目录
1、sudo的授权
1.1、使用sudo给一个普通用户授予root用户的权限
1.2、 给组授予root用户权限
1.2.1、ip addr add + ip地址
1.3、sudo日志文件
1.4、练习
1.5、sudo切换需要密码验证
2、ACL(Access Control List)
2.1、设置ACL:setfacl指令
2.2、实现图中的要求
2.2.1、mask::(perms)
2.2.2、setfacl -x
2.2.3、setfacl -b + 文件
2.3、ACL类型
2.3.1、预设型
2.4、总结
2.5、练习
sudo, sudoedit ----- execute a command as another user
本质上就是让其他普通用户代替root用户去执行命令
哪些普通用户?在哪里执行命令?执行什么命令?
格式:user MACHINE=COMMANDSroot ALL=(ALL) ALL
root用户可以在任何机器上执行任何命令
root,代表用户名
ALL=(ALL),第一个ALL代表当前所在机器,第二个ALL代表所有命令
ALL,代表前面命令的所有的选项wangchen ALL=/usr/sbin/useradd,/usr/sbin/userdel
只允许wangchen这个用户执行/usr/sbin/useradd,/usr/sbin/userdel
命令需要写绝对路径,多个命令使用逗号隔开
为什么要使用sudo命令,让其他用户也有root用户的部分或者全部权限
1、其实就是普通用户可以享有root用户的权限去执行命令
2、不需要使用root用户登录了,因为root权力比较大,尽量不要使用root操作,容易出现误操作
3、为了避免暴露root用户的密码
4、使用过的命令都可以记录到日志(/var/log/secure)里,可以进行查询
本例是给普通用户授予"useradd"和"userdel"命令权限
第一步:首先我们需要给这个普通用户设置密码,因为到时候普通用户使用sudo命令,会需要我们输入普通用户的密码
[root@fttsaxf ~]# echo 1234|passwd wangchen --stdin
更改用户 wangchen 的密码 。
passwd:所有的身份验证令牌已经成功更新。
第二步:修改"/etc/sudoers"文件
在文件里搜索root,找到"## Allow root to run any commands anywhere"这一行,然后在下边添加一行代码
## Allow root to run any commands anywhere
root ALL=(ALL) ALL
wangchen ALL=/usr/sbin/useradd # 添加这一行代码,授予"wangchen"这个用户有"useradd"权限
# 然后使用"wq!"强制保存并且退出
第三步:执行useradd和userdel命令
[root@fttsaxf ~]# cat /etc/passwd|tail -1
wangchen:x:5566:5566::/home/wangchen:/bin/bash
[root@fttsaxf ~]# su - wangchen
上一次登录:四 3月 17 23:17:37 CST 2022pts/0 上
[wangchen@fttsaxf ~]$ sudo useradd test # 执行"useradd"命令
我们信任您已经从系统管理员那里了解了日常注意事项。
总结起来无外乎这三点:
#1) 尊重别人的隐私。
#2) 输入前要先考虑(后果和风险)。
#3) 权力越大,责任越大。
[sudo] wangchen 的密码: # 这里输入之前我们设定的用户密码,若下次短时间内又代替root执行命令的话,就不会又要求我们输入密码,但是时间过长之后,我们还是得输入密码。可以理解为临时缓存
[wangchen@fttsaxf ~]$ cat /etc/passwd|tail -2
wangchen:x:5566:5566::/home/wangchen:/bin/bash
test:x:7791:7791::/home/test:/bin/bash
[wangchen@fttsaxf ~]$ id test
uid=7791(test) gid=7791(test) 组=7791(test)
[wangchen@fttsaxf ~]$ sudo userdel -r test # 一定要有sudo这个选项
对不起,用户 wangchen 无权以 root 的身份在 fttsaxf 上执行 /sbin/userdel -r test。
# 我们不能够删除这个用户,因为我们之前只授予了"wangchen"这个用户"useradd"命令的权限
# 若是想要添加userdel这个命令的权限,wangchen ALL=/usr/sbin/useradd,/usr/sbin/userdel
# 添加之后:
[wangchen@fttsaxf ~]$ sudo userdel -r test
[wangchen@fttsaxf ~]$ cat /etc/passwd |tail -1
wangchen:x:5566:5566::/home/wangchen:/bin/bash
若是我们需要赋予多个用户多个命令怎么办呢?我们肯定不能够一个一个用户的去赋予多个命令的。 sudo里边有内置别名,我们也可以设置我们自己的别名。除了命令别名,还有用户和机器别名。
