FC4的中文字体美化 | ||||
FC4的中文字体美化 默认配置下,中文的显示看起来比较淡,也比较模糊。普遍的解决方法是使用windows的simsun字体,但是宋体中的英文和数字字体很不美观,结果是英文字体又不好看了。经过摸索,找到了一个两全其美的方案。 美化步骤如下: 1、从windows的fonts文件夹里,复制simsun.ttc,times.ttf, tahoma.ttf 到/usr/share/fonts/chinese/TrueType/ 里。并将simsun.ttc 更名为 simsun.ttf。其中,simsun.ttf 是中文宋体,也是windows里中文采用的字体。times.ttf, tahoma.ttf是英文字体,显示英文比较好看。 2、在命令行运行命令: fc-cache /usr/share/fonts/chinese/TrueType 3、打开 /etc/fonts/fonts.conf 。在 《!-- Some Asian fonts misadvertise themselves as monospaced when in fact they are dual-spaced (half and full). This makes FreeType very confused as it forces all widths to match. Undo this magic by disabling the width forcing code --》 前面,插入: 《match target="font"》 《test name="family"》《string》SimSun《/string》《/test》 《edit name="antialias" mode="assign"》《bool》false《/bool》《/edit》 《/match》 这样来避免字体被过分平滑。 4、在 /etc/fonts/fonts.conf 中,所有类似如下的地方,全部simsun字体 《family》Bitstream Vera Serif《/family》 《family》Times《/family》 《family》Times New Roman《/family》 《family》Nimbus Roman No9 L《/family》 《family》Luxi Serif《/family》 《family》Sazanami Mincho《/family》 《family》Kochi Mincho《/family》 《family》SimSun《/family》 《!--增加这样的一行 wh add --》 《family》AR PL SungtiL GB《/family》 《family》AR PL Mingti2L Big5《/family》 《family》Baekmuk Batang《/family》 《default》《family》serif《/family》《/default》 要点就是,simsun要插入到所有英文字体的最后面、非英文字体的最前面! 5、在 /usr/share/fonts/chinese/TrueType/fonts.dir 和 fonts.scale 前面,插入 times.ttf -arphic technology co.-ar pl Times New Roman-medium-r-normal--0-0-0-0-p-0-iso10646-1 times.ttf -arphic technology co.-ar pl Times New Roman-medium-r-normal--0-0-0-0-p-0-so8859-1 times.ttf -arphic technology co.-ar pl Times New Roman-medium-r-normal--0-0-0-0-p-0-iso8859-10 times.ttf -arphic technology co.-ar pl Times New Roman-medium-r-normal--0-0-0-0-p-0-iso8859-15 times.ttf -arphic technology co.-ar pl Times New Roman-medium-r-normal--0-0-0-0-p-0-iso8859-2 times.ttf -arphic technology co.-ar pl Times New Roman-medium-r-normal--0-0-0-0-p-0-iso8859-3 times.ttf -arphic technology co.-ar pl Times New Roman-medium-r-normal--0-0-0-0-p-0-iso8859-4 times.ttf -arphic technology co.-ar pl Times New Roman-medium-r-normal--0-0-0-0-p-0-iso8859-5 times.ttf -arphic technology co.-ar pl Times New Roman-medium-r-normal--0-0-0-0-p-0-iso8859-9 tahoma.ttf -arphic technology co.-ar pl Tahoma-medium-r-normal--0-0-0-0-p-0-iso10646-1 tahoma.ttf -arphic technology co.