精华内容
下载资源
问答
  • Linux权限管理

    2019-05-16 17:50:29
    7Linux权限管理 7.1Linux权限管理的重要性 7.2Linux chgrp 7.3Linux chown 7.4Linux权限位 7.5Linux读写执行权限(-r、-w、-x)的真正含义 7.6Linux chmod 7.7Linux umask 7.8Linux ACL访问控制权限 7.9...
    展开全文
  • linux权限管理

    2017-11-25 21:58:47
    -- linux权限管理   在介绍如何操作文件权限和用户权限之前,首先介绍一下,linux权限持有者有u(user[所有者])g(group[所属组])o(other[其他人])a(all[所有人])四种身份, 但是在linux系统中查看权限时只会显示...
    -- linux权限管理
     
    在介绍如何操作文件权限和用户权限之前,首先介绍一下,linux权限持有者有u(user[所有者])g(group[所属组])o(other[其他人])a(all[所有人])四种身份,
    但是在linux系统中查看权限时只会显示ugo这三种持有者身份的权限, 文件权限及用户权限包括读(r-4)写(w-2)执行(x-1)
    所以一下着重介绍ugo权限的操作配置:


    -- 文件权限查看
    首先知道如何查询想要操作文件的权限,可以用ls -ls命令查看,以下提供一个案例说明:
    0 drwx------.  3 zs  lisi   89 Nov 24 21:03 lisi
    第二列,有十位信息,第一位是当前文件的类型(目录或是文件),2-4是所有者的权限, 5-7是所属组的权限,8-10是其他人的权限;
    第四列,该文件所有者信息;
    第五列,该文件所属组信息;


    -- 修改文件权限
    chmod 777 目录或是文件名称  -- 只修改当前目录的权限
    chomod -R 777 目录          -- 递归修改目录下的权限
    再次说明r对应的权限数字是4, w对应的权限数字是2,x对应的数字权限是1;
    所以777对应的权限是rwxrwxrwx, 因为421421421,每三个数字为一组,对应的持有者身份是所有者,所属组,其他人;
    根据以上权限数字的含义和方式,root可随意修改目录或是文件的权限;
    以上只是简单修改目录或是文件权限的方法,下面将介绍如何修改用户对文件的权限;


    -- 添加用户及密码设置
    添加用户: useradd 用户名   --用户添加成功之后,必须设置密码用户才能登陆
    密码设置: passwd  用户名  


    -- 修改目录或文件的所有者
    chown 用户名 目录或是文件


    -- 修改目录或是文件的所属组

    chgrp 用户组 目录或是文件 


    -- 修改用户信息 --


    -- 修改用户说明
    usermod -c "test user" 用户名


    -- 把用户(lamp)添加到某个组(root)
    usermod -G root(组名) lamp(用户名)


    -- 锁定用户
    usermod -L lamp(用户名)


    -- 解锁用户
    usermod -U lamp(用户名)


    -- 查看服务是否自动启动
    chkconfig --list | grep 服务名称


    -- 修改密码信息 -- 
    change 选项 用户名
    例: 密码修改日期归0,用户登录时必须修改密码
    change -d 0 lamp(用户名)






    展开全文
  • Linux 权限管理

    千次阅读 2016-08-19 20:28:42
    权限管理  ls -l aa:  -rwxrwxrwx:   -表示文件  左三位:定义user(owner)的权限   中三位:定义group的权限   右三位:定义other的权限   进程安全上下文:  ...

    权限管理 


    ls -l aa:


    blob.png

     -rwxrwxrwx: 

         -表示文件

         左三位:定义user(owner)的权限 

         中三位:定义group的权限 

         右三位:定义other的权限  

     

    进程安全上下文: 

     进程对文件的访问权限应用模型: 

        进程的属主与文件的属主是否相同,若相同,则应用属主权限 

        否则,则检查进程的属主是否属于文件的属组,如果是,则应用属组权限 否则,就只能应用other的权限  

     

