Day05 - chmod chown ACL

查詢 命令所對應的執行程序位置

[root@room9pc14 桌面]# which hostname
/bin/hostname

書寫週期性計劃任務時，執行命令部分儘可能書寫命令程序的絕對路徑

########################################################

基本權限的類別
訪問方式(權限)
– 讀取: 容許查看內容-read r
– 寫入: 容許修改內容-write w
– 可執行: 容許運行和切換-execute x

對於文本文件
r： cat 、head、 tail、less
w： vim 能夠保存
x： ./ 能夠運行

對於目錄
r 權限: 可以 ls 瀏覽此目錄內容
w 權限: 可以執行 rm/mv/cp/mkdir/touch/ 操做目錄的子文檔
x 權限: 可以 cd 切換到此目錄

• 權限適用對象(歸屬)
– 全部者: 擁有此文件/目錄的用戶-user
– 所屬組: 擁有此文件/目錄的組-group
– 其餘用戶: 除全部者、所屬組之外的用戶-other

文件類型：
-：文本文件
d：目錄
l：快捷方式(軟連接)

[root@server0 ~]# ls -l /etc/passwd
-rw-r--r--. 1 root root 2005 7月  11 2014 /etc/passwd
[root@server0 ~]# ls -ld /etc/
drwxr-xr-x. 133 root root 8192 6月  20 09:03 /etc/
[root@server0 ~]# ls -l /etc/rc.local 
lrwxrwxrwx. 1 root root 13 5月   7 2014 /etc/rc.local -> rc.d/rc.local

[root@server0 ~]# mkdir /nsd01
[root@server0 ~]# ls -ld /nsd01

[root@server0 ~]# chmod u-w /nsd01
[root@server0 ~]# ls -ld /nsd01

[root@server0 ~]# chmod g+w /nsd01
[root@server0 ~]# ls -ld /nsd01

[root@server0 ~]# chmod o=rwx /nsd01
[root@server0 ~]# ls -ld /nsd01

[root@server0 ~]# chmod u=rwx,g=rx,o=rx /nsd01
[root@server0 ~]# ls -ld /nsd01

[root@server0 ~]# chmod o= /nsd01
[root@server0 ~]# ls -ld /nsd01

判斷用戶具有的權限

1.判斷用戶角色 全部者>所屬組>其餘人 匹配及中止

2.再看相應的權限位置

#####################################################
以root用戶新建/nsddir/目錄，在此目錄下新建readme.txt文件，並進一步完成下列操做

1）使用戶zhangsan可以在此目錄下建立子目錄
    chmod o+w  /nsddir/
2）使用戶zhangsan不可以在此目錄下建立子目錄
    chmod o-w  /nsddir/
3）使用戶zhangsan可以修改readme.txt文件
    chmod o+w  /nsddir/readme.txt
4）調整此目錄的權限，使全部用戶都不能進入此目錄
    chmod u-x,g-x,o-x  /nsddir/
5）爲此目錄及其下全部文檔設置權限 rwxr-x---
    chmod -R  u=rwx,g=rx,o=---  /nsddir/

設置文檔歸屬
• 使用 chown 命令
– chown [-R] 屬主 文檔...
– chown [-R] :屬組 文檔...
– chown [-R] 屬主:屬組 文檔..

[root@server0 ~]# mkdir /nsd03
[root@server0 ~]# groupadd tarena
[root@server0 ~]# ls -ld /nsd03

[root@server0 ~]# chown zhangsan:tarena /nsd03
[root@server0 ~]# ls -ld /nsd03

[root@server0 ~]# chown :users /nsd03
[root@server0 ~]# ls -ld /nsd03

[root@server0 ~]# chown root /nsd03
[root@server0 ~]# ls -ld /nsd03

附加權限(特殊權限)

1.Set UID
• 附加在屬主的 x 位上
– 屬主的權限標識會變爲 s
– 數字表示時爲 4
– 僅適用於可執行文件,Set UID可讓使用者具備文件屬主的身份及部分權限 (傳遞全部者身份)

2.Set GID
• 附加在屬組的 x 位上
– 屬組的權限標識會變爲 s
– 數字表示時爲 2
– 適用於可執行文件,功能與Set UID相似(傳遞所屬組身份)
– 適用於目錄,Set GID可使目錄下新增的文檔自動設置與父目錄相同的屬組(繼承)

3.Sticky Bit
• 附加在其餘人的 x 位上
– 其餘人的權限標識會變爲 t
– 數字表示時爲 1
– 適用於開放 w 權限的目錄,能夠阻止用戶濫用 w 寫入 權限(禁止操道別人的文檔)

