linux用户权限管理.ppt

用户权限管理,掌握用于权限管理的常用命令掌握用户权限管理的常用设置,权限管理,修改文件所有者和所属组命令：chown命令格式：chown-R 用户名:组名 文件-R:递归式修改，可修改目录下的所有内容示例：chown user1 file1示例：chown user1:group1 file1示例：chown R user1 dir1,权限管理,修改文件所有者和所属组命令：chgrp命令格式：chgrp 组名 文件示例：chgrp group1 file1示例:chgrp R group1 dir1chown和chgrp的使用场合：普通用户没有改变他人文件所有者属性的权限普通用户没有改变自己文件所有者属性的权限。只有系统管理者(root)才有这样的权限。,权限管理,修改文件权限属性命令：chmod格式：chmod u|g|o|a+|-|=rwx 文件格式：chmod nnn(数字组合)文件示例：chmod u+x file1示例：chmod 777 dir1,权限管理,关于目录权限实验1:验证目录的rwx权限实验2:将root创建的目录dir1权限设为777,在dir1下创建一个文件file1，问：file1所属的用户和组是什么？普通用户user1能删除这个文件吗？,权限管理,默认权限umask命令:设置显示创建文件或目录时的默认权限umask 显示默认权限掩码值umask S 显示权限值umask nnn(掩码值)设置默认权限umask值的设置使用umask命令设置umask值后，重新登录shell时，所做设置失效。如需对所有用户设置，可修改/etc/bashrc，如需对某个用户设置，可修改该用户主目录下的.bashrc文件。,例子（文件或目录）,在默认权限的属性上，目录与文件是不一样的由于不希望文件具有可执行的权力，默认情况中，文件是没有可执行（x）权限的。若用户建立为”文件”，则默认“没有可执行（x）项目”，即只有rw这两个项目，也就是最大为666分，默认属性如下：-rw-rw-rw-若用户建立为”目录”，则由于x与是否可以进入此目录有关，因此默认为所有权限均开放，即为777分，默认属性如下：drwxrwxrwx,计算方法,umask 0022文件的默认权限：666-022=644rw-rw-rw-(-)-w-w-=rw-r-r-目录的默认权限：777-022=755rwx rwx rwx(-)-w-w-=rwx r-x r-x,计算方法,umask 0033文件的默认权限：666-033=633rw-rw-rw-(-)-wx-wx目录的默认权限：777-033=744rwxrwxrwx(-)-wx-wx,权限管理,特殊权限setUid(设置用户id位):对应符号s为什么普通用户可以使用passwd设置自己的密码从而修改只有root才拥有的写权限的/etc/passwd。当一个程序一旦设置了该标记以后,运行该程序的用户将拥有该程序所有者同样的权限。设置可执行文件的s位:chmod u+s|4xxx file示例：设置/bin/touch的s位；设置vi的s位注意：这个权限位是针对可执行文件而言的,权限管理,特殊权限setUid(设置用户id位):对应符号s例子which vi ls l/bin/visu yuevi/etc/shadow(deny)su-chmod 4755/bin/vi或chmod u+s/bin/visu yuevi/etc/shadow(permit)取消VI的设置用户id位,自己动手,注意passwd命令的权限,权限管理,特殊权限setGid(设置组id位)运行该程序将拥有该程序所属组同样的权限。设置方法：chmod g+s|2xxx file,权限管理,特殊权限例子：su yuels l/root显示的结果？切换到root用户chmod g+s ls（可能要出现错误，思考解决的方法）切换到yue用户ls l/root显示的结果？取消所设的权限,注意ls命令和目录root的权限chmod g+s ls,权限管理,特殊权限sticky(粘着位):对应符号t当一个目录被设置为“粘着位”时，则该目录下的文件只能由以下用户才能删除root该目录的所有者设置目录的t位:chmod+t|1xxx dir示例：/tmp目录设置权限为777的目录的t位，测试删除注意：这个权限位是针对目录而言的。,演示,权限管理,sudo(superuser do)指令让用户以另一种身份(通常是以root身份)执行某些规定的命令(命令可精确到选项)。当用户执行sudo时，会查找/etc/sudoers文件，以判断用户是否有执行sudo的权力执行sudo时需要输入用户自身的密码与su命令的区别sudo 授权许可使用的su，也是受限制的su,权限管理,针对每个管理员的技术特长和管理范围，并且有针对性的下放给权限，并且约定其使用哪些工具来完成与其相关的工作 通过sudo，我们能把某些超级权限有针对性的下放，并且不需要普通用户知道root密码，所以sudo 相对于权限无限制性的su来说，还是比较安全的.sudo 执行命令的流程是当前用户切换到root（或其它指定切换到的用户），然后以root（或其它指定的切换到的用户）身份执行命令，执行完成后，直接退回到当前用户；而这些的前提是要通过sudo的配置文件/etc/sudoers来进行授权,vi sudo指令,编辑/etc/sudoers文件可以用专用编辑工具visodu（或vi/etc/sudoers），此工具的好处是在添加规则不太准确时，保存退出时会提示给我们错误信息 用户 主机=(用户身份)命令beinan ALL=（root）/bin/chown,/bin/chmod如果在/etc/sudoers 中添加这一行，表示beinan用户可以在任何可能出现的主机名的系统中，可以切换到root用户下执行/bin/chown 和/bin/chmod 命令通过sudo-l 来查看beinan 在这台主机上允许和禁止运行的命令；username ALL=(ALL)ALL,批量增加用户,使用shell脚本脚本中使用useradd和passwd命令如何解决交互式输入密码的问题passwd username stdinecho 密码|passwd username stdin使用newusers和chpasswd工具1、创建类似于/etc/passwd的文本文件user.txt2、使用命令:newusers user.txt3、使用命令：pwunconv 取消shadow功能4、创建“用户名:密码”格式的文本文件pass.txt5、使用命令：chpasswd pass.txt6、使用命令：pwconv启动shadow功能,磁盘配额,磁盘配额(quota)对用户|组设置硬盘容量限制使用情形：www服务器的网页空间容量限制；邮件服务器的邮箱空间容量限制注意:磁盘配额是针对整个分区的且只对root无效。磁盘配额限制内容最低限制(soft):用户在一段时间(宽限时间)内可以超过最低限制的容量，但必须在宽限时间内将磁盘容量降到最低限制的容量范围之内。最高限制(hard):“绝对不能超过”的容量，这个值应该比最低限制的值大。配置实例：qgroup(quser1,quser2),磁盘配额,步骤1：文件系统启动磁盘配额支持 在/etc/fstab的选项字段设置启动quota在第四个字段添加usrquota,grpquota重新载入文件系统运行mount a重新载入文件系统查看/etc/mtab文件，看文件系统是否载入，是否启动磁盘配。,磁盘配额,步骤2：扫描文件系统的用户使用情况 使用命令：quotacheck avug mountpoint-a:扫描/etc/fstab中所有设置了quota的分区-v:显示过程-u:针对用户扫描文件系统-g:针对组扫描文件系统该命令会在分区根目录下生成磁盘配额记录文件:aquota.user、aquota.group步骤3：启动磁盘配额 使用命令：quotaon avug,磁盘配额,步骤4：编辑磁盘配额限制值 使用命令：edquota-ugpt 用户或组-u:配置用户,如：edquota u quser1-g:配置组,如：edquota g qgroup-p:复制设置,如：edquota p quser1 quser2-t:设置宽限时间,如：edquota t 步骤5：查看quota结果报告使用命令：quota 或者 repquota,电 子 科 技 大 学 中 山 学 院 程 东,Thank You!,本章结束,