能做门户网站带论坛功能的cms,广告投放是做什么的,零基础jsp网站开发,网站开发研究内容怎么写RHCE8 资料整理 第二篇 用户及权限管理第8章 用户管理8.1 基本概念8.2 管理用户8.2.1 创建用户8.2.2 修改用户属性 8.3 用户的密码策略8.4 用户授权8.5 重置root密码 第9章 权限管理9.1 所有者和所属组9.2 查看及修改权限9.3 数字权限9.4 默认权限9.5 特殊权限9.6 隐藏权限 第1… RHCE8 资料整理 第二篇 用户及权限管理第8章 用户管理8.1 基本概念8.2 管理用户8.2.1 创建用户8.2.2 修改用户属性 8.3 用户的密码策略8.4 用户授权8.5 重置root密码 第9章 权限管理9.1 所有者和所属组9.2 查看及修改权限9.3 数字权限9.4 默认权限9.5 特殊权限9.6 隐藏权限 第10章 ACL权限10.1 ACL介绍及基本用法10.2 ACL的mask权限10.3 设置默认权限 第二篇 用户及权限管理
第8章 用户管理
8.1 基本概念
详细参考 https://blog.csdn.net/u010230019/article/details/132224998
用户信息/etc/passwd 密码信息/etc/shadow 群组信息/etc/group 群组密码/etc/gshadow
用户信息也可以通过getent获取
[rootserver yurq]# getent shadow yurq root
yurq:$6$kKNzhuprgmIZd5Ma$L5mUUIwFM8gUDztJOfvWWGyviUpvWSS1X6q/L5Ss5h5tOyHx/5wl9MLBLdVsYtZygeZHEOFeHdIMI.eLYYuWB.:19608:0:99999:7:::
root:$6$rgRTLqdztP39Kgqd$WGy53xGZ2gg1Fr8BalJbSibzzSiI5aGk2ighMuiyP1Ofn1ZW20ZdzHkfx0qo8b3yDHe4zUmJkYfeSiIxWhtxx/::0:99999:7:::判断用户是否存在
[rootserver yurq]# id yurq
uid1000(yurq) gid1000(yurq) groups1000(yurq),10(wheel)8.2 管理用户
8.2.1 创建用户
useradd [options] username
-d
-M
-G
-g
-s
-u
-m
-cpasswd username #隐式
echo password|passwd --stdin username #显式
-l #锁定
-u #解锁
-S #显示信息
-d #清除密码锁定的账号登录会提示
[alexserver ~]$ su - yurq
Password:
su: Authentication failure8.2.2 修改用户属性
usermod [options] username
-c
-s
-g
-u
-d
-L#锁定用户
-U#解锁用户被锁定的账号同样不能登录提示认证失败
[rootserver yurq]# passwd -l yurq
Locking password for user yurq.
passwd: Success
[rootserver yurq]# passwd -S yurq
yurq LK 2023-09-08 0 99999 7 -1 (Password locked.)
[rootserver yurq]# passwd -u yurq
Unlocking password for user yurq.
passwd: Success
[rootserver yurq]# passwd -S yurq
yurq PS 2023-09-08 0 99999 7 -1 (Password set, SHA512 crypt.)锁定前后
删除用户
userdel [options] username
-f #强制即使登录
-r #删除家目录组管理
groupadd groupname
groupdel groupname
groups groupname #查看组信息
gpasswd -a username groupname #添加用户到组
gpasswd -d username groupname #从组中删除用户8.3 用户的密码策略
详细参考 https://blog.csdn.net/u010230019/article/details/132224998
[rootstudy ~]# chage [-ldEImMW] 账号名
选项与参数
-l 列出该账号的详细密码参数
-d 后面接日期修改 shadow 第三字段(最近一次更改密码的日期)格式 YYYY-MM-DD(0为下次登录需修改常用)
-E 后面接日期修改 shadow 第八字段(账号失效日)格式 YYYY-MM-DD(-1 永不过期1 立即过期)
-I 后面接天数修改 shadow 第七字段(密码失效日期)
-m 后面接天数修改 shadow 第四字段(密码最短保留天数)
-M 后面接天数修改 shadow 第五字段(密码多久需要进行变更)
-W 后面接天数修改 shadow 第六字段(密码过期前警告日期)8.4 用户授权
普通用户的权限往往不够例如有些命令只能root执行所以可以让root对普通用户进行授权 详细参考https://blog.csdn.net/u010230019/article/details/132269498
普通用户可以通过root添加授权来实现root的权限并且不需要知道root密码。有两种方式
修改/etc/sudoers在/etc/sudoers.d/目录中添加配置文件文件名称建议以用户名命名
这两种方式添加的内容格式一致格式
user1 主机名A(user2) 命令1命令2命令3...这里授权表明用户user1在主机A拥有user2的执行命令1命令2命令3的权限
套用到root则为
yurq server.rhce.cc(root) /bin/mount此时yurq就拥有root执行mount的权限这里需要指明命令的绝对路径
