linux用户权限管理(2).ppt
电子科技大学中山学院电子科技大学中山学院用户权限管理n掌握用于权限管理的常用命令n掌握用户权限管理的常用设置电子科技大学中山学院电子科技大学中山学院权限管理n修改文件所有者和所属组命令:chowno命令格式:chown-R 用户名用户名:组名组名 文件o-R:递归式修改,可修改目录下的所有内容o示例:chown user1 file1o示例:chown user1:group1 file1o示例:chown R user1 dir1 第2页,共20页电子科技大学中山学院电子科技大学中山学院权限管理n修改文件所有者和所属组命令:chgrpo命令格式:chgrp 组名组名 文件o示例:chgrp group1 file1o示例:chgrp R group1 dir1chown和chgrp的使用场合:o普通用户没有改变他人文件他人文件所有者属性的权限o普通用户没有改变自己文件自己文件所有者属性的权限。o只有系统管理者(root)才有这样的权限。第3页,共20页电子科技大学中山学院电子科技大学中山学院权限管理n修改文件权限属性命令:chmodo格式:chmod u|g|o|a+|-|=rwx 文件o格式:chmod nnn(数字组合)文件o示例:chmod u+x file1o示例:chmod 777 dir1权限项权限项权限项权限项读读写写执执行行读读写写执执行行读读写写执执行行字符表示字符表示(r)(w)(x)(r)(w)(x)(r)(w)(x)数字表示数字表示421421421权限分配权限分配文件所有者文件所有者u文件所属组文件所属组g其他人其他人o第4页,共20页电子科技大学中山学院电子科技大学中山学院权限管理n关于目录权限实验1:验证目录的rwx权限实验2:o将root创建的目录dir1权限设为777,在dir1下创建一个文件file1,问:file1所属的用户和组是什么?普通用户user1能删除这个文件吗?读(r)写(w)执行(x)文件可读取文件的内容可往文件写入内容可执行文件目录可查看目录下的内容可在目录下添加删除文件、目录可执行进入目录的操作第5页,共20页电子科技大学中山学院电子科技大学中山学院权限管理n默认权限umask命令:设置显示创建文件或目录时的默认权限oumask 显示默认权限掩码值oumask S 显示权限值oumask nnn(掩码值)设置默认权限umask值的设置o使用umask命令设置umask值后,重新登录shell时,所做设置失效。o如需对所有用户设置,可修改/etc/bashrc,如需对某个用户设置,可修改该用户主目录下的.bashrc文件。例子(文件或目录)例子(文件或目录)第6页,共20页电子科技大学中山学院电子科技大学中山学院n在默认权限的属性上,目录与文件是不一样的n由于不希望文件具有可执行的权力,默认情况中,文件是没有可执行(文件是没有可执行(x)权限的)权限的。n若用户建立为”文件”,则默认“没有可执行(x)项目”,即只有rw这两个项目,也就是最大为666分,默认属性如下:-rw-rw-rw-n若用户建立为”目录”,则由于x与是否可以进入此目录有关,因此默认为所有权限均开放,即为777分,默认属性如下:drwxrwxrwx 第7页,共20页电子科技大学中山学院电子科技大学中山学院计算方法numask 0022文件的默认权限:文件的默认权限:666-022=644rw-rw-rw-(-)-w-w-=rw-r-r-目录的默认权限:目录的默认权限:777-022=755rwx rwx rwx (-)-w-w-=rwx r-x r-x第8页,共20页电子科技大学中山学院电子科技大学中山学院计算方法umask 0033文件的默认权限:文件的默认权限:666-033=633rw-rw-rw-(-)-wx-wx目录的默认权限:目录的默认权限:777-033=744rwxrwxrwx (-)-wx-wx第9页,共20页电子科技大学中山学院电子科技大学中山学院权限管理n特殊权限setUid(设置用户设置用户id位位):对应符号对应符号so为什么普通用户可以使用passwd设置自己的密码从而修改只有root才拥有的写权限的/etc/passwd。o当一个程序一旦设置了该标记以后,运行该程序的用户将拥有该程序所有者同样的权限。o设置可执行文件可执行文件的s位:chmod u+s|4xxx fileo示例:设置/bin/touch的s位;设置vi的s位o注意注意:这个权限位是针对可执行文件而言的第10页,共20页电子科技大学中山学院电子科技大学中山学院权限管理n特殊权限setUid(设置用户设置用户id位位):对应符号对应符号so例子which vi ls l/bin/visu yuevi/etc/shadow(deny)su-chmod 4755/bin/vi或chmod u+s/bin/visu yuevi/etc/shadow(permit)取消取消VI的的设置用户设置用户id位位自己动手自己动手注意注意passwd命令的权限命令的权限第11页,共20页电子科技大学中山学院电子科技大学中山学院权限管理n特殊权限setGid(设置组设置组id位位)o运行该程序将拥有该程序所属组同样的权限。o设置方法:chmod g+s|2xxx file第12页,共20页电子科技大学中山学院电子科技大学中山学院权限管理n特殊权限例子:osu yueols l/rooto显示的结果?显示的结果?o切换到root用户ochmod g+s ls(可能要出现错误,思考解决的方法)o切换到yue用户ols l/rooto显示的结果?