sudo命令别名设置
# 命令别名
## Installation and management of software
# 定义别名"SOFTWARE"里边包含"/bin/rpm"、"/usr/bin/up2date"和"/usr/bin/yum".
# Cmnd_Alias,是固定的语法,我们使用的时候,要将这段代码的注释取消
# 另外,我们要是定义自己的别名的时候,这个别名一定要大写才能够成功定义
# Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/up2date, /usr/bin/yum
然后我们在"/etc/sudoers"文件里修改
# 第一段代码,前边有我们只需要将注释取消就行,这里我把那段代码挪到了此处方便看
Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/up2date, /usr/bin/yum
root ALL=(ALL) ALL
wangchen ALL=/usr/sbin/useradd,/usr/sbin/userdel
linghuchong ALL=SOFTWARE # 别名的使用格式可以参照这里.定义linghuchong这个用户可以使用SOFTWARE这个命令别名里的所有命令
让普通用户执行yum命令
[linghuchong@fttsaxf ~]$ yum install bc -y # 这里可以看到普通用户不能够直接使用安装命令
已加载插件:fastestmirror
您需要 root 权限执行此命令。
[linghuchong@fttsaxf ~]$ sudo yum install bc -y # 这里可以看到我们定义命令别名成功
我们信任您已经从系统管理员那里了解了日常注意事项。
总结起来无外乎这三点:
#1) 尊重别人的隐私。
#2) 输入前要先考虑(后果和风险)。
#3) 权力越大,责任越大。
[sudo] linghuchong 的密码: # 我们要提前给这个用户设置好密码
已加载插件:fastestmirror
Determining fastest mirrors
epel/x86_64/metalink | 7.0 kB 00:00:00
* base: mirrors.aliyun.com
* epel: ftp.iij.ad.jp
* extras: mirrors.huaweicloud.com
* updates: mirrors.ustc.edu.cn
...
软件包 bc-1.06.95-13.el7.x86_64 已安装并且是最新版本
无须任何处理
组里的所有的用户都会继承这个权限。例子,新建wudong组,新建2个用户都加入wudang,然后再给这个组授予"KING"别名的命令。
格式:
## Allows people in group wheel to run all commands
%wheel ALL=(ALL) ALL # 组名字前边加一个"%"就行
第一步:新建组和用户,并给用户设置密码
[root@fttsaxf ~]# groupadd wudang
[root@fttsaxf ~]# useradd -g wudang wuji
[root@fttsaxf ~]# useradd -g wudang songqingshu
[root@fttsaxf ~]# echo 123|passwd wuji --stdin
更改用户 wuji 的密码 。
passwd:所有的身份验证令牌已经成功更新。
[root@fttsaxf ~]# echo 123|passwd songqingshu --stdin
更改用户 songqingshu 的密码 。
passwd:所有的身份验证令牌已经成功更新。
# 这里可以看到wuji和songqingshu都属于wudang了
[root@fttsaxf ~]# id wuji
uid=7791(wuji) gid=7790(wudang) 组=7790(wudang)
[root@fttsaxf ~]# id songqingshu
uid=7792(songqingshu) gid=7790(wudang) 组=7790(wudang)
第二步:授权,即修改"/etc/sudoers"
## Allows people in group wheel to run all commands
Cmnd_Alias KING = /usr/sbin/useradd,/usr/sbin/userdel
%wheel ALL=(ALL) ALL
%wudang ALL=KING
第三步:执行验证wuji和songqingshu这俩用户是否能够执行root的命令
# 验证wuji
[wuji@fttsaxf ~]$ sudo useradd wujin_son
我们信任您已经从系统管理员那里了解了日常注意事项。
总结起来无外乎这三点:
#1) 尊重别人的隐私。
#2) 输入前要先考虑(后果和风险)。
#3) 权力越大,责任越大。
[sudo] wuji 的密码:
对不起,请重试。
[sudo] wuji 的密码:
[wuji@fttsaxf ~]$ cat /etc/passwd|tail -1