-ar pl Tahoma-medium-r-normal--0-0-0-0-p-0-so8859-1 tahoma.ttf -arphic technology co.-ar pl Tahoma-medium-r-normal--0-0-0-0-p-0-iso8859-10 tahoma.ttf -arphic technology co.-ar pl Tahoma-medium-r-normal--0-0-0-0-p-0-iso8859-15 tahoma.ttf -arphic technology co.-ar pl Tahoma-medium-r-normal--0-0-0-0-p-0-iso8859-2 tahoma.ttf -arphic technology co.-ar pl Tahoma-medium-r-normal--0-0-0-0-p-0-iso8859-3 tahoma.ttf -arphic technology co.-ar pl Tahoma-medium-r-normal--0-0-0-0-p-0-iso8859-4 tahoma.ttf -arphic technology co.-ar pl Tahoma-medium-r-normal--0-0-0-0-p-0-iso8859-5 tahoma.ttf -arphic technology co.-ar pl Tahoma-medium-r-normal--0-0-0-0-p-0-iso8859-9 simsun.ttf -arphic technology co.-ar pl simsun gb-medium-r-normal--0-0-0-0-c-0-ascii-0 simsun.ttf -arphic technology co.-ar pl simsun gb-medium-r-normal--0-0-0-0-c-0-iso10646-1 simsun.ttf -arphic technology co.-ar pl simsun gb-medium-r-normal--0-0-0-0-c-0-gb18030-0 simsun.ttf -arphic technology co.-ar pl simsun gb-medium-r-normal--0-0-0-0-c-0-gb2312-0 simsun.ttf -arphic technology co.-ar pl simsun gb-medium-r-normal--0-0-0-0-c-0-gbk-0 注意要修正第一行的数字,使其等于下面内容的行数。 完成上述步骤后,在Preferences(首选项)里的font(字体)里,不管是中文语言环境还是英文语言环境,都将字体设为英文,具体的那个字体, 就看喜好了。在firefox──包括别的所有不采用系统字体设置的软件里也如此设置。这样,中文和英文就都显示的很完美了,和windows里的一样。 如果还有问题,不妨再增加一个步骤:把 /usr/share/fonts/japanese/TrueType 里的 *.ttf 都用simsun.ttf覆盖──即文件名还是原来的文件名,但是文件内容是simsun.ttf的内容。 | ||||
| ||||
| ||||
| ||||||||
Fedora core 4.0 多语言界面 | ||||
Fedora core 4.0 多语言界面,不同编码支持中文的配置 在Fedora core 4.0 中,这些问题都比较好解决,主要是当前用户下的.bashrc 文件的配置的问题,只要加几行就行了。 我在这里主要说一下,英文桌面环境,日文桌面环境,以及在这样的环境下用 fcitx的问题; 首先是安装输入法;fcitx──小企鹅输入法,我没有试过scim,所以如果您用scim,请到输入法版面查看相应的帖子,我感觉也不难。 ========================================================= Fcitx 3.x在 Fedora core 4的安装和配置 ========================================================= 一、下载; 请下载最新稳定版本 fcitx-3.1.1.tar.bz2 03-24-2005 最新稳定版 请到 http://www.fcitx.org 下载区下载; 二、安装 fcitx-3.1.1.tar.bz2 [root@localhost beinan]# tar jxvf fcitx-3.1.1.tar.bz2 [root@localhost beinan]# cd fcitx-3.1.1 [root@localhost fcitx-3.1.1]# ./configure [root@localhost fcitx-3.1.1]# make [root@localhost fcitx-3.1.1]# make install [root@localhost fcitx-3.1.1]# 如果没有什么大的问题,我看这就安装完成了。 三、配置; 找到 /etc/X11/xinit/xinput.d/中的 zh_CN文件,改成如下的: XIM=fcitx XIM_PROGRAM=fcitx GTK_IM_MODULE=fcitx gnome-im-settings-daemon >/dev/null 然后重启X #pkill gdm 就好。。 或者 按 ctrl+alt+backspace 组合键 ; 其它的好象也没有什么了,重新启动一下机器就行了。 四、多语言的支持; 如何才能做到支持不同的语言呢? 只需要您在 .bashrc 再加一行。 export LANG="ja" 这样系统的桌面环境的语言就变成日语的了。 如果您把 上面的一行改为 export LANG="en_US" 这样系统桌面环境就成为英文的了。 | ||||