    权限: 

     r  :  read    读

     w  :  write    写 

     x  :  excute  执行 



    文件: 

     r:可获取文件的数据 

     w:可修改文件文件的数据 

     x: 可将此文件运行为进程 


    目录: 

     r:可使用ls命令获取其下的所有文件列表

     w: 可修改此目录下的文件列表,既创建或删除文件 

     x:可cd至此目录中,并且可使用 ls -l 来获取所有文件的详细属性信息   


    mode :rwxrwxrwx 

    ownership:  user,group  

     

    权限管理命令: chmod命令   

     三类用户: 

     u: 属主 

     g: 属组 

     o: 其他 

     a: 所有  


     chmod [OPTION]... MODE[,MODE]... FILE... MODE


    表示法: 

     赋权表示法:直接操作一类用户的所有权限位:u=,g=,0=,a= ,  gu=,... 

     授权表示法:直接操作一类用户的一个权限位: u+,u-,g+,g-,a+,a-,o+,o- 


    chmod [OPTION]... OCTAL-MODE FILE... 8进制权限位 

    chmod [OPTION]... --reference=RFILE FILE... 引用参考文件权限到当前文件权限 

      

    注意:用户仅能修改属主为自己的那些文件的权限     

     

    从属关系管理命令:chown,chgrp

    chown命令: (man chown)

    chown [OPTION]... [OWNER][:[GROUP]] FILE... chown [OPTION]... --reference=RFILE FILE...  


    chgrp命令:

    chgrp [OPTION]... GROUP FILE... 

    chgrp [OPTION]... --reference=RFILE FILE...   

     注意:仅管理员可修改文件的属主和属组  

       

    umask:文件权限的反向掩码,遮罩码 

     文件: 666-umask 

     目录: 777-umask 

     注意:之所以文件要用666去减,表示文件默认不能拥有执行权限,如果减得结果中有执行权限,则需要加1 

     umask :022 666-022=644    (文件加1了) 777-022=755  

    umask命令:

     umask:查看当前的umask 

     umask MASK:设置umask,仅对当前shell进程有效  


    install 命令:

    install - copy files and set attributes 复制文件并设置属性 

    install [OPTION]... [-T] SOURCE DEST                      

    install [OPTION]... SOURCE... DIRECTORY             

    install [OPTION]... -t DIRECTORY SOURCE...         

    install [OPTION]... -d DIRECTORY...  

                            

    复制文件 

       

     常用选项: 

         -m ,--mode=MODE: 设定目标文件权限,默认为 775 

         -o, --owner=OWNER: 设定目标文件属主 

         -g,--group=GROUP: 设定目标文件属组  

       

     mktemp - create a temporary file or directory 

     mktemp [OPTION]... [TEMPLATE] 



    常用选项: 

     -d:创建临时目录 注意:mktemp会将创建的临时文件名直接返回,因此,可直接通过命令引用保存起来   



      文件的权限

    1,文件的属性


    blob.png

    2,文件属性操作

        chown 设置文件的所有者

        chgrp 设置文件的属组

    blob.png

    修改文件的属主:chown

       用法:chown [OPTION]... [OWNER][:[GROUP]] FILE...

        OWNER      改变属主

        OWNER:    改变属主属组都为OWNER

        OWNER:GROUP  同时改变属主属组OWNER

           :GROUP  改变属组

        命令中的:号可以用.替换;


        -R 递归,同时递归目录文件的权限

    chown [OPTION]... --reference=RFILE FILE...

     功能:以文件RFILE的属组属主赋给FILE文件

         blob.png

    修改文件的属组:chgrp

     

     chgrp [OPTION]... GROUP FILE...

     chgrp [OPTION]... --reference=RFILE FILE...




