本文共 3575 字,大约阅读时间需要 11 分钟。
*1. 文件位置:*权力下放文件为 /etc/sudoers 直接用vim编辑时,不提供语法检测
可直接在命令行键入visudo 编辑此文件 它提供语法检测 *2.下放方式:*visudo专门编辑 /etc/sudoers 文件由于规范性 一般是在文件100行左右下放权利用户 主机名称 = (得到的用户身份) 权限命令 *3.*此时的所有命令必须用sudo来执行1.visudo写入代码:
## Allow root to run any commands anywhereroot ALL=(ALL) ALL ####在100行左右#用户命名#########主机名############=(用户权限) 无密码 文件地址 ###用户建立的标准模板 westos workstation.lab.example.com=(root) NOPASSWD: /usr/sbin/useradd ###用户建立 ## Allows members of the 'sys' group to run networking, software,
注意:
[root@foundation69 ~]# hostname #查看主机名称foundation69.ilt.example.com
查看主机名称
[root@foundation69 ~]# which fly #查看命令所在的文件/usr/bin/which: no fly in (/usr/local/bin:/usr/local/sbin:/usr/bin:/usr/sbin:/root/bin)
查看命令所在的文件
NOPASSWD: /usr/sbin/useradd #实现第一次无密码执行命令
实现第一次无密码执行命令
2.下放权限
1.查看文件权限
ls -l file #查看文件属性ls -ld filedir/ #查看目录的属性ll filell -d filedir/
2.代码
命令 | 作用 |
---|---|
chown | 修改所属用户 |
chgrp | 修改组 |
chown -R | 递归修改 |
chown 用户名;组名称 | 修改所属用户与组 |
1.权限的分析
-rw-r--r--. 1 root root 0 Jan 2 18:01 file1
第几位 | 含义 | 备注 |
---|---|---|
1 | 文件的类型 | - :文本文件或者空文件 d:目录 s: 套接字(socket)(接口,门 )l:软链接 (快捷方式)b:block块设备 c:字符设备:显示字符的设备 |
2 | 文件的权限 | 三个字符为一类,分别代表u 文件拥有者,g 文件所有组,o其他人对于文件进行的r ,w ,x,-操作。r用数字4代表,w用2代表,x用1代表 |
3 | 硬链接或者子目录的个数 | 对文件,文件中包含的硬链接个数。对目录,文件包含的子目录的个数 |
4 | 文件的所有人 | |
5 | 文件的所有组 | |
6 | 文件大小或者元数据 | 对文件,代表文件的大小 对目录,代表目录中子文件元数据大小 |
7 | 文件最后一次被修改的时间 | |
8 | 文件的名字 |
2.权限类型
R(readable)
W (writeable)
X(excutable)
命令 | 作用 |
---|---|
chmod u+x /mnt/file1 | 对file1文件user添加执行权限 |
chmod g-r /mnt/file2 | 消减file2文件group的读权限 |
chmod ug-r /mnt/file3 | 消减file3文件user和group的读权限 |
chmod u-r,g+x /mnt/file4 | 消减file4文件user的读权限,对group添加执行权限 |
chmod -r /mnt/file5 | 消减file5文件的读权限 |
chmod o=r-x /mnt/file6 | 将file6的other权限用rwx覆盖 |
chmod -R <u | 递归更改 |
1.系统预留权限阀值
2.umask命令
代码:
vim /etc/bashrc
**1. SUID:**只针对于二进制可执行文件 , 使用拥有SUID权限的文件发其中记录的程序时以文件拥有者的身份去执行
chmod u+s file/dirchmod 4XXX file/dir2.sgid##强制位 对目录-当目录上有sgid权限时任何人在此目录中建立的文件都属于目录的所有组; 对文件-二进制可执行文件,当文件上有sgid时,任何人执行此文件产生的进程都属于文件的组
chmod g+s file/dirchmod 2XXX file/dir3.sticky (粘制位)对目录: (目前只讨论对目录的作用)在一个目录上设置了sticky权限时,这个目录中的文件只能被文件的所有者和超户删除。
chmod o+t dirnamechmod 1### dirname
传统的权限仅有三种身份 (owner,group,othe)搭配三种权限 (r,w,x), 并没有办法单纯的针对
某一个使用者或某一个群组来设置特定的权限需求 , 此时就得要使用 ACL( 文件访问控制 列表 ,Access Control List) 这个机制getfacl file ##查看acl开启的文件的权限
命令 | 作用 |
---|---|
file: file — | 文件名称 |
owner: root | 文件拥有者是root |
group: root | 文件拥有组是root |
user::rw- | 文件拥有人的权限为读写 |
user:kiosk:rwx | 指定用户的权限为读写执行 |
group::r– | 文件拥有组的权力为读 |
mask::rwx | 能赋予用户的最大权力伐值 |
setfacl -m u:username:rwx file ##设定username对file拥有的rwx权限setfacl -m g:group:rwx file ##设定group组成员对file拥有的rwx权限setfacl -x u:username file ##从acl列表中删除usernamesetfacl -b file ##关闭file上的acl列表
acl的默认权限
acl默认权限只针对目录设定
setfacl -m d:u:student:rwx /mnt/westos #其中,d(default)1.acl权限设置后只针对权限只对新建的文件或者目录生效
setfacl -k /mnt/westos #关闭default继
2.对已经存在递归继承facl
setfacl -R -m u:student:rwx /mnt/westos
权限设定过程中的优先级 userperm > acluser> aclgroup>groupperm>otherperm
代码:
setfacl -m m:rwx westos
转载地址:http://mbzrf.baihongyu.com/