centos 执行权限,centos7管理员权限
本篇文章给大家谈谈centos 执行权限,以及centos7管理员权限对应的知识点,文章可能有点长,但是希望大家可以阅读完,增长自己的知识,最重要的是希望对各位有所帮助,可以解决了您的问题,不要忘了收藏本站喔。
CentOS7常用命令之 权限管理
在获取一台免费云服务器后,我决定安装 CentOS以节省资源。Linux命令的不常用使得记忆变得困难,因此我记录了关于权限管理的笔记,尤其是对权限值777的了解。
权限管理的核心在于 chmod命令,该命令用于控制用户对文件的访问权限。权限分为三个层级:文件所有者(Owner)、用户组(Group)和其他用户(Other Users)。只有文件所有者和超级用户能够修改文件或目录的权限。
chmod命令的使用可以采用两种模式:绝对模式(八进制数字模式)和符号模式。绝对模式下,权限设置由三个数字表示,每个数字代表文件所有者、用户组和其他用户在读、写、执行操作上的权限。符号模式下,权限设置由用户类型、操作符和权限组成,每个元素之间用逗号分隔。
八进制语法中,每三个数字控制文件所有者、用户组和其他用户在读、写、执行操作上的权限。例如,数字765表示文件所有者可读写执行,用户组可读可写,其他用户可读。
以下为 chmod命令的几个实例:
1.将文件 file1.txt设为所有人皆可读取:`chmod a+r file1.txt`
2.将文件 file1.txt设为所有人皆可读取:`chmod 644 file1.txt`
3.将文件 file1.txt与 file2.txt设为文件拥有者和用户组可写入,其他用户不可写入:`chmod u+w,g+w,o-w file1.txt file2.txt`
4.为 ex1.py文件拥有者增加可执行权限:`chmod u+x ex1.py`
5.将当前目录下的所有文件与子目录设为任何人可读取:`chmod a+r*`
6.使用数字表示权限:`chmod 4755 filename`可赋予此文件与 root相同的权限。
在进行权限管理时,遵循 chmod命令的使用规则,能有效提升系统安全性,确保文件资源被正确访问。更多关于 chmod命令的详细信息,请参考 Linux命令大全|菜鸟教程。
centos root权限执行命令和sudo有没有区别
一.使用 su命令临时切换用户身份
1、su的适用条件和威力
su命令就是切换用户的工具,怎么理解呢?比如我们以普通用户beinan登录的,但要添加用户任务,执行useradd,beinan用户没有这个权限,而这个权限恰恰由root所拥有。解决办法无法有两个,一是退出beinan用户,重新以root用户登录,但这种办法并不是最好的;二是我们没有必要退出beinan用户,可以用su来切换到root下进行添加用户的工作,等任务完成后再退出root。我们可以看到当然通过su切换是一种比较好的办法;
通过su可以在用户之间切换,如果超级权限用户root向普通或虚拟用户切换不需要密码,什么是权力?这就是!而普通用户切换到其它任何用户都需要密码验证;
2、su的用法:
su [OPTION选项参数] [用户]
-,-l,——login登录并改变到所切换的用户环境;
-c,——commmand=COMMAND执行一个命令,然后退出所切换到的用户环境;
至于更详细的,请参看man su;
3、su的范例:
1) su在不加任何参数
默认为切换到root用户,但没有转到root用户家目录下,也就是说这时虽然是切换为root用户了,但并没有改变root登录环境;用户默认的登录环境,可以在/etc/passwd中查得到,包括家目录,SHELL定义等;
[beinan@localhost~]?$ su root
Password:
[root@localhost beinan]# pwd
/home/beinan
2) su加参数-
表示默认切换到root用户,并且改变到root用户的环境;
[beinan@localhost~]$ pwd
/home/beinan
[beinan@localhost~]$ su-
Password:
[root@localhost~]# pwd
/root
3) su参数-用户名
[beinan@localhost~]$ su– root注:这个和su-是一样的功能;
Password:
[root@localhost~]# pwd
/root
[beinan@localhost~]$ su– linuxsir注:这是切换到 linuxsir用户
Password:注:在这里输入密码;
[linuxsir@localhost~]$ pwd注:查看用户当前所处的位置;
/home/linuxsir
[linuxsir@localhost~]$ id注:查看用户的UID和GID信息,主要是看是否切换过来了;