| ||||
| ||||
| ||||||||
FC4 安装配置过程 | ||||
FC4 安装配置过程- - 1、安装FC4 光盘安装是傻瓜化安装,我就不说了,安装过程中出错自己解决。 下载fedora core 4 4个iso文件,下面将的是硬盘安装方法。为了少打几个字母,我把4个文件放在 d盘的d:/fc4下的1.iso,2.iso,2.iso,4.iso 将1.iso中的isolinux解出到d:/fc4/boot 然后,去红旗盘中找了个loadlin.exe(网络上到处都是) 建立boot.bat loadlin vmlinuz initrd=initrd.img ramdisk_size=64000 %1 %2 %3 %4 %5 %6 %7 %8 %9 上述文件全部放在d:/fc4/boot下 然后,使用98盘启动(只要是纯dos就行) d: cd fc4 cd boot boot 然后系统控制全被交给你内存虚拟盘中的linux并且开始了安装。 语言我选的是US,键盘US,然后选择硬盘安装。然后用上下光标移动到/dev/hda5输入fc4 然后就开始安装了。再次说明一下。 /dev/hdaX 是第一个硬盘,第二个硬盘是/dev/hdbx 每个硬盘的主分区是1-4,第一个硬盘就是/dev/hda1-4如果有了扩展分区,那么下面的逻辑驱动器是从5开始的。如果你的硬盘是一个主分区3个逻辑驱动器,那么编号分别是 /dev/hda1 ->c: /dev/hda5 ->d /dev/hda6 ->e /dev/hda7 ->f 然后的安装过程自己看把,一般没有问题。 安装完成的向导中,建立一个非root用户。我建的是admin 一定要建,早晚都要用,现在建更好。 装完了吗??恭喜你,入门了。 2、安装nvidia的显卡驱动。 FC4的显示驱动安装和FC3稍微有点不一样。ATI的自己研究吧 还有就是装了nvidia的驱动后,鼠标光标旁边的杂点也不见了,一般的屏幕偏移现象有消失了并且打开了3d的opengl支持。 显卡的驱动一定要装,不然后面说的游戏速度慢不要再问我。 下载nvidia的驱动,放到tmp(推荐,避免某些不可预知的权限问题)下。 /tmp/NVIDIA-Linux-x86-1.0-7667-pkg1.run 在安装前确保安装了 GCC,compat-gcc,libstdc++,compat-libstdc++,kernel,kernel-devel 然后更改/etc/selinux/config文件 将SELISELINUX=enforcing加个#注释 再加一行 SELINUX=disabled 然后重新启动你的电脑 起来后用ctrl+alt+f1切到控制台,使用root登录,一应要用root 然后使用init 3切换到单用户模式并强行关掉gnome 然后cd /tmp ./NVIDIA*.run 执行安装程序,过程中如果提示没有没有识别出你的kernel并且要上nvidia的网站下更新版本的时候选NO其余都是YES/Accept 安装完成后,把刚才的/etc/selinux/config文件改回来,另外修改/etc/X11/xorg.conf 把启动modules中的"dri"的一行去掉 然后把驱动中有"nv"的地方换成"nvidia" 保存,退出 然后执行fixfiles relabel之后有个几分钟的等待。然后重启,重启过程中有个地方也有大概10分钟的等待,等着吧,他在重新relabel以便selinux 然后进gnome的时候出现了nvidia的logo就成功了。 如果此时的屏幕还有偏移,开个终端运行xvidtune然后调整,然后apply预览一下。调好后选show把参数显示出来,然后在/etc/X11/xorg.conf中,显示器的那节中以下列方式加上一行 Section "Monitor" Identifier "Monitor0" VendorName "Monitor Vendor" ModelName "MIRECHANG 77" DisplaySize 320 240 HorizSync 30.0 - 71.0 VertRefresh 50.0 - 160.0 Option "dpms" ModeLine "1024x768" xxx xxx xxx xxx xxx xxx xxx xxx xx xxx xxx xxx EndSection 然后重启你的x就OK 3、访问NTFS分区 下载 kernel-module-ntfs-2.6.11-1.1369_FC4-2.1.22-0.rr.6.4.i686.rpm 然后rpm -ivh kernel*.11*i686.rpm 安装该文件 3、自动加载windows下的分区 我有c,d,e,分别是hda1,hda5,hda6,其中c是ntfs的。 在/mnt下建立目录 mkdir c mkdir d mkdir e 然后修改/etc/fstab 加上下列几行 /dev/hda1 /mnt/c ntfs iocharset=utf8 /dev/hda5 /mnt/d vfat iocharset=utf8 /dev/hda6 /mnt/e vfat iocharset=utf8 然后重新启动计算机 4、美化中文界面。 