週期性計劃任務/權限/LDAP看法

時間 2019-11-10

原文原文鏈接

在平常的生產環境中因爲工做任務繁重因此須要一些應用來配合工程師的工做,而週期性計劃就會使工程師們省不少事,從而去忙碌一些其餘的工做事情.
cron 週期性計劃任務
軟件包：cronie,crontabs
系統服務:crond
日誌文件： /var/log/crond
系統默認安裝,默認自起
查看服務狀態#systemctl status crond
crontab命令
編輯任務 crontab -e
刪除任務 crontab -r
查看任務 crontab -l
時間順序:數據庫

(0-59) (0-23)(1-31)(1-12)(0-7)
分時日月周
表示全部時間
表示一端持續的時間
, 表示若個布連續的時間
/ 表示時間間隔

查詢命令所對應的程序在哪?
whichvim

基本權限的類型
訪問方式(權限)
讀取: 容許查看內容 -read r
寫入:容許修改內容 -write w
可執行:容許運行和切換 -execuit x
對於文本文件:
r: cat head tail less
w:vim
x:運行
權限適用對象(歸屬)
全部者:擁有此文件/目錄的用戶-user u
所屬組:擁有此文件/目錄的組-group g
其餘用戶:除全部者,鎖數組之外的用戶 -other o
[root@server0 ~]# ls -ld /etc/
drwxr-xr-x. 133 root root 8192 10月 30 10:14 /etc/
[root@server0 ~]# ls -l /etc/passwd
-rw-r--r--. 1 root root 2089 10月 30 10:14 /etc/passwd
[root@server0 ~]# ls -l /etc/rc.local
lrwxrwxrwx. 1 root root 13 5月 7 2014 /etc/rc.local -> rc.d/rc.local
權限位硬鏈接數屬主屬組大小最後修改時間文件/目錄名稱數組

權限位（9位）
文件類型（1） User(屬主)（3） Group(屬組)（3）    Other(其餘人)（3）

文件類型
    - 表明普通文件        d 表明目錄      l 表明連接文件        
三位一組分別爲 全部者權限，所屬組權限，其餘帳戶權限  

設置基本權限
    chmod (只root能用)
    chmod 歸屬關係+-=權限類別 文檔
        -R 遞歸將權限應用於全部的子目錄與子文件       

    [root@server0 ~]# chmod u-x /nsd01/
    [root@server0 ~]# ls -ld /nsd01/
    drw-r-xr-x. 2 root root 6 10月 30 10:41 /nsd01/
    [root@server0 ~]# chmod g+w /nsd01/
    [root@server0 ~]# ls -ld /nsd01/
    drw-rwxr-x. 2 root root 6 10月 30 10:41 /nsd01/
    [root@server0 ~]# chmod u=rwx,g=rx,o=r /nsd01/
    [root@server0 ~]# ls -ld /nsd01/
    drwxr-xr--. 2 root root 6 10月 30 10:41 /nsd01/

如何判斷用戶具有權限
1.判斷用戶所屬的身份是不是全部者是否在全部組全部者>所屬組 >其餘人匹配及中止
2.看相應權限位的權限劃分bash

目錄的r 權限：可以ls 瀏覽此目錄內容
目錄的w 權限：可以執行 rm/mv/cp/mkdir/touch/..等更改目錄內容的操做
目錄的x 權限：可以cd切換到此目錄

設置文件歸屬
使用chown命令
chown [全部者][:[所屬組]] 文件或目錄
-R 遞歸將權限應用於全部的子目錄與子文件
例：
[root@server0 /]# chown :tedu /nsd02
[root@server0 /]# ls -ld /nsd02
drwxr-xr-x. 2 root tedu 6 10月 30 11:42 /nsd02
[root@server0 /]# useradd dc
[root@server0 /]# chown dc:tedu /nsd02
[root@server0 /]# ls -ld /nsd02
drwxr-xr-x. 2 dc tedu 6 10月 30 11:42 /nsd02
[root@server0 /]# chown student /nsd02
[root@server0 /]# ls -ld /nsd02
drwxr-xr-x. 2 student tedu 6 10月 30 11:42 /nsd02服務器

特殊權限（附加權限）網絡

Set UID
附加在屬主的x位上
屬主的權限標識會變成s
適用於可執行文件，Set UID 可讓使用者具備文件屬組的身份及部分權限
(傳遞全部者身份) 如手持尚方寶劍
例：
[root@server0 /]# cp /usr/bin/touch /usr/bin/hahach
[root@server0 /]# chmod u+s /usr/bin/hahach
[root@server0 /]# ls -l /usr/bin/hahach
-rwsr-xr-x. 1 root root 62432 10月 30 14:14 /usr/bin/hahach
[root@server0 /]# su - dc
[dc@server0 ~]$ touch a.txt
[dc@server0 ~]$ hahach b.txt
[dc@server0 ~]$ ls -l
total 0
-rw-rw-r--. 1 dc dc 0 Oct 30 14:15 a.txt
-rw-rw-r--. 1 root dc 0 Oct 30 14:15 b.txtless

Set GID
附加在屬組的x位
屬組的權限標識變成爲s
適用於可執行文件，功能於Set UID相似
適用於目錄，Set GID能夠是目錄下新增的文檔自動設置與父目錄相同的屬組ide

