用户锁定与权限管理

于 2022-04-23 21:55:36 发布
阅读量1.5k 收藏
点赞数
文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mushuangpanny/article/details/124371202
版权

权限管理

用户锁定与权限管理

文章目录

1.用户锁定
1.1 锁定账号 /-L
[root@SYL2 ~]# echo 'run123' | passwd --stdin buliangren  //设密码
Changing password for user buliangren.
passwd: all authentication tokens updated successfully.
[root@SYL2 ~]# tail /etc/shadow
tom:$6$AWT07jr1LJ4NICve$b9mFSqRNEfsMQttsmF0weIqitnSygAAWhCWB1/JPOcoad3JvrFPlv9IyngBH6oOsn4khPA.8Ph60ZH7RhHhne/:19081:0:99999:7:::
timi:$6$Ol6bKJygBe/rSQAm$m.TyIj2FZT21oNwvlmS/xIxVKuoC6fkF8wAYdahBCBdW54AaZCuldyanQ.yZtqOWeXutpmMZb7UhWWyw9s/5y1:19081:0:99999:7:::
buliangren:$6$Ksm6sr6QFB1s.19J$zOuvZWyEg9QiPi/yVcc4RdPNW3XnVkbPLg29Y9kEnzwtMUU0LFLJ8KZOhniT2eKEEKQGmNZne9CtL92.Gm7tX.:19081:0:99999:7:::
[root@SYL2 ~]# usermod -L buliangren  //锁定账号
[root@SYL2 ~]# tail /etc/shadow
buliangren:!$6$Ksm6sr6QFB1s.19J$zOuvZWyEg9QiPi/yVcc4RdPNW3XnVkbPLg29Y9kEnzwtMUU0LFLJ8KZOhniT2eKEEKQGmNZne9CtL92.Gm7tX.:19081:0:99999:7:::  //密码前有个!
1.2 解锁账号 /-U
[root@SYL2 ~]# usermod -U buliangren   //解锁账号
[root@SYL2 ~]# tail /etc/shadow
buliangren:$6$Ksm6sr6QFB1s.19J$zOuvZWyEg9QiPi/yVcc4RdPNW3XnVkbPLg29Y9kEnzwtMUU0LFLJ8KZOhniT2eKEEKQGmNZne9CtL92.Gm7tX.:19081:0:99999:7:::  //密码前没有!代表解锁
2.权限管理 设置权限 chmod — change mode
文件的权限针对属主(u-,第一个root,拥有者),属组(g,第二个root,组的成员)和其他(o),除了属主和属组之外)进行定义
2.1 权限只针对普通用户,Read 读 Write 写 eXecute 执行 —程序和脚本
    r  w  x
    4  2  1
  • 权限操作对象说明
    r文件读,可以使用类似cat等命令查看文件内容
    w文件写,可以编辑或删除此文件
    x文件执行,程序文件,脚本文件
    r目录可以对此目录执行ls以列出内部
    w目录可以在此目录中创建文件,也可删除此目录中的文件
    x目录可以使用cd切换进此目录,也可以使用ls -l查看内部文件的详细信息必须有
2.2 针对文件 普通文件没有执行权限 x

  • 进入管理员root写入一个文件

  • [root@SYL2 ~]# echo 'hello hello' > ~timi/abc

  • 在timi用户查看

  • [timi@SYL2 ~]$ ll
total 4
-rw-r--r--. 1 root root 12 Mar 30 15:40 abc  //可以看出abc的拥有者root可以读写,这个组可以读,timi这个用户只能读也能删(在timi家中)
[timi@SYL2 ~]$ cat abc
hello hello
[timi@SYL2 ~]$ rm -f abc
[timi@SYL2 ~]$ ll
total 0

  • 设置权限,timi权限为空

  • [root@SYL2 ~]# chmod o= ~timi/abc
[root@SYL2 ~]# 
[timi@SYL2 ~]$ ll
total 4
-rw-r-----. 1 root root 12 Mar 30 15:56 abc

[timi@SYL2 ~]$ cat abc  //切换账号,不能读,只能删,在timi家中
cat: abc: Permission denied
[timi@SYL2 ~]$ rm -f abc
[timi@SYL2 ~]$ ll
total 0
[timi@SYL2 ~]$

  • 创建在opt目录下,timi用户下时把权限改成r,timi没有删除和写看等权限,权限改为w,timi则没有看和删除。因为创建在目录下的文件属于root这个主和组中