上面已经加载了ntfs的分区,不错,那个就是我的windows的安装盘。 将windows/fonts/ 下的中文字体,simsun.ttc是必须的,其他的自己看着办。复制到 /usr/share/fonts/chinese/TrueType下。然后更改配置文件。如果不想该配置文件先把上述目录清空了在将中文字体复制进去 就行了,我原来就是这样做的,但是该配置文件更保险。 修改/etc/fonts/fonts.conf 看见下面一段一段的,整个文件中共有6断 Times Times New Roman Nimbus Roman No9 L Luxi Serif Sazanami Mincho Kochi Mincho Simsun #像这样,把Simsun这行加在系统默认所有中文字体的前面。 AR PL SungtiL GB AR PL Mingti2L Big5 Baekmuk Batang serif 总共有6段,全部修改完,再把首选项中的字体中的大小改为9。然后注销,重新登录,然后字体近乎完美,和windows已经差距不大了,某些地方比windows更漂亮。比FC中好多了。 5、安装输入法 FC4自带的iiimf有点.....我更喜欢scim 那么装吧,我这个方法首先要保证能上网并连上了。(怎样配制PPPoe上网不要我说了吧) 开个终端然后 yum remove iiimf* 删除原来的输入法,*一定要跟,*是什么意思大家都应该知道吧,和ls中的用法一样。 然后 yum install scim* 安装scim,这是完全的安装,如果要选择一下先用yum list scim*看一下有些什么再分别安装,反正也不大,几个M就完全安装了 然后在配置一下。去首选项中的更多首选项中的scim的配置中,把不用的输入法前面的勾去掉。省得以后ctrl+shift切换输入法使用次数 6、播放MP3 到网络上下个bmp装上就可以了全名是beep-media-player 然后安装它的mp3,wmv的插件。 7、播放rmvb FC4自己带的helix基本不能放东西。到real.com上下个 RealPlayer10GOLD.bin 然后给执行权限,也可以点右键属性可执行的地方打个勾 chmod a+x RealPlayer10GOLD.bin 然后./RealPlayer10GOLD.bin然后自己看着办 8、配置游戏 鄙人非常喜欢玩游戏,如魔兽,CS 这里使用的是cedega,他对游戏的支持远远比wine好,特别是3D加速。但是cedega是要收钱的。我用的是盗版的,不要告我哦。 wine我也再用,等下你们就知道了。 下载cedega 4.3的rpm安装包,然后安装,不要告诉我你不会装rpm 然后就OK了,例如运行魔兽 开个终端然后cedega War3.exe然后就OK了,速度和windows 下基本没有差别。 9、配置QQ2005 这是最麻烦的东西了,我安装过程中花的时间最长的就是这个。对wine版本控制的要求几乎到了疯狂的地步,我敢保证你我高诉你的方法能用,并且是独门秘籍。你在整个互联网上都搜不到,我光这个东西花了近150个小时。 首先安装wine注意版本,我用的是最新的20050628 还记得我叫你建的非root用户吗,现在就要用,如果没有建,那么赶快useradd -g root xxxxx一个 下面的安装我一直也必须使用admin用户,非root ,一定是重启然后用非root用户登录的,不能su xxxxx,切记 一定要是这个版本,不信你就走这瞧,并且不能下rpm一定要用源码自己编,现在还没有for FC4 的rpm 下载源码,然后安装,安装也是有学问的,不要一来就configure 然后make && make install 如果你是那样装的,我敢保证你很麻烦。 下载源码包,解压 然后进入cd wine-20050628 然后安装,一定用我这种方法 ./tools/wineinstall 输入上面的命令,然后它就自动configure/make depend/make/make install了 慢,我的爱机跑了近半小时然后提示是否要建config文件选是,其他的自己看着半, 如果中途出错了,检查你的系统。如果还是不行,那么很遗憾,用装不上QQ了。 然后安装wine-config-sidenet 到sidenet的网站下,网址我记不清了,自己google一下。 是个tgz的文件,然后cp到/tmp下,解压。 然后最重要的是dcom98.exe和mfc40.dll千万不能用2000或xp下的版本。它的readme中有地址,到微软网站下。 然后解压出dcom98.exe和mfc40.dll放在刚才解出的/tmp/wine-config-sidenet目录下 然后./setup运行 提示语言时输入cn回车 选安装内容的时候选3 是否装ie输入y 是否装dcom98输入y 是否装media player 7输入n 其他的一般都是y 然后,它就自动备份了你的/home/admin/.wine目录,自动下载安装,安装速度看你的网络情况和机器配置,期间最好不要动你的机器,不要做任何操作,死了可别怪我没有告诉你。ie的安装过程和windows一样,自己装吧. 我的机器跑了将近半个小是,然后OK了,它会自动启动你的ie看看是否能上网,如果能上,你就基本成功了 最后下载qq2005beta2.exe放在你的虚拟c盘中,我的是/home/admin/c下。(很重要) 然后wine qq2005beta2.exe 然后像windows下一样的安装。装完就能运行了 顺便说一下,运行的速度很慢,不要以为它死了。如果你没有特殊要求,建议使用lumaQQ | ||||
