7Linux权限管理

7.1 Linux权限管理的重要性

7.2 Linux chgrp

7.3 Linux chown

7.4 Linux权限位

7.5 Linux读写执行权限（-r、-w、-x）的真正含义

7.6 Linux chmod

7.7 Linux umask

7.8 Linux ACL访问控制权限

7.9 Linux ACL权限设置（setfacl和getfacl）

7.10 Linux mask

7.11 Linux SetUID（SUID）

7.12 SetUID（SUID）千万不要胡乱使用

7.13 Linux SetGID（SGID）

7.14 Linux Stick BIT（SBIT）

7.15 Linux文件特殊权限设置

7.16 Linux chattr

7.17 Linux lsattr

7.18 Linux sudo

-- linux权限管理

 

在介绍如何操作文件权限和用户权限之前，首先介绍一下，linux权限持有者有u(user[所有者])g(group[所属组])o(other[其他人])a(all[所有人])四种身份，

但是在linux系统中查看权限时只会显示ugo这三种持有者身份的权限, 文件权限及用户权限包括读(r-4)写(w-2)执行(x-1)

所以一下着重介绍ugo权限的操作配置:



-- 文件权限查看

首先知道如何查询想要操作文件的权限，可以用ls -ls命令查看,以下提供一个案例说明:

0 drwx------.  3 zs  lisi   89 Nov 24 21:03 lisi

第二列,有十位信息，第一位是当前文件的类型(目录或是文件),2-4是所有者的权限, 5-7是所属组的权限,8-10是其他人的权限;

第四列,该文件所有者信息;

第五列,该文件所属组信息;



-- 修改文件权限

chmod 777 目录或是文件名称  -- 只修改当前目录的权限

chomod -R 777 目录          -- 递归修改目录下的权限

再次说明r对应的权限数字是4, w对应的权限数字是2,x对应的数字权限是1;

所以777对应的权限是rwxrwxrwx, 因为421421421,每三个数字为一组,对应的持有者身份是所有者,所属组,其他人；

根据以上权限数字的含义和方式,root可随意修改目录或是文件的权限;

以上只是简单修改目录或是文件权限的方法，下面将介绍如何修改用户对文件的权限;



-- 添加用户及密码设置

添加用户: useradd 用户名   --用户添加成功之后,必须设置密码用户才能登陆

密码设置: passwd  用户名  



-- 修改目录或文件的所有者

chown 用户名 目录或是文件



-- 修改目录或是文件的所属组
chgrp 用户组 目录或是文件 


-- 修改用户信息 --



-- 修改用户说明

usermod -c "test user" 用户名



-- 把用户(lamp)添加到某个组(root)

usermod -G root(组名) lamp(用户名)



-- 锁定用户

usermod -L lamp(用户名)



-- 解锁用户

usermod -U lamp(用户名)



-- 查看服务是否自动启动

chkconfig --list | grep 服务名称



-- 修改密码信息 -- 

change 选项 用户名

例: 密码修改日期归0,用户登录时必须修改密码

change -d 0 lamp(用户名)

权限管理 




ls -l aa:






 -rwxrwxrwx: 

     -表示文件

     左三位：定义user(owner)的权限 

     中三位：定义group的权限 

     右三位：定义other的权限  

 

进程安全上下文： 

 进程对文件的访问权限应用模型： 

    进程的属主与文件的属主是否相同，若相同，则应用属主权限 

    否则，则检查进程的属主是否属于文件的属组，如果是，则应用属组权限 否则，就只能应用other的权限  

 

权限： 

 r  :  read    读

 w  :  write    写 

 x  :  excute  执行 







文件： 

 r:可获取文件的数据 

 w:可修改文件文件的数据 

 x: 可将此文件运行为进程 




目录： 

 r:可使用ls命令获取其下的所有文件列表

 w: 可修改此目录下的文件列表，既创建或删除文件 

 x:可cd至此目录中，并且可使用 ls -l 来获取所有文件的详细属性信息   




mode :rwxrwxrwx 

ownership:  user,group  

 

权限管理命令： chmod命令   

 三类用户： 

 u: 属主 

 g: 属组 

 o: 其他 

 a: 所有  




 chmod [OPTION]... MODE[,MODE]... FILE... MODE




表示法： 

 赋权表示法：直接操作一类用户的所有权限位：u=,g=,0=,a= ,  gu=,... 