显示的结果?o取消所设的权限注意注意ls命令和目录命令和目录root的权限的权限chmod g+s ls第13页,共20页电子科技大学中山学院电子科技大学中山学院权限管理n特殊权限sticky(粘着位粘着位):对应符号对应符号to当一个目录被设置为“粘着位”时,则该目录下的文件只能由以下用户才能删除nrootn该目录的所有者o设置目录的t位:chmod+t|1xxx diro示例:n/tmp目录n设置权限为777的目录的t位,测试删除o注意:这个权限位是针对目录而言的。注意:这个权限位是针对目录而言的。演示演示第14页,共20页电子科技大学中山学院电子科技大学中山学院权限管理nsudo(superuser do)指令让用户以另一种身份(通常是以root身份)执行某些规定的命令规定的命令(命令可精确到选项)。当用户执行sudo时,会查找/etc/sudoers文件,以判断用户是否有执行sudo的权力执行sudo时需要输入用户自身的密码与su命令的区别sudo 授权许可使用的su,也是受限制的su 第15页,共20页电子科技大学中山学院电子科技大学中山学院权限管理针对每个管理员的技术特长技术特长和管理范围管理范围,并且有针对性的下放给权限,并且约定其使用哪些工具来完成与其相关的工作 通过sudo,我们能把某些超级权限有针对性的下放某些超级权限有针对性的下放,并且不需要普通用户知道root密码,所以sudo 相对于权限无限制性的su来说,还是比较安全的.sudo 执行命令的流程是当前用户切换到root(或其它指定切换到的用户),然后以root(或其它指定的切换到的用户)身份执行命令,执行完成后,直接退回到当前用户;而这些的前提是要通过sudo的配置文件/etc/sudoers来进行授权 第16页,共20页电子科技大学中山学院电子科技大学中山学院vi sudo指令n编辑/etc/sudoers文件可以用专用编辑工具visodu(或vi /etc/sudoers),此工具的好处是在添加规则不太准确时,保存退出时会提示给我们错误信息 用户 主机=(用户身份)命令beinan ALL=(root)/bin/chown,/bin/chmod如果在/etc/sudoers 中添加这一行,表示beinan用户可以在任何可能出现的主机名的系统中,可以切换到root用户下执行/bin/chown 和/bin/chmod 命令通过sudo-l 来查看beinan 在这台主机上允许和禁止运行的命令;username ALL=(ALL)ALL第17页,共20页电子科技大学中山学院电子科技大学中山学院批量增加用户n使用shell脚本脚本中使用useradd和passwd命令如何解决交互式输入密码的问题opasswd username stdinoecho 密码|passwd username stdinn使用newusers和chpasswd工具1、创建类似于/etc/passwd的文本文件user.txt2、使用命令:newusers user.txt3、使用命令:pwunconv 取消shadow功能4、创建“用户名:密码”格式的文本文件pass.txt5、使用命令:chpasswd pass.txt6、使用命令:pwconv启动shadow功能第18页,共20页电子科技大学中山学院电子科技大学中山学院磁盘配额n磁盘配额(quota)对用户|组设置硬盘容量限制使用情形使用情形:www服务器的网页空间容量限制;邮件服务器的邮箱空间容量限制注意注意:磁盘配额是针对整个分区的且只对root无效。磁盘配额限制内容o最低限制(soft):用户在一段时间(宽限时间)内可以超过最低限制的容量,但必须在宽限时间内将磁盘容量降到最低限制的容量范围之内。o最高限制(hard):“绝对不能超过”的容量,这个值应该比最低限制的值大。配置实例:qgroup(quser1,quser2)第19页,共20页电子科技大学中山学院电子科技大学中山学院磁盘配额n步骤1:文件系统启动磁盘配额支持 在/etc/fstab的选项字段设置启动quotao在第四个字段添加usrquota,grpquota重新载入文件系统o运行mount a重新载入文件系统o查看/etc/mtab文件,看文件系统是否载入,是否启动磁盘配。第20页,共20页电子科技大学中山学院电子科技大学中山学院磁盘配额n步骤2:扫描文件系统的用户使用情况 使用命令:quotacheck avug mountpointo-a:扫描/etc/fstab中所有设置了quota的分区o-v:显示过程o-u:针对用户扫描文件系统o-g:针对组扫描文件系统该命令会在分区根目录下生成磁盘配额记录文件:aquota.user、aquota.groupn步骤3:启动磁盘配额 使用命令:quotaon avug第21页,共20页电子科技大学中山学院电子科技大学中山学院磁盘配额n步骤4:编辑磁盘配额限制值 使用命令:edquota-ugpt 用户或组 o-u:配置用户,如:edquota u quser1o-g:配置组,如:edquota g qgroupo-p:复制设置,如:edquota p quser1 quser2o-t:设置宽限时间,如:edquota t n步骤5:查看quota结果报告使用命令:quota 或者 repquota第22页,共20页电子科技大学中山学院电子科技大学中山学院电电 子子 科科 技技 大大 学学 中中 山山 学学 院院 程程 东东Thank You!Thank You!本章结束本章结束第23页,共20页