| ||||
| ||||
| ||||||||
Linux 系统中的超级权限的控制 |
在Linux操作系统中,root的权限是最高的,也被称为超级权限的拥有者。普通用户无法执行的操作,root用户都能完成,所以也被称之为超级管理用户。 在系统中,每个文件、目录和进程,都归属于某一个用户,没有用户许可其它普通用户是无法操作的,但对root除外。root用户的特权性还表现在 root可以超越任何用户和用户组来对文件或目录进行读取、修改或删除(在系统正常的许可范围内);对可执行程序的执行、终止;对硬件设备的添加、创建和 移除等;也可以对文件和目录进行属主和权限进行修改,以适合系统管理的需要(因为root是系统中权限最高的特权用户);
当系统默认安装时,系统用户和UID 是一对一的对关系,也就是说一个UID 对应一个用户。我们知道用户身份是通过UID 来确认的,我们在中 的UID 的解说中有谈到“UID 是确认用户权限的标识,用户登录系统所处的角色是通过UID 来实现的,而非用户名;把几个用户共用一个UID 是危险的,比如我们把普通用户的UID 改为0,和root共用一个UID ,这事实上就造成了系统管理权限的混乱。如果我们想用root权限,可以通过su或sudo来实现;切不可随意让一个用户和root分享同一个UID ;” 在系统中,能不能让UID 和用户是一对多的关系?是可以的,比如我们可以把一个UID为0这个值分配给几个用户共同使用,这就是UID 和用户的一对多的关系。但这样做的确有点危险;相同UID的用户具有相同的身份和权限。比如我们在系统中把beinan这个普通用户的UID改为0后,事 实上这个普通用户就具有了超级权限,他的能力和权限和root用户一样;用户beinan所有的操作都将被标识为root的操作,因为beinan的 UID为0,而UID为0的用户是root ,是不是有点扰口?也可以理解为UID为0的用户就是root ,root用户的UID就是0; UID和用户的一对一的对应关系 ,只是要求管理员进行系统管理时,所要坚守的准则,因为系统安全还是第一位的。所以我们还是把超级权限保留给root这唯一的用户是最好的选择; 如果我们不把UID的0值的分享给其它用户使用,只有root用户是唯一拥有UID=0的话,root用户就是唯一的超级权限用户;
但值得注意的是这种操作是在系统最高许可范围内的操作;有些操作就是具有超级权限的root也无法完成; 比如/proc 目录,/proc 是用来反应系统运行的实时状态信息的,因此即便是root也无能为力;它的权限如下 [root@localhost ~]# pwd
就是这个目录,只能是读和执行权限,但绝对没有写权限的;就是我们把/proc 目录的写权限打开给root,root用户也是不能进行写操作; [root@localhost ~]# chmod 755 /proc
硬件管理、文件系统理解、用户管理以及涉及到的系统全局配置等等......如果您执行某个命令或工具时,提示您无权限,大多是需要超级权限来完成; 比如用adduser来添加用户,这个只能用通过超级权限的用户来完成;
由于超级权限在系统管理中的不可缺少的重要作用,为了完成系统管理任务,我们必须用到超级权限;在一般情况下,为了系统安全,对于一般常规级别的应 用,不需要root用户来操作完成,root用户只是被用来管理和维护系统之用;比如系统日志的查看、清理,用户的添加和删除...... 在不涉及系统管理的工作的环境下,普通用户足可以完成,比如编写一个文件,听听音乐;用gimp 处理一个图片等...... 基于普通应用程序的调用,大多普通用户就可以完成; 当我们以普通权限的用户登录系统时,有些系统配置及系统管理必须通过超级权限用户完成,比如对系统日志的管理,添加和删除用户。而如何才能不直接以root登录,却能从普通用户切换到root用户下才能进行操作系统管理需要的工作,这就涉及到超级权限管理的问题; 获取超级权限的过程,就是切换普通用户身份到超级用户身份的过程;这个过程主要是通过su和sudo 来解决;
通过su可以在用户之间切换,如果超级权限用户root向普通或虚拟用户切换不需要密码,什么是权力?这就是!而普通用户切换到其它任何用户都需要密码验证;
su [OPTION选项参数] [用户]
至于更详细的,请参看man su ;
su 在不加任何参数,默认为切换到root用户,但没有转到root用户家目录下,也就是说这时虽然是切换为root用户了,但并没有改变root登录环境;用户默认的登录环境,可以在/etc/passwd 中查得到,包括家目录,SHELL定义等; [beinan@localhost ~]$ su
su 加参数 - ,表示默认切换到root用户,并且改变到root用户的环境; [beinan@localhost ~]$ pwd
su 参数 - 用户名 [beinan@localhost ~]$ su - root 注:这个和su - 是一样的功能;
[beinan@localhost ~]$ su - linuxsir 注:这是切换到 linuxsir用户