    文件的权限主要针对三类对象进行定义:

     owner:属主,u

     group:属组,g

     other:其他,o

    每个文件针对每类访问者都定义了三种权限:

     r:读,readable

     w:写,writable

     x:执行,excutable

    这三种权限可以用8进制数字来表示

    --- 000 0

    --x 001 1

    -w- 010 2

    -wx 011 3

    r-- 100 4

    r-x 101 5

    rw- 110 6

    rwx 111 7

    例如:

        640:rw-r-----

        rwxr-xr-x:755




    权限分为文件和目录两种

    文件:

     r:可使用文件查看类工具获取其内容

     w:可以修改其内容

     x:可以把此文件提请内核启动为一个进程


    目录:

     r:可以使用ls查看此目录中文件列表

     w:可在此目录中创建文件,也可以删除此目录中的文件

     x:可以使用ls -l 查看此目录中文件列表,可以cd进入此目录

     X:只给目录x权限,不给文件x权限




    权限操作命令:chmod

     

       chmod [OPTION]... MODE[,MODE]... FILE...

        MODE:

            修改一类用户的所有权限:u=,g=,o=,ug=,a-...

            修改一类用户某位或某些位权限:u+,g+,a-,o-...

       chmod [OPTION]... OCTAL-MODE FILE...

       chmod [OPTION]... --reference=RFILE FILE...

        参考RFILE文件的权限,将FILE的修改为同RFILE

    blob.png




    默认权限:umask:

    • umask值 可以用来保留在创建文件权限 

    • 新建FILE权限: 666-umask 如果所得结果某位存在执行(奇数)权限,则将其权限+1

    • 新建DIR权限: 777-umask 

    • 非特权用户umask是 002 

    • root的umask 是 022 

    • umask: 查看

    • umask #: 设定 

    • umask –S 模式方式显示 

    • umask –p 输出可被调用 

    • 全局设置: /etc/bashrc 用户设置:~/.bashrc

    blob.png


    666-123=543,所得结果存在执行(奇数)权限,则其权限+1 所以为 644  -rw-r--r--

    blob.png






    例如:

    1,复制/etc/fstab文件到/var/tmp下,设置文件所有者为 wangcai读写权限,所属组为sysadmins组有读写权限,其他人无权限

    blob.png

    2,误删除了用户wangcai的家目录,请重建并恢复该用户家目录 及相应的权限属性


    cp -r /etc/skel/. /home/wangcai

    chown -R  wangcai: /home/wangcai




    linux文件系统上的特殊权限


    特殊权限:

     SUID,SGID,Sticky

     三种常用权限:r,w,x  user,group,other


    安全上下文

     前提:

      进程有属主和属组,文件有属主和属组

       1,任何一个可执行程序文件能不能启动为进程,进程的属组为发起者所属的组

       2,启动为进程后,其进程的属主为发起者,进程的属组为发起者所属的组

       3,进程访问文件时的权限,取决于进程的发起者

          a,进程的发起者,同文件的属主,则应用文件属主权限

          b,进程的发起者,属于文件属组,则应用文件属组权限

          c,应用文件其他权限








    可执行文件上SUID权限:

         任何一个可执行程序文件能不能启动为进程,取决于发起者对程序文件是否拥有执行权限

         启动为进程之后,其进程的属主问源程序文件的属主

        SUID只对二进制可执行程序有效

        SUID设置在目录上无意义

         权限设定:

            chmod u+s FILE...

            chmod u-s FILE...


    非root用户执行 cat /etc/shadow 会提示权限不足

    blob.png

    当root用户执行 chmod u+s /usr/bin/cat 时,然后运行,执行成功

    blob.png

    发现非root用户临时具有了可执行该文件的权限




    可执行文件上SGID权限

        任何一个可执行程序文件能不能启动为进程,取决于发起者对程序文件是否拥有执行权限

        启动为进程后,其进程的属主为原程序文件的属组

        权限设定:

            chmod g+s FILE...

            chmod g-s FILE...


    目录上的SGID权限

        默认情况下,用户创建文件时,其属组为此用户所属的主组

        一旦某目录被设定了SGID,则对此目录有写权限的用户在此目录中创建的文件所属的组为此目录的属组

        通常用于创建一个协作目录

        权限设定:

            chmod g+s FILE...

            chmod g-s FILE...


    Sticky位:

        具有写权限的目录通常用户可以删除该目录中的任何文件,无论该文件的权限或拥有权

        在目录设置Sticky位,只有文件的所有者或root可以删除该文件

        sticky 设置在文件上无意义

        权限设定:

            chmod o+t DIR...

            chmod o-t DIR...

