RHCA考试基础（三）

权限和归属

基本权限的类别

访问方式(权限)

    读取：允许查看内容-read    r

    写入：允许修改内容-write    w

    可执行：允许运行和切换-execute  x

权限适用对象(归属)

    所有者：拥有此文件/目录的用户-user  u

    所属组：拥有此文件/目录的组-group      g

    其他用户：除所有者、所属组以外的用户-other   o

查看权限

    -ls  -ld  文件或目录...

    以 -  开头：文本文件

    以 d 开头：目录

    以 l 开头：快捷方式

 

chmod  设置基本权限

    chmod [-R] 归属关系+-=权限类别 文档...

    -R : 递归修改目录下所有内容，及子目录所有内容

    [root@server0 ~]# mkdir /nsd01

    [root@server0 ~]# chmod u-w /nsd01

    [root@server0 ~]# chmod g+w /nsd01

    [root@server0 ~]# chmod o=--- /nsd01

    [root@server0 ~]# chmod u=rwx,g=rwx,o=rwx /nsd01

    [root@server0 ~]# chmod ug=rw /nsd01

    [root@server0 ~]# chmod -R ugo=r /opt/tarena/

 

Linux判断用户具备的权限

     1.判断用户所属的身份（角色）  所有者>所属组>其他人  匹配即停止

     2.相应权限位的权限

 

    目录的 r 权限:能够 ls 浏览此目录内容

    目录的 w 权限:能够执行 rm/mv/cp/mkdir/touch/... 等更改目录内容的操作

    目录的 x 权限:能够 cd 切换到此目录

############################################################

以root用户新建/nsddir/目录，在此目录下新建readme.txt文件，并进一步完成下列操作

 1）使用户zhangsan能够在此目录下创建子目录 切换用户 su - zhangsan

     chmod o+w  /nsddir/

 2）使用户zhangsan不能够在此目录下创建子目录

     chmod o-w  /nsddir/

 3）使用户zhangsan能够修改readme.txt文件

     chmod o+w  /nsddir/readme.txt

 4）调整此目录的权限，使所有用户都不能cd进入此目录

     chmod u-x,g-x,o-x  /nsddir/

 5）为此目录及其下所有文档设置权限 rwxr-x---

     chmod -R  u=rwx,g=rx,o=---  /nsddir/

############################################################

chown  设置文档归属

    -chown [-R] 属主 文档...

    -chown [-R] :属组 文档...

    -chown [-R] 属主:属组 文档...

    [root@server0 /]# mkdir /nsd06

    [root@server0 /]# useradd tom

    [root@server0 /]# groupadd stugrp

    [root@server0 /]# chown tom:stugrp  /nsd06

    [root@server0 /]# chown root /nsd06

    [root@server0 /]# groupadd tedu

    [root@server0 /]# chown :tedu /nsd06

 

附加权限(特殊权限)

Set GID：附加在属组的x 位上

    属组的权限标识会变为s

    适用于目录,Set GID可以使目录下新增的文档自动设置与父目录相同的属组

    继承所属组身份

    [root@server0 /]# mkdir /nsd09

    [root@server0 /]# chown :stugrp  /nsd09

    [root@server0 /]# mkdir /nsd09/test01

    [root@server0 /]# chmod g+s /nsd09

    [root@server0 /]# mkdir /nsd09/abc01

    [root@server0 /]# mkdir /nsd09/abc01/nsd

    [root@server0 /]# ls -ld /nsd09/abc01/nsd

 

Set UID:附加在属主的x 位上

    属主的权限标识会变为 s

    适用于可执行文件,Set UID可以让使用者具有文件属主的身份及部分权限

    传递Set UID文件所有者身份

    [root@server0 ~]# ls /usr/bin/mkdir 

    [root@server0 ~]# /usr/bin/mkdir /opt/test01

    [root@server0 ~]# cp /usr/bin/mkdir /usr/bin/hahadir

    [root@server0 ~]# /usr/bin/hahadir /opt/test02

    [root@server0 ~]# ls /opt/

 

    [root@server0 ~]# ls -l /usr/bin/hahadir 

    [root@server0 ~]# chmod u+s /usr/bin/hahadir

    [root@server0 ~]# ls -l /usr/bin/hahadir 

    [root@server0 ~]# su - student

    [student@server0 ~]$ /usr/bin/mkdir nsd01

    [student@server0 ~]$ ls -l

 

