centos 通配符 grep通配符
本篇文章给大家谈谈centos 通配符,以及grep通配符对应的知识点,文章可能有点长,但是希望大家可以阅读完,增长自己的知识,最重要的是希望对各位有所帮助,可以解决了您的问题,不要忘了收藏本站喔。
centos root权限执行命令和sudo有没有区别
一.使用 su命令临时切换用户身份
1、su的适用条件和威力
su命令就是切换用户的工具,怎么理解呢?比如我们以普通用户beinan登录的,但要添加用户任务,执行useradd,beinan用户没有这个权限,而这个权限恰恰由root所拥有。解决办法无法有两个,一是退出beinan用户,重新以root用户登录,但这种办法并不是最好的;二是我们没有必要退出beinan用户,可以用su来切换到root下进行添加用户的工作,等任务完成后再退出root。我们可以看到当然通过su切换是一种比较好的办法;
通过su可以在用户之间切换,如果超级权限用户root向普通或虚拟用户切换不需要密码,什么是权力?这就是!而普通用户切换到其它任何用户都需要密码验证;
2、su的用法:
su [OPTION选项参数] [用户]
-,-l,——login登录并改变到所切换的用户环境;
-c,——commmand=COMMAND执行一个命令,然后退出所切换到的用户环境;
至于更详细的,请参看man su;
3、su的范例:
1) su在不加任何参数
默认为切换到root用户,但没有转到root用户家目录下,也就是说这时虽然是切换为root用户了,但并没有改变root登录环境;用户默认的登录环境,可以在/etc/passwd中查得到,包括家目录,SHELL定义等;
[beinan@localhost~]?$ su root
Password:
[root@localhost beinan]# pwd
/home/beinan
2) su加参数-
表示默认切换到root用户,并且改变到root用户的环境;
[beinan@localhost~]$ pwd
/home/beinan
[beinan@localhost~]$ su-
Password:
[root@localhost~]# pwd
/root
3) su参数-用户名
[beinan@localhost~]$ su– root注:这个和su-是一样的功能;
Password:
[root@localhost~]# pwd
/root
[beinan@localhost~]$ su– linuxsir注:这是切换到 linuxsir用户
Password:注:在这里输入密码;
[linuxsir@localhost~]$ pwd注:查看用户当前所处的位置;
/home/linuxsir
[linuxsir@localhost~]$ id注:查看用户的UID和GID信息,主要是看是否切换过来了;
uid=505(linuxsir) gid=502(linuxsir) groups=0(root),500(beinan),502(linuxsir)
[linuxsir@localhost~]$ exit注:退出
logout
[beinan@localhost~]$
[beinan@localhost Desktop]$ su--c ls注:这是su的参数组合,表示切换到root用户,并且改变到root环境,然后列出root家目录的文件,然后退出root用户;
Password:注:在这里输入root的密码;
anaconda-ks.cfg install.log.syslog mydate1 mytask.sh Videos注:列出root家目录的文件;
Desktop jdk mydate2 Pictures workspace
Documents jdk-6u13-linux-i586.bin mydate3 Public Workspaces
Downloads Linux mydate4 software
install.log Music MyEclipse 2015 Templates
[beinan@localhost Desktop]$注:自动退出root用户;
[beinan@localhost Desktop]$ pwd
/home/beinan/Desktop
[beinan@localhost Desktop]$ id注:查看是否切换成功;
uid=506(beinan) gid=506(beinan) groups=506(beinan) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
[beinan@localhost Desktop]$
4、su的优缺点;
su的确为管理带来方便,通过切换到root下,能完成所有系统管理工具,只要把root的密码交给任何一个普通用户,他都能切换到root来完成所有的系统管理工作;但通过su切换到root后,也有不安全因素;比如系统有10个用户,而且都参与管理。如果这10个用户都涉及到超级权限的运用,做为管理员如果想让其它用户通过su来切换到超级权限的root,必须把root权限密码都告诉这10个用户;如果这10个用户都有root权限,通过root权限可以做任何事,这在一定程度上就对系统的安全造成了威协;想想Windows吧,简直就是恶梦;“没有不安全的系统,只有不安全的人”,我们绝对不能保证这 10个用户都能按正常操作流程来管理系统,其中任何一人对系统操作的重大失误,都可能导致系统崩溃或数据损失;所以su工具在多人参与的系统管理中,并不是最好的选择,su只适用于一两个人参与管理的系统,毕竟su并不能让普通用户受限的使用;超级用户root密码应该掌握在少数用户手中,这绝对是真理!所以集权而治的存在还是有一定道理的;
二. sudo授权许可使用的su,也是受限制的su
1. sudo的适用条件
由于su对切换到超级权限用户root后,权限的无限制性,所以su并不能担任多个管理员所管理的系统。如果用su来切换到超级用户来管理系统,也不能明确哪些工作是由哪个管理员进行的操作。特别是对于服务器的管理有多人参与管理时,最好是针对每个管理员的技术特长和管理范围,并且有针对性的下放给权限,并且约定其使用哪些工具来完成与其相关的工作,这时我们就有必要用到 sudo。