        




    此特殊的权限也可以用数字来表示


    SUID SGID STICKY 

        000 0 

        001 1 

        010 2 

        011 3 

        100 4 

        101 5 

        110 6 

        111 7 

    权限放到最前方,比如 chmod 3666 /testdir/abc.txt





    权限位映射:


      SUID:user,占据属主的执行权限位

        s:属主拥有x权限

        S:属主没有x权限

      SGID:group,占据属组的执行权限位

        s:属组拥有x权限

         S:属组没有x权限

      Sticky:other,占据other的执行权限位

        t:其他拥有x权限

        T:其他没有x权限




    设置文件特定的属性


    chattr +i 使文件不能删除,改名,更改

    blob.png

    blob.png

    chattr +a 文件只能增加

    blob.png

    lsattr 显示特定属性




    访问控制列表

    ACL:Access Control List:可以实现灵活的权限管理

    除了文件的所有者,所属组和其他人,可以对更多的用户设置权限

    centos 7.0默认创建的xfs和ext4文件系统有ACL功能

    centos 7.x之前版本,默认手工创建的ext4文件系统无ACL功能,需要手动添加:

        tune2fs -o acl /dev/sdb1

        mount -o acl /dev/sbd1 /mnt

    ACL生效顺序:所有者,自定义用户,自定义组,其他人


    可以为多用户或者组的文件和目录赋予访问权限rwx

        mount -o acl /directory

        getfacl file|directory     查看文件或者目录的acl列表

        setfacl -m u:cent:rwx file|directory 使用户cent拥有rwx权限

        setfacl  -Rm g:sales:rwX directory 使组sales拥有目录下面的rwX权限

        setfacl  -M  file.acl file|directory 通过文件来调用权限

        setfacl  -m  g:salesgroup:rw file| directory 

        setfacl  -m  d:u:wang:rx  directory 在目录下新建的文件就有该权限

        setfacl  -x  u:wang  file |directory 删除用户权限

        setfacl  -X file.acl  directory  通过文件来删除用户权限




    ACL文件上的group权限是mask值(自定义用户,自定义组,拥有组的最大权限),而非传统的组权限       

    getfacl 可看到特殊权限:flags

    默认ACL权限给了x,文件也不会继承x权限

    base ACL 不能删除

    setfacl -k dir 删除默认acl权限

    setfacl -b file 清除所有acl权限

    getfacl file1 | setfacl --set-file=- file2 复制file1的acl权限给file2


    mask 只影响除所有者和other的之外的人和组的最大权限

    mask需要与用户的权限进行逻辑与运算后,才能变成有限的权限

    用户或组的设置必须存在于mask权限设定范围内才会生效

        setfacl -m mask::rx file

    --set 选项会把原有的ACL项都删除,用新的替代,需要注意的是一定要包含UGO的设置,不能像-m一样只是添加ACL就可以

          setfacl --set u::rw,u:cent:rw,g:;r,o:: -file 



    备份和恢复ACL

    主要的文件操作命令cp和mv都支持ACL,只是cp命令需要加上-p参数,但是tar等常见的备份工具是不会保留目录和文件的ACL信息

    比如:

        getfacl -R /testdir/dir1 > acl.txt

        setfacl -R -b /tmp/dir1 

        setfacl -R  --set-file=acl.txt  /tmp/dir1 

        getfacl -R /tmp/dir1


    比如:

