroup(quser1,quser2),第20页，共20页,磁盘配额,步骤1：文件系统启动磁盘配额支持在/etc/fstab的选项字段设置启动quota在第四个字段添加usrquota,grpquota重新载入文件系统运行mounta重新载入文件系统查看/etc/mtab文件，看文件系统是否载入，是否启动磁盘配。,第21页，共20页,磁盘配额,步骤2：扫描文件系统的用户使用情况使用命令：quotacheckavugmountpoint-a:扫描/etc/fstab中所有设置了quota的分区-v:显示过程-u:针对用户扫描文件系统-g:针对组扫描文件系统该命令会在分区根目录下生成磁盘配额记录文件:aquota.user、aquota.group步骤3：启动磁盘配额使用命令：quotaonavug,第22页，共20页,磁盘配额,步骤4：编辑磁盘配额限制值使用命令：ed