  • [root@SYL2 ~]# echo 'hello hello' > /opt/abc
[root@SYL2 ~]# 

[timi@SYL2 ~]$ cd /opt/
[timi@SYL2 opt]$ ll
total 4
-rw-r--r--. 1 root root 12 Mar 30 16:00 abc
[timi@SYL2 opt]$ cat abc
hello hello
[timi@SYL2 opt]$ 

[root@SYL2 ~]# chmod o= /opt/abc  //权限为空
[root@SYL2 ~]# 

[timi@SYL2 opt]$ ll
total 4
-rw-r-----. 1 root root 12 Mar 30 16:00 abc
[timi@SYL2 opt]$ cat abc
cat: abc: Permission denied
[timi@SYL2 opt]$ rm -f abc
rm: cannot remove 'abc': Permission denied
[timi@SYL2 opt]$ ls
abc
[timi@SYL2 opt]$

[root@SYL2 ~]# chmod o=w /opt/abc  //权限能写
[root@SYL2 ~]# cat /opt/abc
hello hello

[timi@SYL2 opt]$ echo '666' >> abc
[timi@SYL2 opt]$ rm -f abc
rm: cannot remove 'abc': Permission denied
[timi@SYL2 opt]$

[root@SYL2 ~]# cat /opt/abc
hello hello
666
2.3 文件 脚本文件执行权限

  • 把脚本中的执行(x)权限给去除,管理员能用,普通用户用不了

  • [root@SYL2 ~]# ls /usr/bin/ls
/usr/bin/ls
[root@SYL2 ~]# ll /usr/bin/ls
-rwxr-xr-x. 1 root root 143224 Jul 14  2021 /usr/bin/ls
[root@SYL2 ~]# chmod o-x /usr/bin/ls //把其他用户执行权限给去掉
[root@SYL2 ~]# ll /usr/bin/ls
-rwxr-xr--. 1 root root 143224 Jul 14  2021 /usr/bin/ls


  • [timi@SYL2 opt]$ ll
-bash: /usr/bin/ls: Permission denied

[root@SYL2 ~]# chmod o+x /usr/bin/ls
[root@SYL2 ~]# 

[timi@SYL2 opt]$ ll
total 4
-rw-r---w-. 1 root root 16 Mar 30 16:07 abc
[timi@SYL2 opt]$
2.4 目录必须跟执行权限配合

  • 目录没有执行(x)权限,timi进不去目录中

  • [timi@SYL2 opt]$ cd qqq/ 
-bash: cd: qqq/: Permission denied
[timi@SYL2 opt]$ 


  • [root@SYL2 ~]# ll /home/
[root@SYL2 ~]# cd /opt/
[root@SYL2 opt]# ls
abc
[root@SYL2 opt]# mkdir qqq  //创建一个目录
[root@SYL2 opt]# ll
total 4
-rw-r---w-. 1 root root 16 Mar 30 16:07 abc
drwxr-xr-x. 2 root root  6 Mar 30 16:30 qqq
[root@SYL2 opt]# chmod o=r abc
[root@SYL2 opt]# mv abc qqq/   //把abc移到目录
[root@SYL2 opt]# chmod o=r qqq  //设置目录权限只能读 
[root@SYL2 opt]# 

[timi@SYL2 opt]$ ll qqq/   
total 4
-rw-r--r--. 1 root root 16 Mar 30 16:07 abc
[timi@SYL2 opt]$ ll qqq/
ls: cannot access 'qqq/abc': Permission denied
total 0
-????????? ? ? ? ?            ? abc
[timi@SYL2 opt]$ ls qqq
ls: cannot access 'qqq/abc': Permission denied
abc
[timi@SYL2 opt]$ 

[root@SYL2 opt]# chmod o=w qqq  //只有写的权限
[root@SYL2 opt]# 

[timi@SYL2 opt]$ ll qqq  //timi用户看不成,写不成,删不了
ls: cannot open directory 'qqq': Permission denied
[timi@SYL2 opt]$ echo '' >> qqq/999
-bash: qqq/999: Permission denied
[timi@SYL2 opt]$ rm -f qqq/999
rm: cannot remove 'qqq/999': Permission denied
[timi@SYL2 opt]$ ls qqq/
ls: cannot open directory 'qqq/': Permission denied
[timi@SYL2 opt]$