uid=505(linuxsir) gid=502(linuxsir) groups=0(root),500(beinan),502(linuxsir)
[linuxsir@localhost~]$ exit注:退出
logout
[beinan@localhost~]$
[beinan@localhost Desktop]$ su--c ls注:这是su的参数组合,表示切换到root用户,并且改变到root环境,然后列出root家目录的文件,然后退出root用户;
Password:注:在这里输入root的密码;
anaconda-ks.cfg install.log.syslog mydate1 mytask.sh Videos注:列出root家目录的文件;
Desktop jdk mydate2 Pictures workspace
Documents jdk-6u13-linux-i586.bin mydate3 Public Workspaces
Downloads Linux mydate4 software
install.log Music MyEclipse 2015 Templates
[beinan@localhost Desktop]$注:自动退出root用户;
[beinan@localhost Desktop]$ pwd
/home/beinan/Desktop
[beinan@localhost Desktop]$ id注:查看是否切换成功;
uid=506(beinan) gid=506(beinan) groups=506(beinan) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
[beinan@localhost Desktop]$
4、su的优缺点;
su的确为管理带来方便,通过切换到root下,能完成所有系统管理工具,只要把root的密码交给任何一个普通用户,他都能切换到root来完成所有的系统管理工作;但通过su切换到root后,也有不安全因素;比如系统有10个用户,而且都参与管理。如果这10个用户都涉及到超级权限的运用,做为管理员如果想让其它用户通过su来切换到超级权限的root,必须把root权限密码都告诉这10个用户;如果这10个用户都有root权限,通过root权限可以做任何事,这在一定程度上就对系统的安全造成了威协;想想Windows吧,简直就是恶梦;“没有不安全的系统,只有不安全的人”,我们绝对不能保证这 10个用户都能按正常操作流程来管理系统,其中任何一人对系统操作的重大失误,都可能导致系统崩溃或数据损失;所以su工具在多人参与的系统管理中,并不是最好的选择,su只适用于一两个人参与管理的系统,毕竟su并不能让普通用户受限的使用;超级用户root密码应该掌握在少数用户手中,这绝对是真理!所以集权而治的存在还是有一定道理的;
二. sudo授权许可使用的su,也是受限制的su
1. sudo的适用条件
由于su对切换到超级权限用户root后,权限的无限制性,所以su并不能担任多个管理员所管理的系统。如果用su来切换到超级用户来管理系统,也不能明确哪些工作是由哪个管理员进行的操作。特别是对于服务器的管理有多人参与管理时,最好是针对每个管理员的技术特长和管理范围,并且有针对性的下放给权限,并且约定其使用哪些工具来完成与其相关的工作,这时我们就有必要用到 sudo。
通过sudo,我们能把某些超级权限有针对性的下放,并且不需要普通用户知道root密码,所以sudo相对于权限无限制性的su来说,还是比较安全的,所以sudo也能被称为受限制的su;另外sudo是需要授权许可的,所以也被称为授权许可的su;
2. sudo执行命令的流程
1)给用户授权
当前用户切换到root(或其它指定切换到的用户),然后以root(或其它指定的切换到的用户)身份执行命令,执行完成后,直接退回到当前用户;而这些的前提是要通过sudo的配置文件/etc/sudoers来进行授权;
比如我们想用beinan普通用户通过more/etc/shadow文件的内容时,可能会出现下面的情况;
[beinan@localhost~]$ more/etc/shadow/etc/shadow
/etc/shadow: Permission denied注:权限不够
[beinan@localhost~]$
这时我们可以用sudo more/etc/shadow来读取文件的内容;就就需要在/etc/soduers中给beinan授权;于是我们就可以先su到root用户下通过visudo来改/etc/sudoers;(比如我们是以beinan用户登录系统的)
[beinan@localhost~]$ su