wujin_son:x:7793:7793::/home/wujin_son:/bin/bash
# 验证songqingshu
[songqingshu@fttsaxf ~]$ sudo useradd songqingshu_son
我们信任您已经从系统管理员那里了解了日常注意事项。
总结起来无外乎这三点:
#1) 尊重别人的隐私。
#2) 输入前要先考虑(后果和风险)。
#3) 权力越大,责任越大。
[sudo] songqingshu 的密码:
[songqingshu@fttsaxf ~]$ cat /etc/passwd|tail -1
songqingshu_son:x:7794:7794::/home/songqingshu_son:/bin/bash
另外,若是普通用户代替 root用户使用useradd建立一个新用户且属于wudong这个组,也能够使用这个组拥有的命令别名。而且这个组,不管是主要组还是次要组,都会继承组里的权限。
表示给设备ens33网卡配置一个ip地址,子网掩码(255.255.255.0)的长度是24;长度为24,是因为255的二进制是"1111 1111",所以3个255就是24,即有24个1
sudo授权给普通用户去执行命令,linux系统会记录普通用户使用sudo执行过的所有命令。而记录的地方就是,/var/log/secure。日志文件是系统里的机密,普通用户一般看不了的。
[wangchen@fttsaxf ~]$ cat /var/log/secure
cat: /var/log/secure: 权限不够
[root@fttsaxf ~]# ll /var/log/secure
-rw-------. 1 root root 15769 3月 18 11:40 /var/log/secure
[root@fttsaxf ~]# cat /var/log/secure|grep sudo
Mar 18 11:13:16 fttsaxf sudo: wangchen : TTY=pts/1 ; PWD=/home/wangchen ; USER=root ; COMMAND=/sbin/useradd test
Mar 18 11:13:16 fttsaxf sudo: pam_unix(sudo:session): session opened for user root by root(uid=0)
Mar 18 11:13:16 fttsaxf sudo: pam_unix(sudo:session): session closed for user root
Mar 18 11:15:43 fttsaxf sudo: wangchen : command not allowed ; TTY=pts/1 ; PWD=/home/wangchen ; USER=root ; COMMAND=/sbin/userdel -r test
Mar 18 11:24:36 fttsaxf sudo: wangchen : command not allowed ; TTY=pts/1 ; PWD=/home/wangchen ; USER=root ; COMMAND=/sbin/userdel -r test
Mar 18 11:25:41 fttsaxf sudo: wangchen : TTY=pts/1 ; PWD=/home/wangchen ; USER=root ; COMMAND=/sbin/userdel -r test
Mar 18 11:25:41 fttsaxf sudo: pam_unix(sudo:session): session opened for user root by root(uid=0)
Mar 18 11:25:41 fttsaxf sudo: pam_unix(sudo:session): session closed for user root
练习1:
提示,做这个练习我们需要安装"net-tools",因为ifconfig是属于比较老的命令了。若是自己有就可以不安装,输入"ifconfig"若是有内容出现就表示有这个命令;若想让一个用户能够使用多个命令别名可以使用逗号连接。
练习2:
新建xiyouji,将bailongma、baigujing、yutujing的次要加入xiyouji组
gpasswd -M baigujing,bailongma,yutujing 这个命令可以批量加gpasswd -a,可以将用户的次要组加入xiyouji组
[root@fttsaxf ~]# gpasswd -a wuji shanxi
正在将用户“wuji”加入到“shanxi”组中
[root@fttsaxf ~]# id wuji
uid=7791(wuji) gid=7790(wudang) 组=7790(wudang),5566(shanxi)授予xiyouji,可以使用这些命令别名SOFTWARE, SERVICES, STORAGE, DELEGATING, PROCESSES
最后去验证
sudo切换过去第一次执行命令的时候,需要输入密码,而且第二次使用sudo命令,如果时间间隔比较短,可以不需要输入密码,如果时间间隔比较长,还是需要输入密码。
怎么才能让sudo命令不需要输入密码呢?