  • 跟执行(x)权限配合

  • [timi@SYL2 opt]$ cd qqq/
[timi@SYL2 qqq]$

  • 读权限

  • [root@SYL2 opt]# ll
total 0
drwxr-xr-x. 4 root root 26 Mar 30 16:45 liyun
drwxr-x-w-. 2 root root 17 Mar 30 16:32 qqq
[root@SYL2 opt]# chmod o=rx qqq  //设置能读能执行
[root@SYL2 opt]# ll
total 0
drwxr-xr-x. 4 root root 26 Mar 30 16:45 liyun
drwxr-xr-x. 2 root root 17 Mar 30 16:32 qqq
[root@SYL2 opt]# 

[timi@SYL2 opt]$ ll qqq
total 4
-rw-r--r--. 1 root root 16 Mar 30 16:07 abc
[timi@SYL2 opt]$ ls qqq/
abc
[timi@SYL2 opt]$ cat qqq/abc
hello hello
666
[timi@SYL2 opt]$ 

[timi@SYL2 opt]$ ll qqq  timi能读
total 4
-rw-r--r--. 1 root root 16 Mar 30 16:07 abc
[timi@SYL2 opt]$ ls qqq/
abc
[timi@SYL2 opt]$ cat qqq/abc
hello hello
666

  • 写权限,能删除,能创建,不能修改

  • [root@SYL2 opt]# chmod o=wx qqq
[root@SYL2 opt]# ls
liyun  qqq

[timi@SYL2 opt]$ ls /qqq
ls: cannot access '/qqq': No such file or directory
[timi@SYL2 opt]$ ls qqq/
ls: cannot open directory 'qqq/': Permission denied
[timi@SYL2 opt]$ echo '360' >> qqq/abc
-bash: qqq/abc: Permission denied
[timi@SYL2 opt]$ touch 555
touch: cannot touch '555': Permission denied
[timi@SYL2 opt]$ touch qqq/555
[timi@SYL2 opt]$ rm -f qqq/abc
[timi@SYL2 opt]$ 

[root@SYL2 opt]# ll qqq/
total 0
-rw-rw-r--. 1 timi timi 0 Mar 30 16:54 555
[root@SYL2 opt]#
2.5 用数字代替 — r 4 w 2 x 1

  • 例如文件拥有写的权限—662

  • [root@SYL2 opt]# cp -r qqq/555 . //移到到当前目录
[root@SYL2 opt]# ls
555  liyun  qqq
[root@SYL2 opt]# chmod 660 555 //读写 读写 空
[root@SYL2 opt]# ll
total 0
-rw-rw----. 1 root root  0 Mar 30 17:02 555
drwxr-xr-x. 4 root root 26 Mar 30 16:45 liyun
drwxr-x-wx. 2 root root 17 Mar 30 16:55 qqq
[root@SYL2 opt]# 

[timi@SYL2 opt]$ cat 555
cat: 555: Permission denied
[timi@SYL2 opt]$
2.6 修改文件属主,属组的命令chown—change owner(改变拥有者),只能管理员能用
  • [root@SYL2 opt]# chown timi liyun  //改拥有者直接改
[root@SYL2 opt]# ll
total 0
-rw-rw----. 1 root root  0 Mar 30 17:02 555
drwxr-xr-x. 4 timi root 26 Mar 30 16:45 liyun
drwxr-x-wx. 2 root root 17 Mar 30 16:55 qqq
[root@SYL2 opt]# chown .timi liyun  //改组前面加个点
[root@SYL2 opt]# ll
total 0
-rw-rw----. 1 root root  0 Mar 30 17:02 555
drwxr-xr-x. 4 timi timi 26 Mar 30 16:45 liyun
drwxr-x-wx. 2 root root 17 Mar 30 16:55 qqq
[root@SYL2 opt]# chown tom.timi liyun //两个都改用户.用户
[root@SYL2 opt]# ll
total 0
-rw-rw----. 1 root root  0 Mar 30 17:02 555
drwxr-xr-x. 4 tom  timi 26 Mar 30 16:45 liyun
drwxr-x-wx. 2 root root 17 Mar 30 16:55 qqq
[root@SYL2 opt]#

  • 加大R后面里面都改属性(主,组)