通过sudo,我们能把某些超级权限有针对性的下放,并且不需要普通用户知道root密码,所以sudo相对于权限无限制性的su来说,还是比较安全的,所以sudo也能被称为受限制的su;另外sudo是需要授权许可的,所以也被称为授权许可的su;
2. sudo执行命令的流程
1)给用户授权
当前用户切换到root(或其它指定切换到的用户),然后以root(或其它指定的切换到的用户)身份执行命令,执行完成后,直接退回到当前用户;而这些的前提是要通过sudo的配置文件/etc/sudoers来进行授权;
比如我们想用beinan普通用户通过more/etc/shadow文件的内容时,可能会出现下面的情况;
[beinan@localhost~]$ more/etc/shadow/etc/shadow
/etc/shadow: Permission denied注:权限不够
[beinan@localhost~]$
这时我们可以用sudo more/etc/shadow来读取文件的内容;就就需要在/etc/soduers中给beinan授权;于是我们就可以先su到root用户下通过visudo来改/etc/sudoers;(比如我们是以beinan用户登录系统的)
[beinan@localhost~]$ su
Password:注:在这里输入root密码
[root@localhost beinan]# visudo注:运行visudo来改/etc/sudoers
加入如下一行 beinan ALL=/bin/more,退出保存;
注:visudo也是用的vi编辑器;beinan ALL=/bin/more表示beinan可以切换到root下执行more来查看文件;退回到beinan用户下,用exit命令;
[root@localhost beinan]# exit
exit
[beinan@localhost~]$
2)beinan用户执行root下的权限,查看beinan的通过sudo能执行哪些命令
[beinan@localhost~]?$ sudo-l
Password:注:在这里输入beinan用户的密码
User beinan may run the following commands on this host:
(root)/bin/more注:在这里清晰的说明在本台主机上,beinan用户可以以root权限运行more;在root权限下的more,可以查看任何文本文件的内容的;
最后,我们看看是不是beinan用户有能力看到/etc/shadow文件的内容;
[beinan@localhost~]$ sudo more/etc/shadow
root:$1$mKOQVMQ8$kg3pR0NI4XBgX8KTk4OJI/:16541:0:99999:7:::
bin:*:15980:0:99999:7:::
daemon:*:15980:0:99999:7:::
adm:*:15980:0:99999:7:::
lp:*:15980:0:99999:7:::
sync:*:15980:0:99999:7:::
shutdown:*:15980:0:99999:7:::
halt:*:15980:0:99999:7:::
mail:*:15980:0:99999:7:::
beinan不但能看到/etc/shadow文件的内容,还能看到只有root权限下才能看到的其它文件的内容,比如;
[beinan@localhost~]$ sudo more/etc/gshadow
[sudo] password for beinan:
root:::
bin:::bin,daemon
daemon:::bin,daemon
sys:::bin,adm
adm:::adm,daemon
tty:::
disk:::
lp:::daemon
mem:::
kmem:::
wheel:::
mail:::mail,postfix
uucp:::
对于beinan用户查看和读取所有系统文件中,我只想把/etc/shadow的内容可以让他查看;可以加入下面的一行;
beinan ALL=/bin/more/etc/shadow
题外话:有的弟兄会说,我通过su切换到root用户就能看到所有想看的内容了,哈哈,对啊。但咱们现在不是在讲述sudo的用法吗?如果主机上有多个用户并且不知道root用户的密码,但又想查看某些他们看不到的文件,这时就需要管理员授权了;这就是sudo的好处;
3)用户组在/etc/sudoers中写法
如果用户组出现在/etc/sudoers中,前面要加%号,比如%beinan,中间不能有空格;%beinan ALL=/usr/sbin/*,/sbin/*
如果我们在/etc/sudoers中加上如上一行,表示beinan用户组下的所有成员,在所有可能的出现的主机名下,都能切换到root用户下运行/usr/sbin和/sbin目录下的所有命令;
4)取消某类程序的执行
取消程序某类程序的执行,要在命令动作前面加上!号;在本例中也出现了通配符的*的用法;
beinan ALL=/usr/sbin/*,/sbin/*,!/usr/sbin/fdisk注:把这行规则加入到/etc/sudoers中;但您得有beinan这个用户组,并且beinan也是这个组中的才行;
本规则表示beinan用户在所有可能存在的主机名的主机上运行/usr/sbin和/sbin下所有的程序,但fdisk程序除外;
[beinan@localhost~]$ sudo-l
Password:注:在这里输入beinan用户的密码;
User beinan may run the following commands on this host:
(root)/usr/sbin/*(root)/sbin/*(root)!/sbin/fdisk
[beinan@localhost~]$ sudo/sbin/fdisk–l
Sorry, user beinan is not allowed to execute'/sbin/fdisk-l' as root on localhost.