Password:注:在这里输入root密码
[root@localhost beinan]# visudo注:运行visudo来改/etc/sudoers
加入如下一行 beinan ALL=/bin/more,退出保存;
注:visudo也是用的vi编辑器;beinan ALL=/bin/more表示beinan可以切换到root下执行more来查看文件;退回到beinan用户下,用exit命令;
[root@localhost beinan]# exit
exit
[beinan@localhost~]$
2)beinan用户执行root下的权限,查看beinan的通过sudo能执行哪些命令
[beinan@localhost~]?$ sudo-l
Password:注:在这里输入beinan用户的密码
User beinan may run the following commands on this host:
(root)/bin/more注:在这里清晰的说明在本台主机上,beinan用户可以以root权限运行more;在root权限下的more,可以查看任何文本文件的内容的;
最后,我们看看是不是beinan用户有能力看到/etc/shadow文件的内容;
[beinan@localhost~]$ sudo more/etc/shadow
root:$1$mKOQVMQ8$kg3pR0NI4XBgX8KTk4OJI/:16541:0:99999:7:::
bin:*:15980:0:99999:7:::
daemon:*:15980:0:99999:7:::
adm:*:15980:0:99999:7:::
lp:*:15980:0:99999:7:::
sync:*:15980:0:99999:7:::
shutdown:*:15980:0:99999:7:::
halt:*:15980:0:99999:7:::
mail:*:15980:0:99999:7:::
beinan不但能看到/etc/shadow文件的内容,还能看到只有root权限下才能看到的其它文件的内容,比如;
[beinan@localhost~]$ sudo more/etc/gshadow
[sudo] password for beinan:
root:::
bin:::bin,daemon
daemon:::bin,daemon
sys:::bin,adm
adm:::adm,daemon
tty:::
disk:::
lp:::daemon
mem:::
kmem:::
wheel:::
mail:::mail,postfix
uucp:::
对于beinan用户查看和读取所有系统文件中,我只想把/etc/shadow的内容可以让他查看;可以加入下面的一行;
beinan ALL=/bin/more/etc/shadow
题外话:有的弟兄会说,我通过su切换到root用户就能看到所有想看的内容了,哈哈,对啊。但咱们现在不是在讲述sudo的用法吗?如果主机上有多个用户并且不知道root用户的密码,但又想查看某些他们看不到的文件,这时就需要管理员授权了;这就是sudo的好处;
3)用户组在/etc/sudoers中写法
如果用户组出现在/etc/sudoers中,前面要加%号,比如%beinan,中间不能有空格;%beinan ALL=/usr/sbin/*,/sbin/*
如果我们在/etc/sudoers中加上如上一行,表示beinan用户组下的所有成员,在所有可能的出现的主机名下,都能切换到root用户下运行/usr/sbin和/sbin目录下的所有命令;
4)取消某类程序的执行
取消程序某类程序的执行,要在命令动作前面加上!号;在本例中也出现了通配符的*的用法;
beinan ALL=/usr/sbin/*,/sbin/*,!/usr/sbin/fdisk注:把这行规则加入到/etc/sudoers中;但您得有beinan这个用户组,并且beinan也是这个组中的才行;
本规则表示beinan用户在所有可能存在的主机名的主机上运行/usr/sbin和/sbin下所有的程序,但fdisk程序除外;
[beinan@localhost~]$ sudo-l
Password:注:在这里输入beinan用户的密码;
User beinan may run the following commands on this host:
(root)/usr/sbin/*(root)/sbin/*(root)!/sbin/fdisk
[beinan@localhost~]$ sudo/sbin/fdisk–l
Sorry, user beinan is not allowed to execute'/sbin/fdisk-l' as root on localhost.