    [student@server0 ~]$ /usr/bin/hahadir nsd02

    [student@server0 ~]$ ls -l 

 

Sticky Bit:附加在其他人的x 位上

    其他人的权限标识会变为 t

    适用于开放 w 权限的目录,可以阻止用户滥用 w 写入权限(禁止操作别人的文档)

    [root@server0 ~]# mkdir /public

   [root@server0 ~]# chmod ugo=rwx /public

   [root@server0 ~]# ls -ld /public

   [root@server0 ~]# chmod o+t /public

   [root@server0 ~]# ls -ld /public

 

acl访问控制列表

acl访问策略

    能够对个别用户、个别组设置独立的权限

    大多数挂载的EXT3/4、XFS文件系统默认已支持

    [root@server0 /]# mkdir /nsd11

    [root@server0 /]# chmod o=--- /nsd11

    [root@server0 /]# setfacl -m u:zhangsan:rx /nsd11

 

    getfacl 文档...                                        #查看ACL访问控制列表

    setfacl [-R] -m u:用户名:权限类别 文档...     

    setfacl [-R] -m g:组名:权限类别 文档...

 

    setfacl [-R] -x u:用户名 文档...          #删除指定ACL

    setfacl [-R] -b 文档...                           #清空ACL

 

    [root@server0 /]# mkdir /nsd12

    [root@server0 /]# setfacl -m u:zhangsan:rwx /nsd12  

    [root@server0 /]# useradd lisi

    [root@server0 /]# setfacl -m u:lisi:rx /nsd12

    [root@server0 /]# setfacl -m u:tom:rx /nsd12

 

    [root@server0 /]# getfacl /nsd12

 

    [root@server0 /]# setfacl -x u:lisi  /nsd12   #删除指定用户的ACL

    [root@server0 /]# getfacl /nsd12

 

    [root@server0 /]# setfacl -b /nsd12     #删除目录所有的ACL

    [root@server0 /]# getfacl /nsd12

 

    [root@server0 /]# ls -ld /public

    [root@server0 /]# setfacl -m u:tom:--- /public    #禁止用户的所有权限

    [root@server0 /]# getfacl /public

 

使用LDAP认证

LDAP服务器：网络用户的集中管理，用户信息由LDAP服务器提供

本地用户：用户信息由/etc/passwd

LDAP服务器：classroom.example.com

 

1.安装客户端软件sssd，与LDAP网络用户服务器沟通

    [root@server0 /]# yum -y install sssd

2.安装图形工具 authconfig-gtk 配置sssd

    [root@server0 /]# yum -y install authconfig-gtk 

    [root@server0 ~]# authconfig-gtk 

    选择LDAP

    dc=example,dc=com             #指定服务端域名

    classroom.example.com         #指定服务端主机名

    勾选TLS加密

    使用证书加密:  http://classroom.example.com/pub/example-ca.crt

    选择LDAP密码

3.重起sssd服务，验证

    [root@server0 ~]# systemctl restart sssd

    [root@server0 ~]# grep 'ldapuser0' /etc/passwd

    [root@server0 ~]# id ldapuser0

 

家目录漫游

Network File System,网络文件系统

由NFS服务器将指定的文件夹共享给客户机

客户机将此共享目录mount 到本地目录，访问此共享资源就像访问本地目录一样方便

类似于EXT4、XFS等类型，只不过资源在网上

 

NFS共享服务器：classroom.example.com 

1.查看classroom有那些共享

    [root@server0 ~]# showmount -e classroom.example.com

    Export list for classroom:

    /home/guests 172.25.0.0/255.255.0.0

 2.挂载访问

    [root@server0 ~]# mkdir /home/guests

    [root@server0 ~]# mount classroom.example.com:/home/guests  /home/guests

    [root@server0 ~]# ls /home/guests

    [root@server0 ~]# su - ldapuser0

    [ldapuser0@server0 ~]# exit

 

内核升级

在虚拟机Server：

    # wget http://classroom.example.com/content/rhel7.0/x86_64/errata/Packages/kernel-3.10.0-123.1.2.el7.x86_64.rpm

                                                    //下载内核软件包，默认下载到当前路径

    # uname -r

    # rpm -ivh kernel-3.10.0-123.1.2.el7.x86_64.rpm 

    # reboot 

确认升级结果：

    [root@localhost ~]# ssh -X [email protected]

    # uname -r

    3.10.0-123.1.2.el7.x86_64