    在/data/testdir里创建的新文件自动属于g1组,组g2的成 员如:alice能对这些新文件有读写权限,组g3的成员如 :tom只能对新文件有读权限,其它用户(不属于 g1,g2,g3)不能访问这个文件夹

    chgrp g1 testdir

    chmod g+s testdir

    setfacl -dm g:g2:rw testdir

    setfacl -dm g:g3:r testdir

    chmod o= testdir

    展开全文
  • Linux权限管理攻略

    2010-11-30 11:45:00
    linux权限管理

    一、 权限之粘着位

    Linux中有一个存放临时文件的目录/tmp(类似于Windows中的temp目录),每个用户产生的临时文件都存放在此目录下,也就是说每个用户对/tmp目录都应该有写权限(否则无法拷贝生成文件),这样造成一个问题,比如,高洛峰在/tmp目录下创建了一个文件,张沫看着不爽就可以删掉,这如何控制?
    其实,这种情况永远都不会发生,因为/tmp目录有一个特殊的权限标记:
    ls -ld /tmp
    drwxrwxrwt 5 root root 4096 May 24 13:55 /tmp
    瞧见那个rwx权限最后的“t”了没,那个神奇的“t”就是粘着位t(有的资料中文也称为粘滞位),是Linux特殊权限中的第三个(另外两个是SetUID和SetGID),定义为:权限为777的目录设置粘着位t以后,具有写权限每个用户都可以在目录下创建文件,不同的是每个用户只能删除自己是所有者的文件,也就是说只能删除自己创建的文件。
    读者可以做一下试验,重复一下《草根》第二期“从ls命令开始”中的案例一操作(给目录/test授予777权限用一个普通用户登录删除另一个普通用户创建的文件),不过这次创建的目录/test多授予它一个粘着位权限:
    chmod o+t /test # 或 chmod 1777 /test
    此时普通用户尝试删除其他用户的文件时,会给出提示“Operation not permitted”(中文翻译:你丫没事吧,瞎得瑟啥,哥的文件你删不了)。

    二、 文件系统权限

    每个操作系统都要有一种组织管理数据的方式,我们可以理解为就是文件系统,比如Windows的NTFS、FAT ,Linux的EXT ,而在Linux加载分区时可以针对文件系统进行权限设定。
    配置文件/etc/fstab保存了Linux启动时自动加载的分区信息,/etc/fstab文件中第四项定义了加载时的设置,默认为defaults ,包括rw、suid、dev、exec、auto、nouser、async ,如果想改变整个分区的限定,可以利用这些选项。本文举两例说明,证明基于文件系统的权限那是相当霸道。

    案例一:只读分区

    默认加载分区是可读写rw的,但是如果特殊应用希望分区加载后是只读的,可以做一下设置:
    vi /etc/fstab # 编辑/etc/fstab文件在defaults后加入ro选项(逗号分隔)
    LABEL=/soft /soft ext3 defaults,ro 1 2
    mount -o remount /soft # 重新加载/soft分区,使设置生效
    如果你不嫌麻烦也可以重启系统,设置同样会生效。
    此时整个/soft分区都是只读的,用root登录后执行:
    touch /soft/testfile
    touch: cannot touch `testfile': Read-only file system
    会提示/soft分区是只读的,即便牛X到是root也不可以创建文件,这是凌驾于rwx权限之上的文件系统权限,相当的牛A与牛C之间。像本例是笔者公司的软件共享目录,一般半个月才更新一次软件,平时不想任何人增加或删除(包括不希望root用户误删除),所以设置为ro ,更新软件时,可以临时更改会rw来设置:
    mount -o remount,rw /soft
    在命令行上也可以设置分区权限,但是只是当前会话有效,而写入/etc/fstab文件后则会一直有效。

    案例二:安全分区

    数据存储的分区,如用做备份的分区,我们可以增加下安全设置选项:
    vi /etc/fstab # 编辑/etc/fstab文件在defaults后加入noexec选项
    LABEL=/backup /backup ext3 defaults,noexec 1 2
    mount -o remount /backup # 重新加载/backup分区,使设置生效
    此时做个试验,我们使用普通用户拷贝一个命令文件pwd在/backup目录下
    cp /bin/pwd /backup
    /backup/pwd
    -bash: pwd: Permission denied
    ls -l pwd
    -rwxr-xr-x 1 liming liming 93560 Sep 25 10:13 pwd
    命令拷贝到/backup下虽然具有可执行权限,但是也无法执行,在/backup分区下,任何可执行文件都将不能执行,这么做的意义在哪里?如果攻击程序、木马、病毒不能够执行,那么就相当于没有意义。
    其他选项不做更多演示,这里只抛砖引玉,其他选项设置读者可man mount查看,查看-o选项中的详细介绍,更多设置读者可自行尝试,所谓授之以鱼不如授之以渔读万卷书不如行万里路万恶淫为首窗前明月光啊。