 授权表示法：直接操作一类用户的一个权限位： u+，u-,g+,g-,a+,a-,o+,o- 




chmod [OPTION]... OCTAL-MODE FILE... 8进制权限位 

chmod [OPTION]... --reference=RFILE FILE... 引用参考文件权限到当前文件权限 

  

注意：用户仅能修改属主为自己的那些文件的权限     

 

从属关系管理命令：chown,chgrp

chown命令： （man chown）

chown [OPTION]... [OWNER][:[GROUP]] FILE... chown [OPTION]... --reference=RFILE FILE...  

chgrp命令：


chgrp [OPTION]... GROUP FILE... 

chgrp [OPTION]... --reference=RFILE FILE...   

 注意：仅管理员可修改文件的属主和属组  

   

umask：文件权限的反向掩码，遮罩码 

 文件： 666-umask 

 目录： 777-umask 

 注意：之所以文件要用666去减，表示文件默认不能拥有执行权限，如果减得结果中有执行权限，则需要加1 

 umask :022 666-022=644    (文件加1了) 777-022=755  

umask命令：

 umask:查看当前的umask 

 umask MASK:设置umask,仅对当前shell进程有效  

install 命令：


install - copy files and set attributes 复制文件并设置属性 

install [OPTION]... [-T] SOURCE DEST                      

install [OPTION]... SOURCE... DIRECTORY             

install [OPTION]... -t DIRECTORY SOURCE...         

install [OPTION]... -d DIRECTORY...  

                        

复制文件 

   

 常用选项： 

     -m ,--mode=MODE: 设定目标文件权限，默认为 775 

     -o, --owner=OWNER: 设定目标文件属主 

     -g,--group=GROUP: 设定目标文件属组  

   

 mktemp - create a temporary file or directory 

 mktemp [OPTION]... [TEMPLATE] 




常用选项： 


 -d:创建临时目录 注意：mktemp会将创建的临时文件名直接返回，因此，可直接通过命令引用保存起来   




  文件的权限


1，文件的属性






2，文件属性操作

    chown 设置文件的所有者

    chgrp 设置文件的属组



修改文件的属主：chown


   用法：chown [OPTION]... [OWNER][:[GROUP]] FILE...

    OWNER      改变属主


    OWNER:    改变属主属组都为OWNER


    OWNER:GROUP  同时改变属主属组OWNER


       :GROUP  改变属组


    命令中的:号可以用.替换；





    -R 递归，同时递归目录文件的权限


chown [OPTION]... --reference=RFILE FILE...

 功能：以文件RFILE的属组属主赋给FILE文件

     

修改文件的属组：chgrp

 

 chgrp [OPTION]... GROUP FILE...

 chgrp [OPTION]... --reference=RFILE FILE...








文件的权限主要针对三类对象进行定义：


 owner：属主，u

 group：属组，g

 other：其他，o

每个文件针对每类访问者都定义了三种权限：

 r:读，readable

 w:写，writable

 x:执行，excutable

这三种权限可以用8进制数字来表示

--- 000 0

--x 001 1

-w- 010 2

-wx 011 3

r-- 100 4

r-x 101 5

rw- 110 6

rwx 111 7

例如：

    640：rw-r-----


    rwxr-xr-x:755








权限分为文件和目录两种

文件：

 r:可使用文件查看类工具获取其内容

 w:可以修改其内容

 x:可以把此文件提请内核启动为一个进程




目录：

 r:可以使用ls查看此目录中文件列表

 w:可在此目录中创建文件，也可以删除此目录中的文件

 x:可以使用ls -l 查看此目录中文件列表，可以cd进入此目录

 X:只给目录x权限，不给文件x权限







权限操作命令：chmod

 

   chmod [OPTION]... MODE[,MODE]... FILE...

    MODE:


        修改一类用户的所有权限：u=,g=,o=,ug=,a-...


        修改一类用户某位或某些位权限：u+,g+,a-,o-...


   chmod [OPTION]... OCTAL-MODE FILE...

   chmod [OPTION]... --reference=RFILE FILE...

