linux从入门到精通-从基础学起,逐步提升,探索linux奥秘(十三)–权限设置注意事项和属主属组设置sudo操作
一、linux 权限设置 特殊注意事项
1、使用root用户创建一个文件夹(/oo),权限默认,权限如下:
[root@temphost /]# pwd
/
[root@temphost /]# mkdir oo
[root@temphost /]# ll
drwxr-xr-x 2 root root 4096 10月 14 16:24 oo
2、需要在oo目录下创建文件(oo/xx.txt),需要给777权限:
[root@temphost /]# touch oo/xx.txt
[root@temphost /]# ls -l oo/
总用量 0
-rw-r–r-- 1 root root 0 10月 14 16:28 xx.txt
[root@temphost /]# chmod 777 oo/xx.txt
[root@temphost /]# ll oo/
总用量 0
-rwxrwxrwx 1 root root 0 10月 14 16:28 xx.txt
3、切换到djh用户(不是文档所有者,也不是同组用户,属于other部分):
4、问题1:djh用户是否可以打开oo/xx.txt文件?【能打开】
5、问题2:djh用户是否可以编辑oo/xx.txt文件?【可以】
6、问题3:djh用户是否可以删除oo/xx.txt文件?【不可以,同样还不允许创建文件/文件夹、移动文件、重命名文件】
[root@temphost /]# su djh
[djh@temphost /]$ pwd
/
[djh@temphost /]$ vim oo/xx.txt
[djh@temphost /]$ rm -f oo/xx.txt
rm: 无法删除"oo/xx.txt": 权限不够
[djh@temphost /]$ cat oo/xx.txt
djh用户修改了此文件(/oo/xx.txt)
[djh@temphost /]$ touch oo/aa.txt
touch: 无法创建"oo/aa.txt": 权限不够
[djh@temphost /]$ mv oo/xx.txt /
mv: 无法将"oo/xx.txt" 移动至"/xx.txt": 权限不够
7、在Linux中,如果要删除一个文件,不是看文件有没有对应的权限,而是看文件所在的目录是否有写权限,如果有才可以删除。
[djh@temphost /]$ su root
密码:
[root@temphost /]# pwd
/
[root@temphost /]# ll oo/
总用量 4
-rwxrwxrwx 1 root root 45 10月 14 16:41 xx.txt
[root@temphost /]# chmod -R 777 oo/
[root@temphost /]# ll
总用量 106
drwxrwxrwx 2 root root 4096 10月 14 16:28 oo
[root@temphost /]# su djh
[djh@temphost /]$ pwd
/
[djh@temphost /]$ touch oo/aa.txt
[djh@temphost /]$ rm -f oo/xx.txt
[djh@temphost /]$ ll oo/
总用量 0
-rw-r–r-- 1 djh root 0 10月 14 17:00 aa.txt
二、linux属主与属组设置
属主:所属的用户(文件的主人)
属组:所属的用户组
前面的那个root就是属主
后面的那个root就是属组
这两项信息在文档创建的时候会使用创建者的信息(用户名、用户所属的主组名称)。
如果有时候去删除某个用户,则该用户对应的文档的属主和属组信息就需要去修改。
1、chown(重点)
1)作用:更改文档的所属用户
2)语法:#chown -R username 文档路径
3)案例:将刚才root用户创建的oo目录,所有者更改为djh
#chown djh oo/
[djh@temphost /]$ pwd
/
[djh@temphost /]$ chown djh oo/
chown: 正在更改"oo/" 的所有者: 不允许的操作
[djh@temphost /]$ su
密码:
[root@temphost /]# pwd
/
[root@temphost /]# chown djh oo/
[root@temphost /]# ll
drwxrwxrwx 2 djh root 4096 10月 14 17:00 oo
2、chgrp(了解)
1)作用:更改文档的所属用户组
2)语法:#chgrp -R groupname 文档的路径
3)案例:将刚才root用户创建的oo目录,所有者更改为djh,并且将所属用户组也改为djh
#chgrp djh oo/
[root@temphost /]# chgrp djh oo/
[root@temphost /]# ll
drwxrwxrwx 2 djh djh 4096 10月 14 17:00 oo
4)思考,如何通过一个命令实现既可以更改所属的用户,也可以修改所属的用户组呢?
答:可以实现的,通过chown命令
语法:#chown -R username:groupname 文档路径
5)案例:要求只使用chown指令,将oo目录的所属用户和用户组改回成root,并且包含其子目录
[root@temphost /]# ls -l /oo
总用量 0
-rw-r–r-- 1 djh root 0 10月 14 17:00 aa.txt
[root@temphost /]# pwd
/
[root@temphost /]# chown root:root oo/
[root@temphost /]# ll /oo
总用量 0
-rw-r–r-- 1 djh root 0 10月 14 17:00 aa.txt
[root@temphost /]# ll
drwxrwxrwx 2 root root 4096 10月 14 17:00 oo
三、linux扩展(1)
1、问题:
reboot、shutdown、init、halt、user管理,在普通用户身份上都是操作不了,但是有些特殊的情况下又需要有执行权限。又不可能让root用户把自己的密码告诉普通用户,这个问题该怎么解决?