# 修改"/etc/sudoers"文件
wangchen ALL=(ALL) NOPASSWD:ALL
# 只需要在wangchen这个用户代码后边添加"NOPASSWD:ALL"
# 好像第二部分必须要是要ALL=(ALL)才能够在使用sudo的时候不输入密码,其他的情况就会报错
[root@fttsaxf ~]# su - wangchen
上一次登录:五 3月 18 23:39:45 CST 2022pts/2 上
[wangchen@fttsaxf ~]$ sudo useradd wangchen_son
[wangchen@fttsaxf ~]$ cat /etc/passwd|tail -1
wangchen_son:x:7795:7795::/home/wangchen_son:/bin/bash
# 可以看到sudo执行命令的时候没有让我们输入密码
一个文件/目录的访问控制列表,可以针对任意指定的用户/组使用权限字符分配rwx权限
setfacl - set file access control lists
格式:setfacl 选项 规则 文件
cali在这个组,却不能享受这个组的权力,叫做拒绝权限高于一切。扩展的访问控制
# 让wudang这个组可以对miji.txt有rwx的权限
[root@fttsaxf rough_book]# setfacl -m g:wudang:rwx miji.txt
[root@fttsaxf rough_book]# setfacl -m g:shaolin:rwx miji.txt
[root@fttsaxf rough_book]# setfacl -m g:sanchuang:--- miji.txt # 使sanchuang这个组没有对miji.txt有任何的权限
[root@fttsaxf rough_book]# id cali
uid=7796(cali) gid=7796(shaolin) 组=7796(shaolin)
[root@fttsaxf rough_book]# setfacl -m u:cali:--- miji.txt # 设置Cali这个用户没有miji.txt文件的任何权限
[root@fttsaxf rough_book]# getfacl miji.txt
# file: miji.txt
# owner: root
# group: root
user::rw-
user:cali:---
group::r--
group:wudang:rwx
group:shaolin:rwx
group:sanchuang:---
mask::rwx
other::r--
检验
[root@fttsaxf rough_book]# su dengjz # wudang组的dengjz有对这个文件的rwx权限
[dengjz@fttsaxf rough_book]$ cat miji.txt
tianxiawushuang
# sanchuang组的xiaohui不能对这个文件有rwx的权限
[root@fttsaxf rough_book]# su xiaohui
[xiaohui@fttsaxf rough_book]$ cat miji.txt
cat: miji.txt: 权限不够
# shaolin组的wangchen有对这个文件的rwx的权限
[root@fttsaxf rough_book]# su wangchen
[wangchen@fttsaxf rough_book]$ cat miji.txt
tianxiawushuang
# cali这个用户虽然在shaolin组里,但是不能够对这个文件有rwx的权限
[root@fttsaxf rough_book]# su cali
[cali@fttsaxf rough_book]$ cat miji.txt
cat: miji.txt: 权限不够
既然wudang这个组对这个文件有权限,那么若是将Cali这个用户又加入wudang组是否能够有权限呢?
[root@fttsaxf rough_book]# gpasswd -a cali wudang
正在将用户“cali”加入到“wudang”组中
[root@fttsaxf rough_book]# id cali
uid=7796(cali) gid=7796(shaolin) 组=7796(shaolin),7790(wudang)
[root@fttsaxf rough_book]# su cali
[cali@fttsaxf rough_book]$ cat miji.txt
cat: miji.txt: 权限不够
# 显然答案是不可以的
由前提我们可知,snachuang对miji.txt文件是没有rwx的权限的。但是若我们将xiaohui这个用户对miji.txt这个文件有rwx的权限,那xiaohui这个yonghu到底是根据她所属的组还是自身对这个文件的权限来决定是否对miji.txt这个文件有rwx的权限呢?