此时yurq在server.rhce.cc可以执行mount命令但是执行的时候需要通过sudo命令例如
sudo mount /dev/ /mnt/sda但此时仍需要输入yurq的密码如下修改则免除密码
yurq server.rhce.cc(root) NOPASSD: /bin/mount如果需要赋权的指令较多总不能加一堆吧可通过ALL这个关键字实现这个ALL可以替代主机名用户和指令
yurq ALL(ALL) NOPASSWD: ALLyurq 不论来自哪部主机登入他可以变换身份成为任何人且可以进行系统上面的任何指令 想管理一个赋权账号就需要有时间限制在/etc/sudoers中添加
Defaults timestamp_timeoutN可以设置密码保留时间为N分钟默认为5分钟此时配置文件中不能有NOPASSD:字段
用户可以通过sudo -k可以立即清除保留的密码 用户可以通过sudo -i切换到root用户如果配置了NOPASSD:可以无密码直接切换
8.5 重置root密码
在内核引导界面通过上下键选择第一行按e键进入grub编辑界面编辑grub菜单 将linux行的ro改为rw,行尾加init/bin/bash按ctrlx进行启动 这样我们进入bash 挂载根目录mount -o remount, rw /接着在此处可以直接重置root密码并且不需要知道原密码 更改selinuxvi etc/selinux/config #把 enforcing 改为 disable重启该虚拟机就可以使用新密码登录root了exec /sbin/reboot命令重启不好用可以直接手动重启
第9章 权限管理
9.1 所有者和所属组
所有者和所属组又称为属主和属组这里一般指文件或目录的权限 详细参考 https://blog.csdn.net/u010230019/article/details/132208697
改变属主和属组命令为chown格式
chown [OPTION]... [OWNER][:[GROUP]] FILE...
-R #递归通常针对目录这里指的一提的是属主和属组之间的关联符号官方默认是:但也可以用.例如 chown user.group file 等价于chown user:group file修改群组有单独的命令chgrp格式
chgrp user file...9.2 查看及修改权限
一般都是通过ls -l或ll查看输入alias可以看到ll是ls -l的别名
[rootserver ~]# alias
...
alias llls -l --colorauto关于ls -l 查看的文件权限一共九位分三组。另外第10位.也需要注意其含义这里不展开写了参考 https://blog.csdn.net/u010230019/article/details/132208697
修改权限一般使用chmod格式
chmod [OPTION]... MODE[,MODE]... FILE...
chmod [OPTION]... OCTAL-MODE FILE...
-R #递归这里对权限的修改格式还是比较多的
字符权限
对应所属赋值符类型含义a-[r|w|x]对所有所属属主属组其他人进行操作u-[r|w|x]对属主进行操作g-[r|w|x]对属组进行操作o-[r|w|x]对其他人进行操作
9.3 数字权限
八进制数字权限 可对[a,u,g,o]直接使用进行数字赋权
r -- 4 #读
w -- 2 #写
x -- 1 #执行
--- -- 0 #无任何权限我们可以看到/etc/shadow每组都是这个权限9.4 默认权限
目录的默认权限是755文件的默认权限是644这些权限是根据umask计算获得
[rootserver ~]# umask
0022
[rootserver ~]# umask -S
urwx,grx,orx修改umask可以直接赋值或者修改/etc/bashrc
umask 002umask 过滤计算结论
目录默认权限777 - umask文件默认权限666 - (umask每个奇数 -1)如umask333则文件默认权限位444
9.5 特殊权限
这里主要说suid,sgid,sbit详细参考https://blog.csdn.net/u010230019/article/details/132171439
SUID当 s 这个标志出现在文件拥有者的 x 权限上时那么 SUID 权限仅对二进制程序(binary program)有效 执行者对于该程序需要具有 x 的可执行权限 本权限仅在执行该程序的过程中有效 (run-time) 执行者将在执行该程序过程中具有拥有者 (owner) 的权限。 修改方法
chmod u[|-]s binary_program这个有什么用呢举个例子我们可以修改自己的登录密码却不用联系管理员因为/bin/passwd就设置了SUID [rootserver yurq]# ll /bin/passwd-rwsr-xr-x. 1 root root 32648 Aug 10 2021 /bin/passwd再举个例子默认文件权限644其他人是否可以修改文件内容呢理论上不行但是可以如下操作
[rootserver opt]# touch testfile
[rootserver opt]# ll testfile
-rw-r--r-- 1 root root 10 Oct 19 22:14 testfile
[rootserver opt]# chmod us /bin/vim
[rootserver opt]# ll /bin/vim
-rwsr-xr-x. 1 root root 4025616 Feb 24 2022 /bin/vim
[rootserver opt]# su - yurq
[yurqserver ~]$ vim /opt/testfile
[yurqserver ~]$ cat /opt/testfile
testfile1
[yurqserver ~]$ exit
logout
[rootserver opt]# chmod u-s /bin/vim
[rootserver opt]# su - yurq
[yurqserver ~]$ vim /opt/testfile
...