注:不能切换到root用户下运行fdisk程序;
如果有sudo的权限而没有su的权限: sudo su;
CentOS系统管理基本权限和归属的详解
Linux系统管理_基本权限和归属-RedhatEnterprise5
文件和目录在linux系统中是最为重要的,经常使用root用户登录系统可能没感觉,一旦使用普通用户的时候,就会发现权限这个很棘手的问题,最近一段时间在学习关于文件和目录的权限,想了一下,可以从这四个方面来总结一下:
一基本权限和归属关系
二,文件和目录的权限
三,权限的设置:chmod,umask,mkdir-m
四,文件和目录的所有者和所属组:chown,chgrp
扩展:
Linux系统管理_附加控制权限:
Linux系统管理_用户和用户组:
Linux系统管理_ACL访问控制:
一:基本权限和归属关系
1,访问权限:
-读取:允许查看内容-read
-写入:允许修改内容-write
-可执行:允许运行和切换-excute
注:可执行权限对于目录来说,对应的位置有x权限,意为是否可进入该目录;
而对于文件来说,有x权限,意为该文件可执行,如程序(命令)的所有者权限中都有x权限。
2,归属关系:
-属主:拥有此文件或目录的用户-user
-属组:拥有此文件或目录的组-group
-其他用户:除属主、属组以外的用户-other
最终权限:访问权限和归属关系共同决定最终权限
二:文件和目录的权限
[root@localhost/]#ll-d/etc/passwd/boot/
drwxr-xr-x4rootroot10242013-07-10/boot///目录
-rw-r--r--1rootroot168102-1710:23/etc/passwd//文件
12345678
第一段:d代表该目标为目录,-代表该目标位文件
第二段:rwxr-xr-x:文件和目录的权限位
注:一共九位,前三位为user(所有者)的权限,中间三位为group(所属组)的权限,最后三位为other(其他用户)的权限。
其中r用数字标示为4,w为2,x为1
第三段:对于文件来说,为硬链接数;
对于目录来说,为该目录下有多少个目录,其中包括隐藏目录“.”和“..”。
第四段:为属主,即文件或目录的所有者
第五段:为所属组
第六段:文件的大小,默认情况下单位为bit(字节)
第七段:为最后修改的时间
第八段:文件或目录的名称
三:设置基本权限:chmod、umask和mkdir-m
1,chmod命令
-格式:chmod[ugoa][+-=][rwx]文件/目录
chmod[nnn]文件/目录(n代表权限的数字形式)
常用选项:-R:递归更改权限
--reference=:以指定文件或目录做模板(这个不重要)
示例:
1,修改Desktop的相关属性,分别使用字符权限和数字权限进行设置
[root@localhost~]#ll-dDesktop/
drwxr-xr-x3rootroot409602-1603:40Desktop/
[root@localhost~]#chmodg+w,o-rxDesktop/
[root@localhost~]#ll-dDesktop/
drwxrwx---3rootroot409602-1603:40Desktop/
[root@localhost~]#chmod755Desktop/
[root@localhost~]#ll-dDesktop/
drwxr-xr-x3rootroot409602-1603:40Desktop/
2,创建一个可执行文件,并赋予所有者x权限
[root@localhost~]#echo"echoHelloWorld">test.sh
[root@localhost~]#ll-lhtest.sh
-rw-r--r--1rootroot1702-1821:12test.sh
[root@localhost~]#chmod+xtest.sh//+x默认为所有者添加该权限
[root@localhost~]#ll-lhtest.sh
-rwxr-xr-x1rootroot1702-1821:12test.sh
[root@localhost~]#./test.sh
HelloWorld
[root@localhost~]#
2,umask命令:新建文件或目录的默认权限
-一般文件默认不给x执行权限
-其他取决于umask设置
-umask值可以进行设置(为临时,umask0027即讲umask值设置为0027,可使用umask查看)
注1:由于文件默认不给x权限,所以创建一个新文件的最大权限为666,创建一个目录的最大权限为777。
注2:umask默认值为022(----w--w-),也就是说:
新建一个文件时缺省权限为:
为rw-rw-rw-和----w--w-的差,即为rw-r--r--;即为644(注:不能用777或666减去022)