[root@server0 ~]# mkdir /nsd1705
[root@server0 ~]# ls -ld /nsd1705

[root@server0 ~]# chown :tarena /nsd1705
[root@server0 ~]# ls -ld /nsd1705

[root@server0 ~]# mkdir /nsd1705/nsd01
[root@server0 ~]# ls -ld /nsd1705/nsd01

[root@server0 ~]# chmod g+s /nsd1705/     #賦予特殊權限
[root@server0 ~]# ls -ld /nsd1705/

[root@server0 ~]# mkdir /nsd1705/nsd02
[root@server0 ~]# ls -l /nsd1705/

[root@server0 ~]# mkdir /nsd1705/nsd02/test
[root@server0 ~]# ls -ld /nsd1705/nsd02/test

[root@server0 ~]# mkdir /public
[root@server0 ~]# ls -ld /public

[root@server0 ~]# chmod u=rwx,g=rwx,o=rwx /public
[root@server0 ~]# ls -ld /public

[root@server0 ~]# chmod o+t /public
[root@server0 ~]# ls -ld /public

acl策略的做用
• 文檔歸屬的侷限性
– 任何人只屬於三種角色:屬主、屬組、其餘人
– 沒法實現更精細的控制

• acl訪問策略
– 可以對個別用戶、個別組設置獨立的權限
– 大多數掛載的EXT3/四、XFS文件系統默認已支持

[root@server0 ~]# mkdir /nsd10
[root@server0 ~]# useradd natasha
[root@server0 ~]# ls -ld /nsd10

[root@server0 ~]# su - natasha
[natasha@server0 ~]$ mkdir /nsd10/test
mkdir: cannot create directory ‘/nsd10/test’: Permission denied
[natasha@server0 ~]$ exit

[root@server0 ~]# setfacl -m u:natasha:rwx /nsd10

[root@server0 ~]# su - natasha
[natasha@server0 ~]$ mkdir /nsd10/test
[natasha@server0 ~]$ ls /nsd10/
[natasha@server0 ~]$ exit

[root@server0 ~]# mkdir /nsd11
[root@server0 ~]# setfacl -m u:lisi:rwx  /nsd11
[root@server0 ~]# getfacl /nsd11

[root@server0 ~]# setfacl -m u:natasha:rx  /nsd11
[root@server0 ~]# setfacl -m u:zhangsan:rwx  /nsd11
[root@server0 ~]# getfacl /nsd11

[root@server0 ~]# setfacl -x u:natasha  /nsd11
[root@server0 ~]# getfacl /nsd11

[root@server0 ~]# setfacl -b  /nsd11
[root@server0 ~]# getfacl /nsd11
[root@server0 ~]# ls -ld  /nsd11

###########################################################
[root@server0 ~]#  chattr +a    /etc/resolv.conf        # 隱藏權限
[root@server0 ~]# lsattr  /etc/resolv.conf              # 查看隱藏權限
###########################################################

典型的LDAP工做模式
• 爲一組客戶機集中提供可登陸的用戶帳號

– 網絡用戶:用戶名、密碼信息存儲在 LDAP 服務端
– 本地用戶：用戶名、密碼信息存儲/etc/passwd /etc/shadow

• 客戶端準備
– 修改用戶登陸的驗證方式,啓用 LDAP
– 正確配置 LDAP 服務端參數
– 軟件包:sssd(與LDAP服務器聯繫的軟件)
authconfig-gtk（配置sssd的圖形軟件）

[root@server0 ~]# yum -y install sssd authconfig-gtk
[root@server0 ~]# rpm -q sssd
[root@server0 ~]# rpm -q authconfig-gtk

補充內容  真機操做：
systemctl is-enabled  nfs-server   #查看服務是否開機自起
systemctl enable  nfs-server       #設置服務開機自起
systemctl restart nfs-server      
rht-vmctl reset  cla***oom

驗證：
[root@server0 ~]# systemctl restart sssd
[root@server0 ~]# systemctl enable sssd
[root@server0 ~]# id ldapuser0
uid=1700(ldapuser0) gid=1700(ldapuser0) 組=1700(ldapuser0)
[root@server0 ~]# grep 'ldapuser0' /etc/passwd

如何訪問NFS共享目錄
• 查看NFS資源
[root@server0 ~]# showmount -e 172.25.254.254
Export list for cla***oom:
/home/guests 172.25.0.0/255.255.0.0

• 掛載NFS共享目錄
– mount 服務器地址:目錄路徑 本地掛載點

# mkdir /home/guests
# mount 172.25.254.254:/home/guests/     /home/guests/
# ls /home/guests/
# su - ldapuser0
# vim /etc/fstab
172.25.254.254:/home/guests     /home/guests  nfs   rw  0  0