/opt/testfile
/opt/testfile E212: Cant open file for writing
Press ENTER or type command to continue
[yurqserver ~]$ exit
logoutSGID当 s 标志在文件/目录 群组的 x 项目上时 那么如果是文件的话 SGID 对二进制程序有用 程序执行者对于该程序来说需具备 x 的权限 执行者在执行的过程中将会获得该程序群组的支持 参考SUID的示例这个很好理解
如果是目录的话 用户若对于此目录具有 r 与 x 的权限时该用户能够进入此目录 用户在此目录下的有效群组(effective group)将会变成该目录的群组 用途若用户在此目录下具有 w 的权限(可以新建文件)则使用者所建立的新文件该新文件的群组与此目录的群组相同。 修改方法
chmod g[|-]s binary_programSBIT这个 Sticky Bit, SBIT 目前只针对目录有效对于文件已经没有效果了。SBIT 对于目录的作用是 当用户对于此目录具有 w, x 权限亦即具有写入的权限时 当用户在该目录下建立文件或目录时仅有自己与 root 才有权力删除该文件 即如果某个目录o位置上设置t时那么此目录中的文件除所有者和root外其他用户即使对此文件具有所有权限也无法删除此文件
可以查看/tmp也不难理解
[rootserver opt]# ll -d /tmp/
drwxrwxrwt. 21 root root 4096 Oct 19 22:35 /tmp/验证 以 root 登入系统并且进入 /tmp 当中 touch test并且更改 test 权限成为 777 以一般使用者登入并进入 /tmp 尝试删除 test 这个文件 修改方法
chmod o[|-]s binary_program9.6 隐藏权限
系统中还存在一些隐藏权限这些权限的设置对root也是生效的。查看命令lsattr格式
lsattr [ -RVadlpv ] [ files... ]
-a 将隐藏文件的属性也秀出来
-d 如果接的是目录仅列出目录本身的属性而非目录内的文件名
-R 连同子目录的数据也一并列出来修改命令chattr格式
chattr [-][ASacdistu] 文件或目录名称选项与参数增加某一个特殊参数其他原本存在参数则不动。
- 移除某一个特殊参数其他原本存在参数则不动。设定一定且仅有后面接的参数a 当设定 a 之后这个文件将只能增加数据而不能删除也不能修改数据只有 root 才能设定这属性
c 这个属性设定之后将会自动的将此文件『压缩』在读取的时候将会自动解压缩但是在储存的时候将会先进行压缩后再储存(看来对于大文件似乎蛮有用的)
i 这个 i 可就很厉害了他可以让一个文件『不能被删除、改名、设定连结也无法写入或新增数据』对于系统安全性有相当大的帮助只有 root 能设定此属性
s 当文件设定了 s 属性时如果这个文件被删除他将会被完全的移除出这个硬盘空间所以如果误删了完全无法救回来了喔
u 与 s 相反的当使用 u 来配置文件案时如果该文件被删除了则数据内容其实还存在磁盘中可以使用来救援该文件喔[rootserver yurq]# ll 123
-rw-rw-rw- 1 root root 0 Oct 19 21:51 123
[rootserver yurq]# chattr i 123
[rootserver yurq]# su - yurq
[yurqserver ~]$ echo 123123
-bash: 123: Operation not permitted
[yurqserver ~]$ exit
logout
[rootserver yurq]# chattr -i 123
[rootserver yurq]# su - yurq
[yurqserver ~]$ echo 1234 123
[yurqserver ~]$ cat 123
1234
[yurqserver ~]$ lsattr 123
---------------------- 123[rootserver yurq]# chattr a 123
[rootserver yurq]# lsattr 123
-----a---------------- 123
[rootserver yurq]# su - yurq
[yurqserver ~]$ echo 12345 123
-bash: 123: Operation not permitted
[yurqserver ~]$ echo 12345 123
[yurqserver ~]$ cat 123
1234
12345第10章 ACL权限
详细可查看https://blog.csdn.net/u010230019/article/details/132269498
10.1 ACL介绍及基本用法 ACL 是 Access Control List 的缩写主要的目的是在提供传统的 owner,group,others 的read,write,execute 权限之外的细部权限设定。ACL 可以针对单一使用者单一文件或目录来进行r,w,x 的权限规范对于需要特殊权限的使用状况非常有帮助。 说白了就是直接对用户进行权限设置而非依托于属主属组和其他
查看ACL使用getfacl格式
getfacl [options] file
-c #去除以#行首的行设置ACL使用setfacl格式
setfacl [-bkRd] [{-m|-x} acl参数] 目标文件名
选项与参数
-m 设定后续的 acl 参数给‘文件’使用不可与 -x 合用