[root@fttsaxf rough_book]# setfacl -m u:xiaohui:rwx miji.txt
[root@fttsaxf rough_book]# su xiaohui
[xiaohui@fttsaxf rough_book]$ cat miji.txt
tianxiawushuang
[xiaohui@fttsaxf rough_book]$ id xiaohui
uid=7798(xiaohui) gid=7797(sanchuang) 组=7797(sanchuang)
# ,由此可知,xiaohui用户根据自身对文件的权限来决定对文件的权限
设置有效的最大权限
图片解释:给过hello,rw的权限和给过cali,rw的权限。但是使用mask之后,权限受到了限制实际上都仅有r的权限
[root@fttsaxf rough_book]# getfacl miji.txt|grep sanchuang
group:sanchuang:---
[root@fttsaxf rough_book]# setfacl -x g:sanchuang miji.txt # 删除指定的ACL规则
[root@fttsaxf rough_book]# getfacl miji.txt|grep sanchuang
[root@fttsaxf rough_book]# getfacl miji.txt
# file: miji.txt
# owner: root
# group: root
user::rw-
user:cali:---
user:xiaohui:rwx
group::r--
group:wudang:rwx
group:shaolin:rwx
mask::rwx
other::r--
[root@fttsaxf rough_book]# setfacl -b miji.txt # 删除所有的ACL规则
[root@fttsaxf rough_book]# getfacl miji.txt
# file: miji.txt
# owner: root
# group: root
user::rw-
group::r--
other::r--
存取型ACL(Access ACL):文件或者目录
预设型ACL(Default ACL):只能对目录
默认情况下是存取型的
可以这么理解,有一个文件夹a/b/c。当a这个文件夹对wudang组开放rwx的权限,那么b、c都会都对wudang开放rwx权限
[root@fttsaxf rough_book]# mkdir -p a/b1/c1 # 先直接创建这些文件夹
[root@fttsaxf rough_book]# setfacl -m d:wangchen:rwx a
[root@fttsaxf rough_book]# ll -d a
drwxr-xr-x+ 3 root root 15 3月 19 11:52 a # 这里有一个"+"
[root@fttsaxf rough_book]# getfacl a
# file: a
# owner: root
# group: root
user::rwx
group::r-x
other::r-x
default:user::rwx
default:user:wangchen:rwx
default:group::r-x
default:mask::rwx
default:other::r-x
[root@fttsaxf a]# ll -d b1
drwxr-xr-x. 3 root root 15 3月 19 11:52 b1
[root@fttsaxf a]# mkdir b
[root@fttsaxf a]# ll -d b
drwxrwxr-x+ 2 root root 6 3月 19 11:54 b
[root@fttsaxf a]# su wangchen
[wangchen@fttsaxf a]$ cd b1
[wangchen@fttsaxf b1]$ mkdir hh
mkdir: 无法创建目录"hh": 权限不够
[wangchen@fttsaxf b1]$ cd ..
[wangchen@fttsaxf a]$ cd b
[wangchen@fttsaxf b]$ mkdir hh
# 由此可以看出我们要先给这个文件夹授予预设型,然后新建的文件才能继承父文件夹的权限。授予预设型之前建立的文件夹都不能够享有这个继承权限
图片解释,一个组允许,一个组拒绝,就是允许。
# 第一题:
[root@fttsaxf ~]# groupadd shuiguo
...
# 第二题:
useradd -g shuiguo pingguo
...
# 第三题:
[root@fttsaxf ~]# mkdir /food
[root@fttsaxf ~]# cd food
[root@fttsaxf food]# cp /etc/passwd .
[root@fttsaxf food]# ls
passwd
# 第四题:
[root@fttsaxf food]# setfacl -m g:shuiguo:rw-,u:jingshi:rwx,u:yueyanng:--- passwd
# 最后验证就由各位博友自己验证吧