  • [root@SYL2 opt]# mkdir -p ddd/{ap,ao/{77,99}}
[root@SYL2 opt]# chown -R tom ddd
[root@SYL2 opt]# ll ddd/
total 0
drwxr-xr-x. 4 tom root 37 Mar 30 17:28 ao
drwxr-xr-x. 2 tom root  6 Mar 30 17:27 ap
[root@SYL2 opt]# ll ddd/ao/
total 0
drwxr-xr-x. 2 tom root 6 Mar 30 17:27 77
drwxr-xr-x. 2 tom root 6 Mar 30 17:27 99
-rw-r--r--. 1 tom root 0 Mar 30 17:28 jjj
[root@SYL2 opt]#
2.7 遮罩码 —umask
文件默认是不能具有执行权限的,如果算得的结果有执行权限则将其权限整体加1。

  • 文件 666 最大权限
    目录 777 最大权限

  • [root@SYL2 opt]# ll
total 0
-rw-r--r--. 1 root root  0 Mar 30 17:42 abcd //文件 6 4 4
drwxr-xr-x. 4 tom  root 26 Mar 30 17:27 ddd
drwxr-xr-x. 4 tom  timi 26 Mar 30 16:45 liyun  //目录 755
drw-rw-r-x. 2 tom  root 17 Mar 30 16:55 qqq
[root@SYL2 opt]# umask
0022  //遮罩码 文件666-022=644 目录777-022=755 
[root@SYL2 opt]#

  • 改遮罩码之前的文件不变

  • [root@SYL2 opt]# umask 032
[root@SYL2 opt]# umask
0032
[root@SYL2 opt]# ll
total 0
-rw-r--r--. 1 root root  0 Mar 30 17:42 abcd
drwxr-xr-x. 4 tom  root 26 Mar 30 17:27 ddd
drwxr-xr-x. 4 tom  timi 26 Mar 30 16:45 liyun
drw-rw-r-x. 2 tom  root 17 Mar 30 16:55 qqq
[root@SYL2 opt]# rm -rf abcd ddd liyun qqq
[root@SYL2 opt]# touch abc
[root@SYL2 opt]# mkdir xingxing
[root@SYL2 opt]# ll
total 0
-rw-r--r--. 1 root root 0 Mar 30 17:48 abc
drwxr--r-x. 2 root root 6 Mar 30 17:48 xingxing
[root@SYL2 opt]# umask
0032
[root@SYL2 opt]#
3.linux上下文

前提:进程有属主和属组;文件有属主和属组

  • 任何一个可执行程序文件能不能启动为进程,取决于发起者对程序文件是否拥有可执行权限;

  • 启动为进程后,其进程的属主为发起者,属组为发起者所属的组

  • 进程访问文件时的权限取决于进程的发起者:

    • 进程的发起者是文件的属主时,则应用文件属主权限
    • 进程的发起者是文件的属组时,则应用文件属组权限
    • 应用文件“其它”权限

  • 用一个用户tom打开属于root账号的文件

  • 进程的发起者是tom,文件的拥有者是root

4.特殊权限

  • SUID(4),s/S 运行程序时,这个程序启动的进程的属主是程序文件自身的属主,而不是启动者为属主 ,如果file本身原来就有执行权限,则SUID显示为s,否则显示为S

  • [root@SYL2 ~]# ll /usr/bin/sleep 
-rwxr-xr-x. 1 root root 38296 Jul 14  2021 /usr/bin/sleep

[root@SYL2 ~]# ps -ef|grep sleep
titi       13585   13551  0 19:45 pts/1    00:00:00 sleep 5000
root       13587    1701  0 19:45 pts/2    00:00:00 grep --color=auto sleep
[root@SYL2 ~]# 

[root@SYL2 opt]# ll /usr/bin/sleep 
-rwxr-xr-x. 1 root root 38296 Jul 14  2021 /usr/bin/sleep
[root@SYL2 opt]# chmod 4755 /usr/bin/sleep  //设置suid时file本身原来就有执行权限,则SUID显示为s
[root@SYL2 opt]# ll /usr/bin/sleep 
-rwsr-xr-x. 1 root root 38296 Jul 14  2021 /usr/bin/sleep

[root@SYL2 ~]# ps -ef|grep sleep
root       43163   26767  0 19:24 pts/2    00:00:00 sleep 6000

[root@SYL2 opt]# chmod u-x /usr/bin/sleep
[root@SYL2 opt]# ll /usr/bin/sleep //变大写S
-rwSr-xr-x. 1 root root 38296 Jul 14  2021 /usr/bin/sleep

[root@SYL2 ~]# ps -ef|grep sleep
root       43163   26767  0 19:24 pts/2    00:00:00 sleep 6000


[root@SYL2 opt]# 
[root@SYL2 opt]# chmod u+x /usr/bin/sleep
[root@SYL2 opt]# ll /usr/bin/sleep 
-rwsr-xr-x. 1 root root 38296 Jul 14  2021 /usr/bin/sleep
[root@SYL2 opt]#