[beinan@localhost ~]$ su - -c ls 注:这是su的参数组合,表示切换到root用户,并且改变到root环境,然后列出root家目录的文件,然后退出root用户;
su 的确为管理带来方便,通过切换到root下,能完成所有系统管理工具,只要把root的密码交给任何一个普通用户,他都能切换到root来完成所有的系统管理工作; 但通过su切换到root后,也有不安全因素;比如系统有10个用户,而且都参与管理。如果这10个用户都涉及到超级权限的运用,做为管理员如果想 让其它用户通过su来切换到超级权限的root,必须把root权限密码都告诉这10个用户;如果这10个用户都有root权限,通过root权限可以做 任何事,这在一定程度上就对系统的安全造成了威协;想想Windows吧,简直就是恶梦; “没有不安全的系统,只有不安全的人”,我们绝对不能保证这10个用户都能按正常操作流程来管理系统,其中任何一人对系统操作的重大失误,都可能导致系统崩溃或数据损失; 所以su 工具在多人参与的系统管理中,并不是最好的选择,su只适用于一两个人参与管理的系统,毕竟su并不能让普通用户受限的使用; 超级用户root密码应该掌握在少数用户手中,这绝对是真理!所以集权而治的存在还是有一定道理的;
通过sudo,我们能把某些超级权限有针对性的下放,并且不需要普通用户知道root密码,所以sudo 相对于权限无限制性的su来说,还是比较安全的,所以sudo 也能被称为受限制的su ;另外sudo 是需要授权许可的,所以也被称为授权许可的su; sudo 执行命令的流程是当前用户切换到root(或其它指定切换到的用户),然后以root(或其它指定的切换到的用户)身份执行命令,执行完成后,直接退回到当前用户;而这些的前提是要通过sudo的配置文件/etc/sudoers来进行授权;
sudo的配置文件是/etc/sudoers ,我们可以用他的专用编辑工具visodu ,此工具的好处是在添加规则不太准确时,保存退出时会提示给我们错误信息;配置好后,可以用切换到您授权的用户下,通过sudo -l 来查看哪些命令是可以执行或禁止的; /etc/sudoers 文件中每行算一个规则,前面带有#号可以当作是说明的内容,并不执行;如果规则很长,一行列不下时,可以用/号来续行,这样看来一个规则也可以拥有多个行; /etc/sudoers 的规则可分为两类;一类是别名定义,另一类是授权规则;别名定义并不是必须的,但授权规则是必须的;
别名规则定义格式如下: Alias_Type NAME = item1, item2, ...
或 Alias_Type NAME = item1, item2, item3 : NAME = item4, item5
Host_Alias 定义主机别名; NAME 就是别名了,NMAE的命名是包含大写字母、下划线以及数字,但必须以一个大写字母开头,比如SYNADM、SYN_ADM或SYNAD0是合法的,sYNAMDA或1SYNAD是不合法的; item 按中文翻译是项目,在这里我们可以译成成员,如果一个别名下有多个成员,成员与成员之间,通过半角,号分隔;成员在必须是有效并事实存在的。什么是有效的 呢?比如主机名,可以通过w查看用户的主机名(或ip地址),如果您只是本地机操作,只通过hostname 命令就能查看;用户名当然是在系统中存在的,在/etc/paswd中必须存在;对于定义命令别名,成员也必须在系统中事实存在的文件名(需要绝对路 径); item成员受别名类型 Host_Alias、User_Alias、Runas_Alias、Cmnd_Alias 制约,定义什么类型的别名,就要有什么类型的成员相配。我们用Host_Alias定义主机别名时,成员必须是与主机相关相关联,比如是主机名(包括远程 登录的主机名)、ip地址(单个或整段)、掩码等;当用户登录时,可以通过w命令来查看登录用户主机信息;用User_Alias和 Runas_Alias定义时,必须要用系统用户做为成员;用Cmnd_Alias 定义执行命令的别名时,必须是系统存在的文件,文件名可以用通配符表示,配置Cmnd_Alias时命令需要绝对路径; 其中 Runas_Alias 和User_Alias 有点相似,但与User_Alias 绝对不是同一个概念,Runas_Alias 定义的是某个系统用户可以sudo 切换身份到Runas_Alias 下的成员;我们在授权规则中以实例进行解说; 别名规则是每行算一个规则,如果一个别名规则一行容不下时,可以通过/来续行;同一类型别名的定义,一次也可以定义几个别名,他们中间用:号分隔, Host_Alias HT01=localhost,st05,st04,10,0,0,4,255.255.255.0,192.168.1.0/24 注:定义主机别名HT01,通过=号列出成员
注:我们通过Host_Alias 定义主机别名时,项目可以是主机名、可以是单个ip(整段ip地址也可以),也可以是网络掩码;如果是主机名,必须是多台机器的网络中,而且这些机器得能 通过主机名相互通信访问才有效。那什么才算是通过主机名相互通信或访问呢?比如 ping 主机名,或通过远程访问主机名来访问。在我们局域网中,如果让计算机通过主机名访问通信,必须设置/etc/hosts, /etc/resolv.conf ,还要有DNS做解析,否则相互之间无法通过主机名访问;在设置主机别名时,如果项目是中某个项目是主机名的话,可以通过hostname 命令来查看本地主机的主机名,通过w命令查来看登录主机是来源,通过来源来确认其它客户机的主机名或ip地址;对于主机别名的定义,看上去有点复杂,其实 是很简单。 如果您不明白Host_Alias 是怎么回事,也可以不用设置主机别名,在定义授权规则时通过ALL来匹配所有可能出现的主机情况。如果您把主机方面的知识弄的更明白,的确需要多多学习。 User_Alias SYSAD=beinan,linuxsir,bnnnb,lanhaitun 注:定义用户别名,下有四个成员;要在系统中确实在存在的;