    参考RFILE文件的权限，将FILE的修改为同RFILE









默认权限：umask:

umask值 可以用来保留在创建文件权限 

新建FILE权限: 666-umask 如果所得结果某位存在执行（奇数）权限，则将其权限+1

新建DIR权限: 777-umask 

非特权用户umask是 002 

root的umask 是 022 

umask: 查看

umask #: 设定 

umask –S 模式方式显示 

umask –p 输出可被调用 

全局设置： /etc/bashrc 用户设置：~/.bashrc






666-123=543，所得结果存在执行（奇数）权限，则其权限+1 所以为 644  -rw-r--r--















例如：

1，复制/etc/fstab文件到/var/tmp下，设置文件所有者为 wangcai读写权限，所属组为sysadmins组有读写权限，其他人无权限



2，误删除了用户wangcai的家目录，请重建并恢复该用户家目录 及相应的权限属性




cp -r /etc/skel/. /home/wangcai

chown -R  wangcai: /home/wangcai







linux文件系统上的特殊权限





特殊权限：


 SUID,SGID,Sticky

 三种常用权限：r,w,x  user,group,other




安全上下文

 前提：

  进程有属主和属组，文件有属主和属组


   1，任何一个可执行程序文件能不能启动为进程,进程的属组为发起者所属的组


   2，启动为进程后，其进程的属主为发起者，进程的属组为发起者所属的组


   3，进程访问文件时的权限，取决于进程的发起者


      a,进程的发起者，同文件的属主，则应用文件属主权限


      b,进程的发起者，属于文件属组，则应用文件属组权限


      c,应用文件其他权限




















可执行文件上SUID权限：


     任何一个可执行程序文件能不能启动为进程，取决于发起者对程序文件是否拥有执行权限


     启动为进程之后，其进程的属主问源程序文件的属主


    SUID只对二进制可执行程序有效


    SUID设置在目录上无意义


     权限设定：

        chmod u+s FILE...


        chmod u-s FILE...





非root用户执行 cat /etc/shadow 会提示权限不足




当root用户执行 chmod u+s /usr/bin/cat 时，然后运行，执行成功



发现非root用户临时具有了可执行该文件的权限







可执行文件上SGID权限

    任何一个可执行程序文件能不能启动为进程，取决于发起者对程序文件是否拥有执行权限


    启动为进程后，其进程的属主为原程序文件的属组


    权限设定：


        chmod g+s FILE...


        chmod g-s FILE...





目录上的SGID权限

    默认情况下，用户创建文件时，其属组为此用户所属的主组


    一旦某目录被设定了SGID，则对此目录有写权限的用户在此目录中创建的文件所属的组为此目录的属组


    通常用于创建一个协作目录


    权限设定：


        chmod g+s FILE...


        chmod g-s FILE...





Sticky位：

    具有写权限的目录通常用户可以删除该目录中的任何文件，无论该文件的权限或拥有权


    在目录设置Sticky位，只有文件的所有者或root可以删除该文件


    sticky 设置在文件上无意义


    权限设定：


        chmod o+t DIR...


        chmod o-t DIR...


    