-x 删除后续的 acl 参数不可与 -m 合用
-b 移除『所有的』 ACL 设定参数
-k 移除『预设的』 ACL 参数关于所谓的『预设』参数于后续范例中介绍
-R 递归设定 acl 亦即包括次目录都会被设定起来
-d 设定『预设 acl参数』的意思只对‘目录’有效在该目录新建的数据会引用此默认值用户设定规范『 u:[使用者账号列表]:[rwx] 』 比如说
[rootserver yurq]# getfacl yurq -c
user::rw-
group::r--
other::r--[rootserver yurq]# setfacl -m u:alex:rwx yurq
[rootserver yurq]# getfacl yurq -c
user::rw-
user:alex:rwx
group::r--
mask::rwx
other::r--[rootserver yurq]# su - alex
[alexserver ~]$ echo 123 /home/yurq/yurq
-bash: /home/yurq/yurq: Permission denied
[alexserver ~]$ ll /home/yurq/
ls: cannot open directory /home/yurq/: Permission denied
[alexserver ~]$ exit
logout
[rootserver yurq]# ll /home/yurq/ -d
drwx------. 15 yurq yurq 4096 Oct 20 17:39 /home/yurq/
[rootserver yurq]# chmod orwx /home/yurq/
[rootserver yurq]# su - alex
[alexserver ~]$ echo 123 /home/yurq/yurq
[alexserver ~]$ ll /home/yurq/yurq
-rw-rwxr-- 1 root root 4 Oct 20 17:54 /home/yurq/yurq如果使用setfacl -m u::rwx file则为所有用户加rwx
特定的单一群组的权限设定『 g:群组名:权限 』 这个参考“用户”的设定即可例如
setfacl -m g:mygroup1:rx acl_test110.2 ACL的mask权限
针对有效权限设定『 m:权限 』即针对有效权限 mask 的设定方式
[rootstudy ~]# setfacl -m m:r acl_test1
[rootstudy ~]# getfacl acl_test1
# file: acl_test1
# owner: root
# group: root
user::rwx
user:vbird1:r-x #effective:r-- vbird1mask 均存在者仅有 r 而已x 不会生效
group::r--
group:mygroup1:r-x #effective:r--
mask::r--
other::r--实际用户权限会和有效权限mask取余 10.3 设置默认权限
使用默认权限设定目录未来文件的 ACL 权限继承『 d:[u|g]:[user|group]:权限 』针对预设权限的设定方式
[rootstudy ~]# setfacl -m d:u:myuser1:rx /srv/projecta
[rootstudy ~]# getfacl /srv/projecta
# file: srv/projecta
# owner: root
# group: projecta
# flags: -suser::rwx
user:myuser1:r-x
group::rwx
mask::rwx
other::---
default:user::rwx
default:user:myuser1:r-x
default:group::rwx
default:mask::rwx
default:other::---[rootstudy ~]# cd /srv/projecta
[rootstudy projecta]# touch zzz1
[rootstudy projecta]# mkdir zzz2
[rootstudy projecta]# ll -d zzz*
-rw-rw---- 1 root projecta 0 Jul 21 17:50 zzz1
drwxrws--- 2 root projecta 6 Jul 21 17:51 zzz2
# 看吧确实有继承喔然后我们使用 getfacl 再次确认看看
[rootstudy projecta]# getfacl zzz2
# file: zzz2
# owner: root
# group: projecta
# flags: -suser::rwx
user:myuser1:r-x
group::rwx
mask::rwx
other::---
default:user::rwx
default:user:myuser1:r-x
default:group::rwx
default:mask::rwx
default:other::---透过这个『针对目录来设定的默认 ACL 权限设定值』的项目我们可以让这些属性继承到次目录底下呢 非常方便啊那如果想要让 ACL 的属性全部消失又要如何处理透过『 setfacl -b 檔名 』即可啦 权限内容远远不止介绍中的内容可参考 https://blog.csdn.net/u010230019/article/details/132208697