  • SGID(2), s/S 运行程序时,这个程序启动的进程的属组是程序文件自身的属组,而不是启动者所属的基本组

  • 一旦某目录被设定了SGID,则对此目录有写权限的用户在此目录中创建的文件或目录,其所属的组 ,为此设定了SGID的目录的属组

  • 默认情况下创建的目录属于谁,里面所创建的文件就属于当前目录的基本组

  • [root@SYL2 ~]# mkdir ttt
[root@SYL2 ~]# ll
total 8
-rw-r--r--. 1 root root   88 Mar  1 19:16 1.1.txt
-rw-------. 1 root root 1092 Mar  1 17:08 anaconda-ks.cfg
drwxr-xr-x. 2 root root    6 Mar 30 19:50 ttt
[root@SYL2 ~]# cd ttt
[root@SYL2 ttt]# touch 999
[root@SYL2 ttt]# ll
total 0
-rw-r--r--. 1 root root 0 Mar 30 19:50 999
[root@SYL2 ttt]# 
[root@SYL2 ~]# chown .timi abc
[root@SYL2 ~]# ll
total 8
-rw-r--r--. 1 root root   88 Mar  1 19:16 1.1.txt
drwxr-xr-x. 2 root timi    6 Mar 30 19:55 abc
-rw-------. 1 root root 1092 Mar  1 17:08 anaconda-ks.cfg
drwxr-xr-x. 2 root root   17 Mar 30 19:50 ttt
[root@SYL2 ~]# cd abc
[root@SYL2 abc]# touch 789
[root@SYL2 abc]# ll
total 0
-rw-r--r--. 1 root root 0 Mar 30 19:56 789
[root@SYL2 abc]#

  • 设置sgid后会继承

  • [root@SYL2 ~]# chmod 2755 abc
[root@SYL2 ~]# ll
total 8
-rw-r--r--. 1 root root   88 Mar  1 19:16 1.1.txt
drwxr-sr-x. 2 root timi   17 Mar 30 19:56 abc
-rw-------. 1 root root 1092 Mar  1 17:08 anaconda-ks.cfg
drwxr-xr-x. 2 root root   17 Mar 30 19:50 ttt
[root@SYL2 ~]# cd abc
[root@SYL2 abc]# touch 777
[root@SYL2 abc]# ll
total 0
-rw-r--r--. 1 root timi 0 Mar 30 19:59 777
-rw-r--r--. 1 root root 0 Mar 30 19:56 789
[root@SYL2 abc]#

  • Sticky(1), t/T 在一个公共目录,能自己创建文件,删除自己的文件,但是不能删除别人创建的文件,

  • [root@SYL2 ~]# mkdir /opt/tmmm
[root@SYL2 ~]# ll /opt/
total 0
drwxr-xr-x. 2 root root 6 Mar 30 20:08 tmmm
[root@SYL2 ~]# chmod 1777 /opt/tmmm
[root@SYL2 ~]# ll /opt/
total 0
drwxrwxrwt. 2 root root 6 Mar 30 20:08 tmmm
[root@SYL2 ~]# 

[timi@SYL2 ~]$ cd /opt/tmmm/
[timi@SYL2 tmmm]$ touch abc
[timi@SYL2 tmmm]$ ll
total 0
-rw-rw-r--. 1 timi timi 0 Mar 30 20:10 abc
[timi@SYL2 tmmm]$ 

[tom@SYL2 ~]$ cd /opt/tmmm/
[tom@SYL2 tmmm]$ ls
abc
[tom@SYL2 tmmm]$ ll
total 0
-rw-rw-r--. 1 timi timi 0 Mar 30 20:10 abc
[tom@SYL2 tmmm]$ rm -f abc  //删除不了别人创建的
rm: cannot remove 'abc': Operation not permitted
[tom@SYL2 tmmm]$ ls
abc
[tom@SYL2 tmmm]$ touch 999
[tom@SYL2 tmmm]$ rm -f 999 //自己的可以删,可以创建,覆盖
[tom@SYL2 tmmm]$ 
[timi@SYL2 tmmm]$ echo 'hghg' > abc //
[timi@SYL2 tmmm]$ cat abc
hghg
[timi@SYL2 tmmm]$ > abc
[timi@SYL2 tmmm]$ cat abc
[timi@SYL2 tmmm]$ 