注:不能切换到root用户下运行fdisk程序;
如果有sudo的权限而没有su的权限: sudo su;
CentOS重定向,管道符,环境变量
重定向
在bash命令执行的过程中,主要有三种输出入的情况,分别是:
举例说明:
(1)man bash> test.txt-------将bash里面的内容写入到test.txt这个文件当中。
(2)echo“66666”> test.txt------将66666写入到test.txt中
echo"55555">>test.txt------将55555追加写入到sbz.txt中,原本的文件还在。
管道符
举例说明:
(1)grep“/sbin/nologin”/etc/passwd| wc-l查看被限制登录的用户的行数
(2)ls-l/etc/| more用分页的形式查看文件的权限
通配符
环境变量
可以用echo$PATH输出路径;
可以用PATH=$PATH:/XXX/XXX添加路径
export可以把一般变量更改为全局变量
CentOS7使用hostapd实现无AP模式的详解
这篇是 linux下使用hostapd实现无线接入点 AP模式的另一种实现方式:hostapd路由模式配置。
对于软硬件的基本配置及 hostapd安装在《CentOS 7之 hostapd AP模式配置》的前半部分内容中有说明,可以先看看那篇,再看本文。
hostapd的AP模式配置需要的有线网卡和无线网卡进行桥接,那路由模式配置主要就是将无线网卡的数据通过有线网卡进行伪装、转发两个方面,也就不再需要将有线和无线网卡进行桥接。
配置这种路由模式就类似一台普通的无线路由器,有线网口就相当于普通无线路由器的 WAN接口,无线网卡就负责发送广播无线信号供手机、笔记本的无线设备接入实现网络访问。
但也有区别的地方就是跟普通无线路由器相比,这种实现方式没有四个普通的 LAN接口,不能供其它台式机等进行有线连接。
实际上 linux作为网络功能为主的操作系统也是可以连接的,只是需要交换机等设备等,会复杂些。我这里的配置就当作是没有四个 LAN接口的普通无线路由器。
hostapd.conf配置
这里只是一个最小化的配置:
#/etc/hostapd/hostapd.conf最小化配置
interface=wlp2s0
#bridge=br0#不再需要桥接,将这行注释就可以
driver=nl80211
ssid=test
hw_mode=g
channel=1
auth_algs=3
ignore_broadcast_ssid=0#是否广播,0广播
wpa=3
wpa_passphrase=12345678#无线连接密码
配置跟AP模式配置文件类似,只要注释掉 bridge=br0选项就可以。
有线接口配置
首先我们需要正确配置有线接口并且可以正常上网。最简单的是方式就是从路由器那自动获取IP地址、网关、DNS。如果没有路由器的话那就需要手动设置有线接口的上网方式,例如常用的PPPOE方式、静态IP地址方式、动态获取IP地址方式等。反正动态获取IP地址的最简单。
无线接口设置使用 ip addr add命令
使用 ip addr add命令设置无线网卡的IP地址,重启后就会失效。例如172.16.0.1/24或其他私有地址,还有就是不要与有线网卡处在同一个网段。一般有线网卡从路由器获取的IP地址是 192.168.1.0/24网段地址。
ipaddradd172.16.0.1/24devwlp2s0
坑提示:目前 CentOS 7默认使用的是 NetworkManager套件作为网络配置工具。这里遇到一个问题就是,NetworkManager套件其提供的 nmcli命令并不支持给无线网卡设置静态的 IP地址,这就需要使用 ip addr add命令手动设定无线网卡的 IP地址或者在/etc/sysconfig/network-scripts/文件夹下面新建配置文件,这是比较老且经典的一种接口配置方式。
使用网络配置文件
如要想想保存设置,可以新建一个文件/etc/sysconfig/network-scripts/ifcfg-static-wlp2s0,文件名以 ifcfg前缀。
vi/etc/sysconfig/network-scripts/ifcfg-static-wlp2s0
[root@server~]#vi/etc/sysconfig/network-scripts/ifcfg-static-wlp2s0
#TYPE=Ethernet
#BOOTPROTO=none
#DEFROUTE=yes
#IPV4_FAILURE_FATAL=no
#IPV6INIT=yes
#IPV6_AUTOCONF=yes
#IPV6_DEFROUTE=yes
#IPV6_FAILURE_FATAL=no
#NAME=static-wlp2s0
#UUID=a036678e-8fdf-48f3-8693-961bb6326i744
DEVICE=wlp2s0#指定无线网卡的接口
ONBOOT=yes#开机就进行设置
IPADDR=172.16.0.1#指定IP地址
PREFIX=24#指定掩码长度
#GATEWAY=192.168.10.254#其他用不着注释掉
#DNS1=127.0.0.1
#DNS2=192.168.10.254
#IPV6_PEERDNS=yes
#IPV6_PEERROUTES=yes