    三、 权限之chattr
    chatrr只有超人root用户可以使用,用来修改文件的权限属性,建立凌驾于rwx基础权限之上的授权。
    在此介绍两个常用选项:
    a 只允许在文件后追加数据,如果目录具有此属性,系统将只允许在目录下建立和修
    改文件,而不允许删除任何文件。
    i 不允许对文件进行任何修改,如果目录具有此属性,那么只能修改目录下的文件,
    不允许建立和删除文件。

    案例一:无法删除和更改的文件
    如果要建立一个公共访问的目录,大家都可以删除和创建、拷贝文件,但是有一个基本的使用此目录的规则,要建立一个说明文件README ,这个文件不允许大家删除和修改,则可以如下设置:
    chattr +i README
    这时,README文件所在目录所有用户都有读写权限,但是任何用户都无法删除README文件(包括root),尝试删除会提示:
    rm README
    rm: remove write-protected regular empty file `README'? y
    rm: cannot remove `README': Operation not permitted
    同样也不可以改变文件的内容,可以查看到README文件被增加了一个不可更改的属性:
    lsattr README
    ----i-------- README
    此时,README变成了一个非常牛XX的文件,即便你是SuperUser也无法删除和修改它,想对它干嘛都不成。
    若要更改或删除文件也必须先去掉i属性才可以:
    chattr -i README

    案例二:备份目录应用
    假设有这样一种应用,我们每天自动化实现把上海服务器的日志通过scp和rsync远程备份到北京的备份服务器上,备份服务器的存储目录可设置为只可创建文件而不可删除。
    chattr +a /backup/log
    设置后,可在本机测试:
    cp /var/log/messages /backup/log # 可以拷贝文件
    rm /backup/log/messages # 删除文件则被禁止
    rm: remove regular file `messages'? y
    rm: cannot remove `messages': Operation not permitted
    chattr命令不宜对目录/、/dev、/tmp、/var等设置,严重者甚至容易导致系统无法启动,比如根目录如果设置了i属性,谨慎设置,看过此文试验后造成系统问题者,笔者概不负责……

    四 权限之ACL
    Linux中默认的权限管理比较菜,难以实现复杂的权限控制,如针对一个文件设置几个用户或用户组具有不同权限,这就需要依靠ACL(Access Control List)访问控制列表实现,可以针对任意指定的用户/用户组分配权限。
    开启分区的ACL功能 ,需要在/etc/fstab文件中加入acl选项,如:
    LABEL=/backup        /backup        ext3        defaults,acl        1 2
    然后重新加载分区即可生效:
    mount -o remount /backup
    如果想临时生效可不修改/etc/fstab文件,直接执行命令“mount -o remount,acl /backup”即可。

    案例:设定复杂权限控制目录
    设定目录/backup/log用户zhangsan有读写执行权限,用户lisi有读权限,用户wangwu有读写权限,而用户组bakgroup有读和执行权限,则可做如下设置:
    setfacl -m u:zhangsan:rwx,u:lisi:r,u:wangwu:rw,g:bakgroup:rx /backup/log
    setfacl -m可以设置文件/目录的访问权限,至于权限设定的写法包括三个组成部分,第一部分列出设定对象是用户u或用户组g ;第二部分指定用户名或用户组名;第三部分指定访问权限rwx ,设定多组权限中间用逗号分隔。如“u:lisi:r”表示设定用户lisi为只读权限。
    查看目录属性:
    ls -ld /backup/log
    drwxrwxr-x+ 2 root root 4096 May 25 07:16 /backup/log
    会发现文件权限位后增加了一个加号,这说明/backup/log设置了ACL ,同时可以查看其详细的权限设置:
    getfacl /backup/log
    # file: backup/log
    # owner: root
    # group: root
    user::rwx
    user:zhangsan:rwx
    user:lisi:r--
    user:wangwu:rw-
    group::r-x
    group:bakgroup:r-x
    mask::rwx
    other::r-x
    这样即可实现Linux中文件/目录的复杂权限控制,要注意的是ACL优先于基本权限设置,也就是说如果默认所属组为rx权限,但是ACL若指定了所属组中某个成员为rwx权限,则此成员拥有rwx权限。

