Linux系统运维初学之用户管理与文件权限

1.新建用户组,shengchan,caiwu,jishu
[root@localhost Desktop]# groupadd shengchan
[root@localhost Desktop]# groupadd caiwu
[root@localhost Desktop]# groupadd jishu
2.
新建用户要求如下:
    * tom
shengchan组的附加用户
    * harry
caiwu组的附加用户
    * leo
jishu组的附加用户
    *
新建admin用户,此用户不属于以上提到的任何部门
[root@localhost Desktop]# useradd -G tom shengchan
[root@localhost Desktop]# useradd _G harry caiwu
[root@localhost Desktop]# useradd -G leo jishu
[root@localhost Desktop]# useradd admin
3.
新建目录要求如下:
    */pub
目录为公共存储目录对所有用户可以读,写,执行,但用户只能删除属于自己的文件
    */sc
目录为生产部存储目录只能对生产部人员可写入,并且生产部人员所建立的文件都自动  归属到shengchan组中
    */cw
目录为财务部存储目录只能对财务部人员可写入,并且财务部人员建立的文件都自动归属到caiwu组中
    *admin
用户能用touch工具在/sc目录和/cw目录中任意建立文件,但不能删除文件
[root@localhost Desktop]# mkdir /pub /sc /cw
[root@localhost Desktop]# ls -ld /pub /sc /cw
[root@localhost Desktop]# chmod 1777 /pub/
[root@localhost Desktop]# chmod 2770 /sc/
[root@localhost Desktop]# chgrp shengchan /sc
[root@localhost Desktop]# chgrp caiwu /cw
[root@localhost Desktop]# chmod 2770 /cw su -
[root@localhost Desktop]# visudo
在任意空行位置输入:allow admin to touch file
admin localhost=
rootNOPASSWD: /usr/bin/touch
保存并退出
[root@localhost Desktop]# su - admin
[admin@localhost
]# sudo /usr/bin/touch /sc/file

4.
设定普通用户新建文件权限为:"r--r-----"
[root@localhost Desktop]# vim /etc/profile
将普通用户的umnask改为226
      if [ $UID -gt 199 ] && ["`id -gn`" = "`id -un`" ]; then
         umask 226  ##
普通用户umask
      else
        umask 077    ##
超级用户umask                                                                     
      fi
[root@localhost Desktop]# vim /etc/bashrc
同上
[root@localhost Desktop]# source /etc/profile
[root@localhost Desktop]# source /etc/bashrc
在任意空行位置输入:allow admin to touch file
admin localhost=
rootNOPASSWD: /bin/touch
保存并退出
[root@localhost Desktop]# su - admin
[admin@localhost
]# touch /sc/file
在任意空行位置输入:allow admin to touch file
admin localhost=
rootNOPASSWD: /bin/touch
保存并退出
[root@localhost Desktop]# su - admin
[admin@localhost
]# touch /sc/file
5.
设定amdin用户可以通过sudo自由建立新用户
[root@localhost Desktop]# visudo
在任意空行位置输入:allow admin to create user
admin localhost=
rootNOPASSWD: /usr/sbin/useradd
保存并退出
[root@localhost Desktop]# su - admin

[admin@localhost ]# sudo /usr/sbin/useradd linux

unit 5  linux用户
1.
用户理解
用户就是系统使用者的身份
用户信息涉及到的系统配置文件:
/etc/passwd     ###
用户信息
用户:密码:uidgid:说明:家目录:用户使用的shell
/etc/shadow     ###
用户认证信息
用户:密码:最后一次密码修改该时间:最短有效期:最长有效期:警告期:非活跃期:帐号到期日
/etc/group      ###
组信息
组名称:组密码:组id:附加组成员
/etc/gshadow        ###
组认证信息
/home/username      ###
用户家目录
/etc/skel/.*        ###
用户骨架文件
2.
用户管理
1.用户建立
useradd    
参数        用户名字
        -u  ##
指定用户uid
        -g  ##
指定用户初始组信息,这个组必须已经存在
        -G  ##
指定附加组,这个组必须存在
        -c  ##
用户说明
        -d  ##
用户家目录
        -s  ##
用户所使用的shell/etc/shells记录了用户能使用shell的名字
2.用户删除
userdel     -r 
用户名称 -r表示删除用户信息及用户的系统配置

(3).
组的建立
groupadd   
组名字  ##建立组
groupdel   
组名字  ##删除组

监控命令:
watch -n 1 'tail -n 3 /etc/passwd /etc/group;echo ====;ls -l /home;echo ===;ls-l /mnt'


4.
用户id信息查看
id 
参数    用户
    -u  ##
用户uid
    -g  ##
用户初始组id
    -G  ##
用户所有所在组id
    -n  ##
显示名称而不是id数字
    -a  ##
显示所有信息
id+
用户名    查看用户的名称,各种id,初始组与附加组信息等
5.
用户信息更改
usermod
参数    用户
    -l  ##
更改用户名称
    -u  ##
更改uid
    -g  ##
更改gid
    -G  ##
更改附加组
    -aG ##
添加附加组
    -c  ##
更改说明
    -d  ##
更改家目录指定
    -md ##
更改家目录指定及家目录名称
    -s  ##
更改shell
    -L  ##
冻结帐号
    -U  ##
解锁


3.
用户权力下放
1.
在系统中超级用户可以下放普通用户不能执行的操作给普通用户
下放权力配置文件:/etc/sudoers

2.
下放权力的方法
*
)超级用户执行visudo进入编辑/etc/sudoers模式
*
)格式:
allow username to create user
获得权限用户    主机名称=(获得到的用户身份)  命令
test    desktop0.example.com=(root) /usr/sbin/useradd
可通过hostname命令查看主机地址
test
用户能在desktop0.example.com以超级用户身份执行/usr/sbin/useradd