此特殊的权限也可以用数字来表示




SUID SGID STICKY 

    000 0 

    001 1 

    010 2 

    011 3 

    100 4 

    101 5 

    110 6 

    111 7 

权限放到最前方，比如 chmod 3666 /testdir/abc.txt










权限位映射：




  SUID:user,占据属主的执行权限位

    s:属主拥有x权限


    S:属主没有x权限

  SGID:group，占据属组的执行权限位

    s:属组拥有x权限


     S:属组没有x权限

  Sticky:other,占据other的执行权限位

    t:其他拥有x权限


    T:其他没有x权限








设置文件特定的属性





chattr +i 使文件不能删除，改名，更改





chattr +a 文件只能增加



lsattr 显示特定属性







访问控制列表


ACL:Access Control List:可以实现灵活的权限管理

除了文件的所有者，所属组和其他人，可以对更多的用户设置权限

centos 7.0默认创建的xfs和ext4文件系统有ACL功能

centos 7.x之前版本，默认手工创建的ext4文件系统无ACL功能，需要手动添加：

    tune2fs -o acl /dev/sdb1


    mount -o acl /dev/sbd1 /mnt


ACL生效顺序：所有者，自定义用户，自定义组，其他人




可以为多用户或者组的文件和目录赋予访问权限rwx

    mount -o acl /directory


    getfacl file|directory     查看文件或者目录的acl列表


    setfacl -m u:cent:rwx file|directory 使用户cent拥有rwx权限


    setfacl  -Rm g:sales:rwX directory 使组sales拥有目录下面的rwX权限

    setfacl  -M  file.acl file|directory 通过文件来调用权限

    setfacl  -m  g:salesgroup:rw file| directory 

    setfacl  -m  d:u:wang:rx  directory 在目录下新建的文件就有该权限

    setfacl  -x  u:wang  file |directory 删除用户权限

    setfacl  -X file.acl  directory  通过文件来删除用户权限







ACL文件上的group权限是mask值(自定义用户，自定义组，拥有组的最大权限)，而非传统的组权限       

getfacl 可看到特殊权限：flags

默认ACL权限给了x，文件也不会继承x权限

base ACL 不能删除

setfacl -k dir 删除默认acl权限

setfacl -b file 清除所有acl权限

getfacl file1 | setfacl --set-file=- file2 复制file1的acl权限给file2




mask 只影响除所有者和other的之外的人和组的最大权限

mask需要与用户的权限进行逻辑与运算后，才能变成有限的权限

用户或组的设置必须存在于mask权限设定范围内才会生效

    setfacl -m mask::rx file

--set 选项会把原有的ACL项都删除，用新的替代，需要注意的是一定要包含UGO的设置，不能像-m一样只是添加ACL就可以

      setfacl --set u::rw,u:cent:rw,g:;r,o:: -file 




备份和恢复ACL

主要的文件操作命令cp和mv都支持ACL,只是cp命令需要加上-p参数，但是tar等常见的备份工具是不会保留目录和文件的ACL信息

比如：


    getfacl -R /testdir/dir1 > acl.txt


    setfacl -R -b /tmp/dir1 

    setfacl -R  --set-file=acl.txt  /tmp/dir1 

    getfacl -R /tmp/dir1

比如：

在/data/testdir里创建的新文件自动属于g1组，组g2的成 员如：alice能对这些新文件有读写权限，组g3的成员如 ：tom只能对新文件有读权限，其它用户（不属于 g1,g2,g3）不能访问这个文件夹

chgrp g1 testdir


chmod g+s testdir


setfacl -dm g:g2:rw testdir

setfacl -dm g:g3:r testdir

chmod o= testdir​

一、 权限之粘着位 

Linux中有一个存放临时文件的目录/tmp（类似于Windows中的temp目录），每个用户产生的临时文件都存放在此目录下，也就是说每个用户对/tmp目录都应该有写权限（否则无法拷贝生成文件），这样造成一个问题，比如，高洛峰在/tmp目录下创建了一个文件，张沫看着不爽就可以删掉，这如何控制？ 
其实，这种情况永远都不会发生，因为/tmp目录有一个特殊的权限标记： 
ls -ld /tmp 
drwxrwxrwt 5 root root 4096 May 24 13:55 /tmp 
瞧见那个rwx权限最后的“t”了没，那个神奇的“t”就是粘着位t（有的资料中文也称为粘滞位），是Linux特殊权限中的第三个（另外两个是SetUID和SetGID），定义为：权限为777的目录设置粘着位t以后，具有写权限每个用户都可以在目录下创建文件，不同的是每个用户只能删除自己是所有者的文件，也就是说只能删除自己创建的文件。 
读者可以做一下试验，重复一下《草根》第二期“从ls命令开始”中的案例一操作（给目录/test授予777权限用一个普通用户登录删除另一个普通用户创建的文件），不过这次创建的目录/test多授予它一个粘着位权限： 
chmod o+t /test # 或 chmod 1777 /test 
此时普通用户尝试删除其他用户的文件时，会给出提示“Operation not permitted”（中文翻译：你丫没事吧，瞎得瑟啥，哥的文件你删不了）。 

二、 文件系统权限 

每个操作系统都要有一种组织管理数据的方式，我们可以理解为就是文件系统，比如Windows的NTFS、FAT ，Linux的EXT ，而在Linux加载分区时可以针对文件系统进行权限设定。 
配置文件/etc/fstab保存了Linux启动时自动加载的分区信息，/etc/fstab文件中第四项定义了加载时的设置，默认为defaults ，包括rw、suid、dev、exec、auto、nouser、async ，如果想改变整个分区的限定，可以利用这些选项。本文举两例说明，证明基于文件系统的权限那是相当霸道。 

案例一：只读分区 

默认加载分区是可读写rw的，但是如果特殊应用希望分区加载后是只读的，可以做一下设置： 
vi /etc/fstab # 编辑/etc/fstab文件在defaults后加入ro选项（逗号分隔） 
LABEL=/soft /soft ext3 defaults,ro 1 2 
mount -o remount /soft # 重新加载/soft分区，使设置生效 
如果你不嫌麻烦也可以重启系统，设置同样会生效。 
此时整个/soft分区都是只读的，用root登录后执行： 
touch /soft/testfile 
touch: cannot touch `testfile': Read-only file system 
会提示/soft分区是只读的，即便牛X到是root也不可以创建文件，这是凌驾于rwx权限之上的文件系统权限，相当的牛A与牛C之间。像本例是笔者公司的软件共享目录，一般半个月才更新一次软件，平时不想任何人增加或删除（包括不希望root用户误删除），所以设置为ro ，更新软件时，可以临时更改会rw来设置： 
mount -o remount,rw /soft 
在命令行上也可以设置分区权限，但是只是当前会话有效，而写入/etc/fstab文件后则会一直有效。 