新建一个目录时缺省权限为:
为rwxrwxrwx和----w--w-的差,即为rwxr-xr-x;即为755
示例:
[root@localhost~]#umask
0022
[root@localhost~]#mkdirmulu1
[root@localhost~]#touchfile1.txt
[root@localhost~]#ll-dmulu1/file1.txt
-rw-r--r--1rootroot002-1821:22file1.txt//默认文件权限为644
drwxr-xr-x2rootroot409602-1821:21mulu1///默认目录权限为755
[root@localhost~]#umask0027//将umask值设置为0027
[root@localhost~]#umask
0027//修改之后umask值为0027
[root@localhost~]#mkdirmulu2//修改umask值后再次创建目录
[root@localhost~]#touchfile2.txt//修改umask值后再次创建文件
[root@localhost~]#ll-dmulu2/file2.txt
-rw-r-----1rootroot002-1821:28file2.txt
drwxr-x---2rootroot409602-1821:28mulu2/
[root@localhost~]#
可以看到umask值设置为0027之后,那么创建的目录和文件的权限方面other用户将不再拥有任何权限。
3,mkdir-m
mkdir为创建一个目录,-m参数可以直接指定即将创建目录的权限
mkdir
四,文件和目录的所有者和所属组:chown,chgrp
1,chown:设置文件或目录的归属关系
-格式:chown属主文件或目录//修改文件或目录的所有者
chown:属组文件或目录//修改文件或目录的所属组
chown属主:属组文件或目录//修改文件或目录的所有者和所属组
-R选项:递归修改权限
--reference选项:以指定目录或文件作为模板(作为了解)
示例:
首先修改file1.txt的权限
然后以file1.txt为模板修改file2.txt文件的权限所有者和所属用户组。
[root@localhost~]#touchfile1.txt
[root@localhost~]#touchfile2.txt
[root@localhost~]#llfile*
-rw-r--r--1rootroot002-1821:43file1.txt
-rw-r--r--1rootroot002-1821:43file2.txt
[root@localhost~]#useradduser1
[root@localhost~]#chownuser1:user1file1.txt//修改file1.txt所有者为user1
//所属组为user1
[root@localhost~]#llfile*
-rw-r--r--1user1user1002-1821:43file1.txt
-rw-r--r--1rootroot002-1821:43file2.txt
[root@localhost~]#chown--referencefile1.txtfile2.txt//file2.txt将会复制file1.txt的属性
[root@localhost~]#llfile*
-rw-r--r--1user1user1002-1821:43file1.txt
-rw-r--r--1user1user1002-1821:43file2.txt//所有者和所属组为和
//file1.txt相同
2,chgrp:设置文件或目录的所属组
chgrp属组文件或目录:修改文件或目录为的所属组
注:相当于chown:属组文件或目录
[root@localhost~]#llfile*
-rw-r--r--1user1user1002-1821:43file1.txt
-rw-r--r--1user1user1002-1821:43file2.txt
[root@localhost~]#chgrprootfile1.txtfile2.txt//修改file1和file2的属主
[root@localhost~]#llfile*
-rw-r--r--1user1root002-1821:43file1.txt//属主变为root
-rw-r--r--1user1root002-1821:43file2.txt//属主变为了root
[root@localhost~]#
总结:
chmod,chown,chgrp这三个命令虽然参数很少,但是总是容易搞混,不过用的多了,用的熟练了就能记住了,chmod修改的是权限,chown修改的是所属用户和组,chgrp修改的是所属组。
最需要注意的是umask的值的设定,新建文件和文件夹时的默认权限!