    五 权限之管理员授权
    管理员做为特权用户,很容易误操作造成不必要的损失,再者都是root管理也怪累的,管理员也是人,也需要留点时间去约约会看看电影装装傻发发呆啥的不是……所以健康的管理方法是Linux服务架构好后,可授权普通用户协助完成日常管理,现在最流行的工具是Sudo ,几乎所有Linux都已缺省安装。
    Sudo使用简单,管理员root使用visudo命令即可编辑其配置文件/etc/sudoers进行授权,具体格式为:
    用户名/用户组名        主机地址=授权命令(绝对路径)
    如,授权用户zhaoliu可以关机和重启,则添加如下行:
    zhaoliu        Helen=/sbin/shutdown,/sbin/reboot
    指定组名用百分号标记,如%admgroup ,多个授权命令之间用逗号分隔。
    用户zhaoliu可以使用sudo查看授权的命令列表:
    sudo -l
    Password:
    User zhaoliu may run the following commands on this host:
        (root) /sbin/shutdown
        (root) /sbin/reboot
    提示输入密码为zhaoliu的密码,验证其是否为管理员通过sudo授权的用户,执行命令:
    sudo /sbin/shutdown -h now
    zhaoliu即可关机,注意命令写绝对路径,或者把/sbin路径导入到用户缺省路径中,否则无法执行。

    案例:授权用户管理Apache
    授权一个用户管理你的Web服务器,不用自己插手是不是很爽,以后修改设置更新网页什么都不用管,一定Happy死了,LOOK——
    首先要分析授权用户管理Apache至少要实现哪些基本授权:
    1、可以使用Apache管理脚本
    2、可以修改Apache配置文件
    3、可以更新网页内容
    假设Aapche管理脚本为/etc/rc.d/init.d/httpd ,满足条件一,用visudo进行授权:
    zhaoliu        Helen=/etc/rc.d/init.d/httpd reload,/etc/rc.d/init.d/httpd configtest
    授权用户zhaoliu可以通过Apache管理脚本重新读取配置文件让更改的设置生效(reload)和可以检测Apache配置文件语法错误(configtest),但不允许其执行关闭(stop)、重启(restart)等操作。
    满足条件二,同样使用visudo授权:
    zhaoliu        Helen=/bin/vi /etc/httpd/conf/httpd.conf
    授权用户可以root身份使用vi编辑Apache配置文件。
    以上两种sudo的设置,要特别注意,很多朋友使用sudo会犯两个错误:第一,授权命令没有细化到选项和参数;第二,认为只能授权管理员执行的命令。
    条件三则比较简单,假设网页存放目录为/var/www/html ,则只需要授权zhaoliu对此目录具有写权限或者索性更改目录所有者为zhaoliu即可,如果需要还可以设置zhaoliu可以通过FTP等文件共享服务更新网页。
    本文所有操作在Red Hat Enterprise Linux 5.4下完成,其他Linux基本无差异,本文基本涵盖Linux的所有权限管理方式,虽不细致但足以让读者对其有一个整体的了解。
    最后请切记系统安全的基本原则:授权用户最小的权限。
    蜘蛛侠说“能力越大责任越大”,Linux管理员说“能力越大出错几率越大”,阿门。

    展开全文
  • Linux 权限管理之目录权限限制
  • Linux权限管理 Linux 权限是操作系统用来限制对资源访问的机制,权限一般分为读、写、执行。系统中每个文件都拥有特定的权限、所属用户及所属组,通过这样的机制来限制哪些用户或用户组可以对特定文件进行相应的操作...
  • [Linux] Linux权限管理