案例二：安全分区 

数据存储的分区，如用做备份的分区，我们可以增加下安全设置选项： 
vi /etc/fstab # 编辑/etc/fstab文件在defaults后加入noexec选项 
LABEL=/backup /backup ext3 defaults,noexec 1 2 
mount -o remount /backup # 重新加载/backup分区，使设置生效 
此时做个试验，我们使用普通用户拷贝一个命令文件pwd在/backup目录下 
cp /bin/pwd /backup 
/backup/pwd 
-bash: pwd: Permission denied 
ls -l pwd 
-rwxr-xr-x 1 liming liming 93560 Sep 25 10:13 pwd 
命令拷贝到/backup下虽然具有可执行权限，但是也无法执行，在/backup分区下，任何可执行文件都将不能执行，这么做的意义在哪里？如果攻击程序、木马、病毒不能够执行，那么就相当于没有意义。 
其他选项不做更多演示，这里只抛砖引玉，其他选项设置读者可man mount查看，查看-o选项中的详细介绍，更多设置读者可自行尝试，所谓授之以鱼不如授之以渔读万卷书不如行万里路万恶淫为首窗前明月光啊。 

三、 权限之chattr 
chatrr只有超人root用户可以使用，用来修改文件的权限属性，建立凌驾于rwx基础权限之上的授权。 
在此介绍两个常用选项： 
a 只允许在文件后追加数据，如果目录具有此属性，系统将只允许在目录下建立和修 
改文件，而不允许删除任何文件。 
i 不允许对文件进行任何修改，如果目录具有此属性，那么只能修改目录下的文件， 
不允许建立和删除文件。 

案例一：无法删除和更改的文件 
如果要建立一个公共访问的目录，大家都可以删除和创建、拷贝文件，但是有一个基本的使用此目录的规则，要建立一个说明文件README ，这个文件不允许大家删除和修改，则可以如下设置： 
chattr +i README 
这时，README文件所在目录所有用户都有读写权限，但是任何用户都无法删除README文件（包括root），尝试删除会提示： 
rm README 
rm: remove write-protected regular empty file `README'? y 
rm: cannot remove `README': Operation not permitted 
同样也不可以改变文件的内容，可以查看到README文件被增加了一个不可更改的属性： 
lsattr README 
----i-------- README 
此时，README变成了一个非常牛XX的文件，即便你是SuperUser也无法删除和修改它，想对它干嘛都不成。 
若要更改或删除文件也必须先去掉i属性才可以： 
chattr -i README 

案例二：备份目录应用 
假设有这样一种应用，我们每天自动化实现把上海服务器的日志通过scp和rsync远程备份到北京的备份服务器上，备份服务器的存储目录可设置为只可创建文件而不可删除。 
chattr +a /backup/log 
设置后，可在本机测试： 
cp /var/log/messages /backup/log # 可以拷贝文件 
rm /backup/log/messages # 删除文件则被禁止 
rm: remove regular file `messages'? y 
rm: cannot remove `messages': Operation not permitted 
chattr命令不宜对目录/、/dev、/tmp、/var等设置，严重者甚至容易导致系统无法启动，比如根目录如果设置了i属性，谨慎设置，看过此文试验后造成系统问题者，笔者概不负责…… 

四 权限之ACL 
Linux中默认的权限管理比较菜，难以实现复杂的权限控制，如针对一个文件设置几个用户或用户组具有不同权限，这就需要依靠ACL（Access Control List）访问控制列表实现，可以针对任意指定的用户/用户组分配权限。 
开启分区的ACL功能 ，需要在/etc/fstab文件中加入acl选项，如： 
LABEL=/backup        /backup        ext3        defaults,acl        1 2 
然后重新加载分区即可生效： 
mount -o remount /backup 
如果想临时生效可不修改/etc/fstab文件，直接执行命令“mount -o remount,acl /backup”即可。 