保存后需要先停止 NetworkManager.service服务,最好禁止开机启动,不然还是会有问题。主要表现为开机时 network.service无法启动。
禁止NetworkManager.service服务开机启动
systemctldisableNetworkManager.service
停止NetworkManager.service服务
systemctlstopNetworkManager.service
想看看有没有生效可以重启 network.service服务或直接重启系统。
systemctlrestartnetwork.service
启用转发和配置接口伪装启用转发
使用 sysctl-w重启后会失效
sysctl-wnet.ipv4.ip_forward=1
[root@server~]#sysctl-wnet.ipv4.ip_forward=1
net.ipv4.ip_forward=1
启用IP转发重启后不会失效使用下面方法,系统重启后会自动加载/etc/sysctl.d/文件夹下的设置。
vi/etc/sysctl.d/ip_forward.conf
[root@server~]#vi/etc/sysctl.d/ip_forward.conf
net.ipv4.ip_forward=1
配置接口伪装
CentOS 7中使用 firewalld和 iptables都能做到接口伪装。CentOS 7中默认启用的是 firewalld.service服务。iptables服务和 firewalld服务冲突,两者只能启用其中一个。
使用 firewalld配置接口伪装
如果能使用图形界面配置的话更加简单明了,这里仅使用 firewalld-cmd命令方式配置。
如果没有启动 firewalld.service服务,需要先启动 firewalld.service服务。
systemctlstartfirewalld.service
将无线接口加入到 trust区域,并保存配置。默认情况下所有接口属于 public区域,连接限制比较严格,会导致无法连接。
firewall-cmd--zone=trusted--add-interface=wlp2s0--permanent
[root@server~]#firewall-cmd--zone=trusted--add-interface=wlp2s0--permanent
success
对有线接口所在的区域启用伪装,并保存配置,默认情况下有线接口属于 public区域。
firewall-cmd--zone=public--add-masquerade--permanent
[root@server~]#firewall-cmd--zone=public--add-masquerade--permanent
success
重启 firewalld服务
systemctlrestartfirewalld.service
使用 iptables配置接口伪装
如果习惯使用 iptables,需要安装 iptables-services这个包,里面包含 iptables.service和 ip6tables.service这两个服务,分别用于 ipv4和 ipv6。
要使用 iptables需要先停止并禁用 firewalld.service服务
systemctlstopfirewalld.service
systemctldisablefirewalld.service
再启用 iptables.service服务,因为目前还是主要使用 ipv4所以只启用 iptables.service就可以。如果使用 iptables同样需要设置开机启动 iptables.service服务。
systemctlenableiptables.service
启动 iptables.service服务
systemctlstartiptables.service
接口伪装
iptables-tnat-APOSTROUTING-op2p1-jMASQUERADE
一般来说配置上面的命令就可以了,如果防火墙设置比较严格需要添加允许转发无线网卡接口wlp2s0。
iptables-tfilter-AFORWARD-iwlp2s0-jACCEPT
dnsmasq配置 dnsmasq软件安装
dnsmasq主要负责分配客户端IP地址及DNS解析服务。
没有安装的话先安装 dnsmasq软件
yuminstalldnsmasq
设置开机自动启动 dnsmasq服务
systemctlenablednsmasq.service
dnsmasq.conf配置
vi/etc/dmsmasq.conf
[root@server~]#vi/etc/dnsmasq.conf
#指定接口,指定后同时附加lo接口,可以使用'*'通配符
interface=wlp2s0
#绑定接口
bind-interfaces
#DHCP地址池从172.16.0.100到172.16.0.200
dhcp-range=172.16.0.100,172.16.0.200,255.255.255.0,1h
启动 dnsmansq服务需要无线网卡已经正确设置了 ip地址。dnsmasq会自动将当前的无线网卡地址 172.16.0.1设置为客户端的网关地址和DNS地址。
systemctlstartdnsmasq.service
最后重新启动 hostapd服务
systemctlrestarthostapd.service