    2016-03-10 23:45:34
    Linux权限管理 1、文件访问权限&文件访问者的分类 a)、文件和文件目录的所有者: u---User b)、文件和文件目录的所有者所在的组的用户:g---Group c)、其它用户: o---Others 2、文件访问权限的种类
  • linux权限管理:文件权限管理 目录的操作命令: linux 下的目录结构是一个树形结构。 ls 列出目录下的内容(当前目录) linux每个用户登陆成功后默认当前所在目录为家目录。 . 代表当前目录 .. 代表当前目录的...
  • 开源Linux学习笔记003 Linux权限管理
  • Linux权限管理 1.ACL权限 (1)acl权限 的开启 一般默认开启 (2)acl权限 查看与设定 查看acl命令:getfacl 文件名 (查看acl权限) 其中,mask为: ...
  • Linux权限管理1——ACL权限

    千次阅读 2015-06-05 16:36:59
    Linux权限管理——ACL权限 我们已经知道Linux的文件有所有者,所属组,其他人三种权限,但这是远远不够的,比如说,有一个project,项目管理员将所有项目人员添加到该项目的所属组中,分配权限770,有一天,临时...
  • Linux程序设计(Linux权限管理

    千次阅读 2015-02-20 18:53:17
    擦脚,等着练几手,咱们今天就带大家一起来练练Linux权限管理相关的内容。看官们,咱们主要是为了 练习,所以最好不要修改系统中原来的文件。练习正式开始了。 查看权限:看官们还记得上一回说到的读
  • Linux权限管理命令

    2018-06-02 21:09:48
    权限管理命令 权限管理命令:chmod 范例: 我们先创建一个文件: 然后我们来赋予文件testfile所属组写权限: 现在我们来创建一个目录test,然后在里面在创建一个testfile文件: 这次我们想要修改...
  • linux权限管理机制

    2019-07-16 21:45:53
    今天学到的时他的三组用户的三种权限管理,深刻感觉到linux创建者的脑洞的强大!!! 图片当中的-rwxrw-rw-rw- 表示的是三组用户的权限在linux中用三个八进制数表示 4 读权限 2 写权限 1 执行权限 修改权限时可以...
  • 权限管理-Acl u+g+o所有人对linux.sh具有执行权限: (三种方式, a=u+g+o) chmod a+x linux.sh chmod +x linux.sh chmod 755 linux.sh chmod u+x,g+x,o+x linux.sh acl权限增删查 1.设置权限: setfacl -m u:...
  • Linux入门教程:Linux权限管理

    千次阅读 2017-04-05 14:50:52
    在学习Linux权限之前,我们先来理解几个概念:可读,可写 、可执行Linux的文件和目录有以下三种方式:r 、w 、x:可读,可写 、可执行r-可读(read)w-可写(write)x-可执行(execute)所有者 、所属组 、其他人Linux的...
  • Linux权限管理命令扩展

    千次阅读 2020-04-18 14:52:49
    Linux常用命令-2.2其他权限管理命令 本节主要介绍除了 chmod 之外的权限管理命令,如需了解 chmod,请查看上一节 1. chown(change file ownership) 功能描述:改变文件或目录的所有者 执行权限:所有用户 命令...
  • Linux 权限管理命令

    千次阅读 2019-05-12 16:48:08
    权限管理命令 chmod chmod // 英文原意 change the permissions mode of a file // 只有文件的所有者和管理员才能更改文件的权限 // 命令所在路径 /bin/chmod // 语法 chmod [ { ugoa } { +-= } { rwx } ] [文件或...
  • Linux权限管理(一)—打开权限

    千次阅读 2012-11-06 15:52:55
    Linux权限管理(一)—打开权限  2012-02-15 21:52:46| 分类: Linux内核|字号 订阅 一、打开权限 这里其实比较感兴趣的是文件夹的权限,假设对于root用户的一个文件夹,或者另一
  • linux 权限管理sudo 权限

    千次阅读 2017-04-04 21:39:02
    用户sudo 权限,来限制普通用户 切换到root 用户下面来。

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 23,628
精华内容 9,451
关键字:

linux权限管理

linux 订阅