Cmnd_Alias USERMAG=/usr/sbin/adduser,/usr/sbin/userdel,/usr/bin/passwd [A-Za-z]*,/bin/chown,/bin/chmod
在上面的例子中,有KILL和PWMAG的命令别名定义,我们可以合并为一行来写,也就是等价行; Cmnd_Alias KILL = /usr/bin/kill:PWMAG = /usr/sbin/reboot,/usr/sbin/halt 注:这一行就代表了KILL和PWMAG命令别名,把KILL和PWMAG的别名定义合并在一行写也是可以的;
Runas_Alias OP = root, operator
授权规则是分配权限的执行规则,我们前面所讲到的定义别名主要是为了更方便的授权引用别名;如果系统中只有几个用户,其实下放权限比较有限的话,可以不用定义别名,而是针对系统用户直接直接授权,所以在授权规则中别名并不是必须的; 授权规则并不是无章可寻,我们只说基础一点的,比较简单的写法,如果您想详细了解授权规则写法的,请参看man sudoers 授权用户 主机=命令动作
这三个要素缺一不可,但在动作之前也可以指定切换到特定用户下,在这里指定切换的用户要用( )号括起来,如果不需要密码直接运行命令的,应该加NOPASSWD:参数,但这些可以省略;举例说明;
beinan ALL=/bin/chown,/bin/chmod
如果我们在/etc/sudoers 中添加这一行,表示beinan 可以在任何可能出现的主机名的系统中,可以切换到root用户下执行 /bin/chown 和/bin/chmod 命令,通过sudo -l 来查看beinan 在这台主机上允许和禁止运行的命令; 值得注意的是,在这里省略了指定切换到哪个用户下执行/bin/shown 和/bin/chmod命令;在省略的情况下默认为是切换到root用户下执行;同时也省略了是不是需要beinan用户输入验证密码,如果省略了,默认为是需要验证密码。 为了更详细的说明这些,我们可以构造一个更复杂一点的公式;
注解: 凡是[ ]中的内容,是可以省略;命令与命令之间用,号分隔;通过本文的例子,可以对照着看哪些是省略了,哪些地方需要有空格;
beinan ALL=(root) /bin/chown, /bin/chmod
如果我们把第一个实例中的那行去掉,换成这行;表示的是beinan 可以在任何可能出现的主机名的主机中,可以切换到root下执行 /bin/chown ,可以切换到任何用户招执行/bin/chmod 命令,通过sudo -l 来查看beinan 在这台主机上允许和禁止运行的命令; beinan ALL=(root) NOPASSWD: /bin/chown,/bin/chmod
如果换成这个例子呢?表示的是beinan 可以在任何可能出现的主机名的主机中,可以切换到root下执行 /bin/chown ,不需要输入beinan用户的密码;并且可以切换到任何用户下执行/bin/chmod 命令,但执行chmod时需要beinan输入自己的密码;通过sudo -l 来查看beinan 在这台主机上允许和禁止运行的命令; 关于一个命令动作是不是需要密码,我们可以发现在系统在默认的情况下是需要用户密码的,除非特加指出不需要用户需要输入自己密码,所以要在执行动作之前加入NOPASSWD: 参数; 有可能有的弟兄对系统管理的命令不太懂,不知道其用法,这样就影响了他对 sudoers定义的理解,下面我们再举一个最简单,最有说服务力的例子; 比如我们想用beinan普通用户通过more /etc/shadow文件的内容时,可能会出现下面的情况; [beinan@localhost ~]$ more /etc/shadow
这时我们可以用sudo more /etc/shadow 来读取文件的内容;就就需要在/etc/soduers中给beinan授权; 于是我们就可以先su 到root用户下通过visudo 来改/etc/sudoers ;(比如我们是以beinan用户登录系统的) [beinan@localhost ~]$ su
加入如下一行,退出保存;退出保存,在这里要会用vi,visudo也是用的vi编辑器;至于vi的用法不多说了; beinan ALL=/bin/more 表示beinan可以切换到root下执行more 来查看文件;
退回到beinan用户下,用exit命令; [root@localhost beinan]# exit
查看beinan的通过sudo能执行哪些命令? [beinan@localhost ~]$ sudo -l
最后,我们看看是不是beinan用户有能力看到/etc/shadow文件的内容; [beinan@localhost ~]$ sudo more /etc/shadow