2、该问题是可以被解决的,可以使用sudo(switch user do)命令来进行权限设置。Sudo可以让管理员(root)事先定义某些特殊命令谁可以执行。
1)默认sudo中是没有除root之外用户的规则,要想使用则先配置sudo。
2)Sudo配置文件:/etc/sudoers
a. 配置sudo文件请使用“#visudo”,打开之后其使用方法和vim一致
b. 配置普通用户的权限
3)Root表示用户名,如果是用户组,则可以写成“%组名”
ALL:表示允许登录的主机(地址白名单)
(ALL):表示以谁的身份执行,ALL表示root身份
ALL:表示当前用户可以执行的命令,多个命令可以使用“,”分割
3、案例:
本身djh用户不能添加用户,要求使用sudo配置,将其设置为可以添加用户,并且可以修改密码(但是不能修改root用户密码)。
#visudo
1)注意:在写sudo规则的时候不建议写直接形式的命令,而是写命令的完整路径。
路径,可以使用which命令来查看
2)语法:#which 指令名称
如:which useradd
3)如果在 visudo 中正编辑文件时,需要使用 which 指令,要么打开另一终端使用 which 指令,要么 利用 vim 自动切换命令方式,如::!which useradd 和 :!which passwd
查询完指令完整路径后,可以复制指令完整路径,然后按回车键返回 vim 编辑模式。
4)在添加好对应的规则之后就可以切换用户,切换到普通用户djh,再去执行:
5)此时要想使用刚才的规则,则以以下命令进行:
#sudo 需要执行的指令
[root@temphost /]# su djh
[djh@temphost /]$ useradd zhangsan
bash: /usr/sbin/useradd: 权限不够
[djh@temphost /]$ sudo useradd zhangsan
[sudo] password for djh:
[djh@temphost /]$ tail -3 /etc/passwd
tcpdump❌72:72:😕:/sbin/nologin
djh❌500:500:djh:/home/djh:/bin/bash
zhangsan❌501:501::/home/zhangsan:/bin/bash
6)在输入sudo指令之后需要输入当前的用户密码进行确认的操作(不是root用户密码),输入之后在接下来5分钟内再次执行sudo指令不需要密码。
7)特别注意:此处按照案例要求,不能让djh用户修改root密码,因此规则还需要调整,不然其可以修改root密码的:
[djh@temphost /]$ sudo usermod -g 503 zhangsan
[sudo] password for djh:
对不起,用户 djh 无权以 root 的身份在 temphost 上执行 /usr/sbin/usermod -g 503 zhangsan。
[djh@temphost /]$ passwd zhangsan
passwd: 只有根用户才能指定用户名称。
[djh@temphost /]$ sudo passwd zhangsan
[sudo] password for djh:
更改用户 zhangsan 的密码 。
新的 密码:
无效的密码: 过于简单化/系统化
无效的密码: 过于简单
重新输入新的 密码:
passwd: 所有的身份验证令牌已经成功更新。
[djh@temphost /]$ sudo passwd root
更改用户 root 的密码 。
新的 密码:
无效的密码: 过短
无效的密码: 过于简单
重新输入新的 密码:
passwd: 所有的身份验证令牌已经成功更新。
8)禁止修改root密码的配置(先允许全部,再拒绝root密码设置):
/usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd root
4、补充:在普通用户下怎么查看自己具有哪些特殊权限呢?
#sudo -l
5、温馨提示:sudo不是任何Linux分支都有的命令,常见centos与ubuntu都存在sudo命令。
6、实践练习:给普通用户设置一个关机命令执行权限。
login as: root
root@192.168.56.1’s password:
Last login: Mon Oct 14 14:13:36 2024 from 10.0.2.2
[root@temphost ~]# pwd
/root
[root@temphost ~]# su djh
[djh@temphost root]$ su root
密码:
[root@temphost ~]# visudo
#要求djh用户可以在任何主机上以root身份进行添加用户和设置密码(但是不能修改root用户密码)
102 djh ALL=(ALL) /usr/sbin/useradd,/usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd root, /sbin/reboot
[root@temphost ~]# su djh
[djh@temphost root]$ reboot
上一节关联链接请点击:
linux从入门到精通-从基础学起,逐步提升,探索linux奥秘(十二)–权限查看与设置