3.
执行下放权限命令
sudo   
命令    ##如果第一次执行sudo需要输入当前用户密码
/etc/sudoers中如果设置如下:
test    desktop0.example.com=(root)     NOPASSWD
/usr/sbin/useradd
表示用户调用sudo命令的时候不需要自己密码

4.
用户认证信息的控制

chage  
参数    用户
    -d  ##
用户密码组后一次修改的时间,如果设定成0,用户登陆系统后必须修改自己的密码
    -m  ##
最短有效期
    -M  ##
最长有效期
    -W  ##
警告期
    -I  ##
用户非活跃天数
    -E  ##
帐号到期日格式 -E "YYYY-MM-DD"

unit6  
文件权限

1.
文件属性的查看

ls -l filename
-|rw-r--r--.|1| root| root|   46|Oct  1 05:03 |filename
— —————————  —  ———— ————    ——  ———————————— ————————
1    2       3   4      5      6     7             8

1."-":
文件类型
-   ##
普通文件
d   ##
目录
c   ##
字符设备
s   ##
套接字
p   ##
管道
b   ##
快设备
l   ##
连接

2."rw-r--r--":
文件读写权限
rw-|r--|r--
 *  $   @

*
所有人的权限   u
$
所有组的权限   g
@
其他人的权限   o

3."1":
对文件:文件内容被系统记录的次数(删除多少次能被系统删除掉)
对目录:目录中文件属性的字节数

4."root":
文件所有人

5."root":
文件所有组

6."46":
文件内容的大小

7."Oct  1 05:03":
文件最后一次被修改的时间

8."filename":
文件名字

2.
文件所有人所有组的管理

chown   username       file|dir    ##
更改文件的所有人
chown   username:groupname file|dir    ##
更改所有人所有组
chown -R username       dir     ##
更改目录本身及里面所有内容的所有人
chgrp -R groupname      dir     ##
更改目录本身及里面所有内容的所有组

监控命令
watch -n 1 ls -lR /mnt

3.
文件普通权限
rw-|r--|r--
 u  g   o
u
:文件所有人对文件可以读写
g
:文件组成员对文件可读
o
:其他人对文件可读
u
优先匹配,g次优先,oug不匹配时匹配

1.r
对文件:可以查看文件中的字符
对目录:可以查看目录中文件的信息

2.w
对文件:可以更改文件内字符
对目录:可以在目录中添加删除文件

3.x
对文件:可以运行文件内记录的程序动作
对目录:可以进入目录中

4.
字符方式修改该文件权限
chmod [-R] <+|-|=> file|dir  

chmod u-x file1         ##file1
拥有者去掉x权限
chmod g+w file1         ##file1
拥有组添加w权限
chmod u-x,g+w file1     ##file1
拥有者去掉x权,file1拥有组添加w权限
chmod ugo-r file2       ##file2
的用户组其他人去掉r权限
chmod ug+x,o-r file3        ##file3
用户和组添加x权限,其他人去掉r权限

5.
数字方式修改该文件权限
linux
r=4
w=2
x=1
文件权限数字表示方式
rw-|r--|r--
 u  g   o
u=rw-=4+2+0=6
g=r--=4+0+0=4
o=r--=4+0+0=4
所以文件权限表示为644

chmod  
修改后权限值    file
chmod   777 file

7=rwx
6=rw-
5=r-x
4=r--
3=-wx
2=-w-
1=--x
0=---


4.
系统默认权限的设定

从系统存在角度来说,开放权力越大,系统存在意义越高
从系统安全角度来说,开放权力越少,系统安全性越高
所以系统设定新建文件或目录会去掉一些权限
设定方式
umask       ##
查看系统保留权限默认为022
umask 077   ##
修改该系统保留权限为077,此设定为临时设定,只当前shell中生效

永久设定方式:
vim /etc/bashrc     ##shell
 70    if [ $UID -gt 199 ] && [ "`id -gn`" = "`id-un`" ]; then
 71       umask 002    ##
普通用户umask
 72    else
 73       umask 077    ##
超级用户umask                                                                      
 74    fi

vim /etc/profile    ##
系统
 59 if [ $UID -gt 199 ] && ["`id -gn`" = "`id -un`" ]; then
 60    umask 002   ##
普通用户umask
 61 else
 62    umask 077       ##
超级用户umask                                                                                        
 63 fi

以上两个文件umask设定值必须保持一致
source /etc/bashrc
source /etc/profile
让设定立即生效


5.
特殊权限
1.suid     
冒险位
之针对二进制可执行文件,
文件内记录的程序产生的进程的所有人为文件所有人
和进程发起人身份无关

设定方式:
chmod u+s file
suid=4
chmod 4xxx file

2.sgid     
强制位
对文件:只针对二进制可执行文件,
   
任何人运行二进制文件
   
程序时程序产生的进程的所有组都是文件的所有组
   
和程序发起人组的身份无关
对目录:当目录有sgid权限后,目录中新建的所有文件的所有组
   
都自动归属到目录的所有组之中,和文件建立者所在的组无关

设定方式:

chmod g+s file|dir
sgid=2
chmod 2xxx file|dir
   
3.sticky   
粘制位
t
权限:
只针对与目录,当一个目录上有t权限,那么目录中的文件只能被所有人删除

设定方式:
chmod o+t direcotry
t=1
chmod   1777 direcotry


你可能感兴趣的:(Linux系统运维初学之用户管理与文件权限)