案例：设定复杂权限控制目录 
设定目录/backup/log用户zhangsan有读写执行权限，用户lisi有读权限，用户wangwu有读写权限，而用户组bakgroup有读和执行权限，则可做如下设置： 
setfacl -m u:zhangsan:rwx,u:lisi:r,u:wangwu:rw,g:bakgroup:rx /backup/log 
setfacl -m可以设置文件/目录的访问权限，至于权限设定的写法包括三个组成部分，第一部分列出设定对象是用户u或用户组g ；第二部分指定用户名或用户组名；第三部分指定访问权限rwx ，设定多组权限中间用逗号分隔。如“u:lisi:r”表示设定用户lisi为只读权限。 
查看目录属性： 
ls -ld /backup/log 
drwxrwxr-x+ 2 root root 4096 May 25 07:16 /backup/log 
会发现文件权限位后增加了一个加号，这说明/backup/log设置了ACL ，同时可以查看其详细的权限设置： 
getfacl /backup/log 
# file: backup/log 
# owner: root 
# group: root 
user::rwx 
user:zhangsan:rwx 
user:lisi:r-- 
user:wangwu:rw- 
group::r-x 
group:bakgroup:r-x 
mask::rwx 
other::r-x 
这样即可实现Linux中文件/目录的复杂权限控制，要注意的是ACL优先于基本权限设置，也就是说如果默认所属组为rx权限，但是ACL若指定了所属组中某个成员为rwx权限，则此成员拥有rwx权限。 

五 权限之管理员授权 
管理员做为特权用户，很容易误操作造成不必要的损失，再者都是root管理也怪累的，管理员也是人，也需要留点时间去约约会看看电影装装傻发发呆啥的不是……所以健康的管理方法是Linux服务架构好后，可授权普通用户协助完成日常管理，现在最流行的工具是Sudo ，几乎所有Linux都已缺省安装。 
Sudo使用简单，管理员root使用visudo命令即可编辑其配置文件/etc/sudoers进行授权，具体格式为： 
用户名/用户组名        主机地址=授权命令（绝对路径） 
如，授权用户zhaoliu可以关机和重启，则添加如下行： 
zhaoliu        Helen=/sbin/shutdown,/sbin/reboot 
指定组名用百分号标记，如%admgroup ，多个授权命令之间用逗号分隔。 
用户zhaoliu可以使用sudo查看授权的命令列表： 
sudo -l 
Password: 
User zhaoliu may run the following commands on this host: 
    (root) /sbin/shutdown 
    (root) /sbin/reboot 
提示输入密码为zhaoliu的密码，验证其是否为管理员通过sudo授权的用户，执行命令： 
sudo /sbin/shutdown -h now 
zhaoliu即可关机，注意命令写绝对路径，或者把/sbin路径导入到用户缺省路径中，否则无法执行。 

案例：授权用户管理Apache 
授权一个用户管理你的Web服务器，不用自己插手是不是很爽，以后修改设置更新网页什么都不用管，一定Happy死了，LOOK—— 
首先要分析授权用户管理Apache至少要实现哪些基本授权： 
1、可以使用Apache管理脚本 
2、可以修改Apache配置文件 
3、可以更新网页内容 
假设Aapche管理脚本为/etc/rc.d/init.d/httpd ，满足条件一，用visudo进行授权： 
zhaoliu        Helen=/etc/rc.d/init.d/httpd reload,/etc/rc.d/init.d/httpd configtest 
授权用户zhaoliu可以通过Apache管理脚本重新读取配置文件让更改的设置生效（reload）和可以检测Apache配置文件语法错误（configtest），但不允许其执行关闭（stop）、重启（restart）等操作。 
满足条件二，同样使用visudo授权： 
zhaoliu        Helen=/bin/vi /etc/httpd/conf/httpd.conf 
授权用户可以root身份使用vi编辑Apache配置文件。 
以上两种sudo的设置，要特别注意，很多朋友使用sudo会犯两个错误：第一，授权命令没有细化到选项和参数；第二，认为只能授权管理员执行的命令。 
条件三则比较简单，假设网页存放目录为/var/www/html ，则只需要授权zhaoliu对此目录具有写权限或者索性更改目录所有者为zhaoliu即可，如果需要还可以设置zhaoliu可以通过FTP等文件共享服务更新网页。 
本文所有操作在Red Hat Enterprise Linux 5.4下完成，其他Linux基本无差异，本文基本涵盖Linux的所有权限管理方式，虽不细致但足以让读者对其有一个整体的了解。 
最后请切记系统安全的基本原则：授权用户最小的权限。 
蜘蛛侠说“能力越大责任越大”，Linux管理员说“能力越大出错几率越大”，阿门。