beinan 不但能看到 /etc/shadow文件的内容,还能看到只有root权限下才能看到的其它文件的内容,比如; [beinan@localhost ~]$ sudo more /etc/gshadow
对于beinan用户查看和读取所有系统文件中,我只想把/etc/shadow 的内容可以让他查看;可以加入下面的一行; beinan ALL=/bin/more /etc/shadow
题外话:有的弟兄会说,我通过su 切换到root用户就能看到所有想看的内容了,哈哈,对啊。但咱们现在不是在讲述sudo的用法吗?如果主机上有多个用户并且不知道root用户的密码,但又想查看某些他们看不到的文件,这时就需要管理员授权了;这就是sudo的好处;
%beinan ALL=/usr/sbin/*,/sbin/*
如果我们在 /etc/sudoers 中加上如上一行,表示beinan用户组下的所有成员,在所有可能的出现的主机名下,都能切换到root用户下运行 /usr/sbin和/sbin目录下的所有命令;
取消程序某类程序的执行,要在命令动作前面加上!号; 在本例中也出现了通配符的*的用法; beinan ALL=/usr/sbin/*,/sbin/*,!/usr/sbin/fdisk 注:把这行规则加入到/etc/sudoers中;但您得有beinan这个用户组,并且beinan也是这个组中的才行;
本规则表示beinan用户在所有可能存在的主机名的主机上运行/usr/sbin和/sbin下所有的程序,但fdisk 程序除外; [beinan@localhost ~]$ sudo -l [beinan@localhost ~]$ sudo /sbin/fdisk -l 注:不能切换到root用户下运行fdisk 程序;
假如我们就一台主机localhost,能通过hostname 来查看,我们在这里就不定义主机别名了,用ALL来匹配所有可能出现的主机名;并且有beinan、linuxsir、lanhaitun 用户;主要是通过小例子能更好理解;sudo虽然简单好用,但能把说的明白的确是件难事;最好的办法是多看例子和man soduers ; User_Alias SYSADER=beinan,linuxsir,%beinan
注解: 第一行:定义用户别名SYSADER 下有成员 beinan、linuxsir和beinan用户组下的成员,用户组前面必须加%号; beinan,linuxsir,%beinan ALL=/bin/chown,/bin/chmod,/usr/sbin/adduser,/usr/bin/passwd [A-Za-z]*,!/usr/bin/passwd root,/sbin/parted,/sbin/fdisk
第七行:表示授权DISKADER 下的所有成员,能以OP的身份,来运行 DSKCMD ,不需要密码;更为明确的说 lanhaitun 能以root身份运行 parted和fdisk 命令;其等价规则是: lanhaitun ALL=(root) /sbin/parted,/sbin/fdisk
可能有的弟兄会说我想不输入用户的密码就能切换到root并运行SYDCMD和DSKCMD 下的命令,那应该把把NOPASSWD:加在哪里为好?理解下面的例子吧,能明白的; SYSADER ALL= NOPASSWD: SYDCMD, NOPASSWD: DSKCMD
在授权规则中,还有 NOEXEC:和EXEC的用法,自己查man sudoers 了解;还有关于在规则中通配符的用法,也是需要了解的。这些内容不多说了,毕竟只是一个入门性的文档。soduers配置文件要多简单就有多简单,要多难就有多难,就看自己的应用了。
我们在前面讲的/etc/sudoers 的规则写法,最终的目的是让用户通过sudo读取配置文件中的规则来实现匹配和授权,以便替换身份来进行命令操作,进而完成在其权限下不可完成的任务; 我们只说最简单的用法;更为详细的请参考man sudo sudo [参数选项] 命令 举列: beinan,linuxsir,%beinan ALL=/bin/chown,/bin/chmod,/usr/sbin/adduser,/usr/bin/passwd [A-Za-z]*,!/usr/bin/passwd root,/sbin/parted,/sbin/fdisk
然后列出beinan用户在主机上通过sudo 可以切换用户所能用的命令或被禁止用的命令; [beinan@localhost ~]$ sudo -l 注:列出用户在主机上能通过切换用户的可用的或被禁止的命令;
通过上面的sudo -l 列出可用命令后,我想通过chown 命令来改变/opt目录的属主为beinan ; [beinan@localhost ~]$ ls -ld /opt 注:查看/opt的属主;
我们通过上面的例子发现beinan用户能切换到root后执行改变用户口令的passwd命令;但上面的sudo -l 输出又明文写着不能更改root的口令;也就是说除了root的口令,beinan用户不能更改外,其它用户的口令都能更改。下面我们来测试; 对于一个普通用户来说,除了更改自身的口令以外,他不能更改其它用户的口令。但如果换到root身份执行命令,则可以更改其它用户的口令; 比如在系统中有linuxsir这个用户, 我们想尝试更改这个用户的口令, [beinan@localhost ~]$ passwd linuxsir 注:不通过sudo 直接运行passwd 来更改linuxsir用户的口令;
|