爲了使在這個目錄下新增的文件或目錄的所屬組和父目錄相同(只針對將來生成的文件)

例：
[root@server0 /]# ls -l /test/1.txt 
-rw-r--r--. 1 root root 0 10月 30 14:37 /test/1.txt
[root@server0 /]# chown :tedu /test/
[root@server0 /]# chmod g+s /test/
[root@server0 /]# ls -ld /test
drwxr-sr-x. 2 root tedu 18 10月 30 14:37 /test
[root@server0 /]# mkdir /test/testone
[root@server0 /]# ls -l /test/
-rw-r--r--. 1 root root 0 10月 30 14:37 1.txt
drwxr-sr-x. 2 root tedu 6 10月 30 14:39 testone

Sticky Bit
附加在其餘人的x位
其餘人的權限標識變成爲t
適用於開放w 權限的目錄，能夠阻止用戶濫用w 寫入權限
（禁止操道別人的文檔）
例：
[root@server0 /]# chmod u+w,g+w,o+w /public/
[root@server0 /]# chmod o+t /public/
[root@server0 /]# ls -ld /public/
drwxrwxrwt. 2 root root 6 10月 30 14:43 /public/工具

[zhangsan@server0 /]$ ls -l /public/
-rw-rw-r--. 1 dc       dc       0 Oct 30 14:53 dc.txt
-rw-rw-r--. 1 test     test     0 Oct 30 14:52 test.txt
-rw-rw-r--. 1 zhangsan zhangsan 0 Oct 30 14:52 zhangsan.txt
[zhangsan@server0 /]$ rm -rf /public/test.txt 
rm: cannot remove ‘/public/test.txt’: Operation not permitted

ACL 訪問控制列表
做用
文檔歸屬的侷限性
任何人只屬於三種角色：屬主，屬組，其餘人
沒法實現更精細的控制
acl訪問策略
能狗對個別用戶，個別組設置獨立的權限
大多掛載EXT3/4（存儲小文件），XFS（存儲大文件）文件系統已支持
命令
getfacl 文檔 #查看ACL策略
setfacl [-R] -m u：用戶名：權限類別文檔
setfacl [-R] -m g：組名：權限類別文檔
setfacl [-R] -x u:用戶名文檔 #刪除指定ACL策略
setfacl [-R] -b 文檔 #清空ACL策略ui

例：
    [dc@server0 ~]$ cd /NB/
    bash: cd: /NB/: Permission denied

    [root@server0 /]# ls -ld /NB/
    drwxrwx---. 2 root cw 6 10月 30 15:27 /NB/
    [root@server0 /]# setfacl -m u:dc:rx /NB/
    [root@server0 /]# ls -ld /NB/
    drwxrwx---+ 2 root cw 6 10月 30 15:27 /NB/
    [root@server0 /]# getfacl /NB/
    getfacl: Removing leading '/' from absolute path names
    # file: NB/
    # owner: root
    # group: cw
    user::rwx
    user:dc:r-x
    group::rwx
    mask::rwx
    other::---

    [dc@server0 ~]$ cd /NB/
    [dc@server0 NB]$

====================================================================
使用LDAP認證

傳統用戶名密碼：本地建立，用於本地登錄 /etc/passwd
網絡用戶：在LDAP服務器上建立，能夠登錄域中每一臺機器

輕量級目錄訪問協議
    由服務器來集中存儲並向客戶端提供的信息，存儲方式相似於DNS分層結果
    提供的信息包括：用戶名，密碼，通訊錄，主機名映射記錄

服務器

客戶端：指定服務端LDAP位置

    1.安裝客戶端軟件
        軟件包：sssd(與服務端溝通軟件)

            authconfig-gtk:圖形配置sssd工具

    2.運行圖形配置工具
        [root@server0 ~]# authconfig-gtk 
        用戶帳戶數據庫：LDAP
        LDAP搜索基礎DN：dc=example,dc=com
        LDAP服務器：cla***oom.example.com

        勾選：用TLS加密鏈接
            指定證書加密： 
                http://172.25.254.254/pub/example-ca.crt
        認證方法：LDAP密碼     

    3.啓動sssd服務，並設置爲開機自啓
        [root@server0 ~]# systemctl restart sssd
        [root@server0 ~]# systemctl enable sssd
    4.驗證
        [root@server0 ~]# grep 'ldapuser0' /etc/passwd
        [root@server0 ~]# id ldapuser0
        uid=1700(ldapuser0) gid=1700(ldapuser0) 組=1700(ldapuser0)

家目錄漫遊

• Network File System,網絡文件系統
    – 由NFS服務器將指定的文件夾共享給客戶機
    – 客戶機將此共享目錄 mount 到本地目錄,訪問此共享
    資源就像訪問本地目錄同樣方便
    – 相似於 EXT四、XFS等類型,只不過資源在網上

• 查看NFS資源
    [root@server0 ~]# showmount -e 172.25.254.254

• 進行掛載,將服務端NFS共享內容掛載到本地目錄
    [root@server0 ~]# mkdir /home/guests

    # mount  172.25.254.254:/home/guests/    /home/guests

    [root@server0 ~]# ls /home/guests
    [root@server0 ~]# su - ldapuser0