  • 4755    //有SUID,文件权限为755
2755    //有SGID,文件权限为755
1755    //有Sticky,文件权限为755

-rw- --- ---.
4 suid    s/S 有显示小写s 在前三个权限的中间
2 sgid    s/S          s 在中间的权限的中间
1 sticky  t/T          t 在后三个权限的最后一个位置
5.文件系统访问列表 — face 利用文件扩展保存额外的访问控制权限

  • 设置timi目录中能读能写能执行

  • [root@SYL2 opt]# mkdir runun
[root@SYL2 opt]# ll
total 0
drwxr-xr-x. 2 root root  6 Mar 30 20:21 runun
drwxrwxrwx. 2 root root 17 Mar 30 20:12 tmmm
[root@SYL2 opt]# setfacl -m:timi:rwx runun
setfacl: Option -m: Invalid argument near character 2
[root@SYL2 opt]# setfacl -m u:timi:rwx runun
[root@SYL2 opt]# 

[timi@SYL2 runun]$ touch 456
[timi@SYL2 runun]$ 

[tom@SYL2 runun]$ touch 899
touch: cannot touch '899': Permission denied
[tom@SYL2 runun]$ ll
total 0
-rw-rw-r--. 1 timi timi 0 Mar 30 20:23 456
[tom@SYL2 runun]$

  • 设置Tom用户不能进入opt中

  • [root@SYL2 opt]# setfacl -m u:tom:--- runun
[root@SYL2 opt]# 

[tom@SYL2 ~]$ ll /opt/runun/
ls: cannot open directory '/opt/runun/': Permission denied
[tom@SYL2 ~]$

  • 查看文件/目录是否设置成功

  • [root@SYL2 opt]# getfacl runun
# file: runun
# owner: root
# group: root
user::rwx
user:tom:r--
user:timi:rwx
group::r-x
mask::rwx
other::r-x

[root@SYL2 opt]#

  • -x 取消

  • [root@SYL2 opt]# setfacl -x u:tom runun
[root@SYL2 opt]# ll
total 0
drwxrwxr-x+ 2 root root 17 Mar 30 20:23 runun
drwxrwxrwx. 2 root root 17 Mar 30 20:12 tmmm
[root@SYL2 opt]# getfacl runun
# file: runun
# owner: root
# group: root
user::rwx
user:timi:rwx
group::r-x
mask::rwx
other::r-x

[root@SYL2 opt]# 

[tom@SYL2 ~]$ cd /opt/runun
-bash: cd: /opt/runun: Permission denied

[tom@SYL2 ~]$ cd /opt/runun
[tom@SYL2 runun]$

  • -b Remove all

  • [root@SYL2 opt]# setfacl -b runun
[root@SYL2 opt]# getfacl runun
# file: runun
# owner: root
# group: root
user::rwx
group::r-x
other::r-x

[root@SYL2 opt]#
6.sudo可以实现某个用户能够以另外哪一个用户的身份通过哪些主机执行什么命令(权限委派)

sudo的配置文件:/etc/sudoers

[root@SYL2 ~]# ll /etc/sudoers
-r--r-----. 1 root root 4328 Dec 12 13:04 /etc/sudoers
[root@SYL2 ~]#

1.1使用visudo命令进行sudo的配置,每一行就是一个sudo条目,条目格式如下:

  • who which_hosts=(runas) command
    • who:User_Alias,表示运行命令者的身份
    • which_hosts:Host_Alias,通过哪些主机
    • runas:Runas_Alias,以哪个用户的身份
    • command:Cmnd_Alias,运行哪些命令

2.1别名必须全部而且只能使用大写英文字母的组合,可以使用感叹号取反

别名分类:

  • 用户别名:

    • User_Alias NETWORKADMIN =
      • 用户的用户名
      • 组名,使用%引导
      • 还可以其它已经定义的用户别名

  • 主机别名:

    • Host_Alias =
      • 主机名
      • IP地址
      • 网络地址
      • 其它主机别名

  • Runas别名:

    • Runas_Alias =
      • 用户名
      • %组名
      • 其它的Runas别名

  • 命令别名:

    • Cmnd_Alias =
      • 命令路径
      • 目录(此目录内的所有命令)
      • 其它已定义的命令别名
  • sudo命令语法:sudo [options] COMMAND
    -V      //显示版本编号
    -h      //会显示版本编号及指令的使用方式说明
    -l      //列出当前用户可以使用的所有sudo类命令
    -v      //因为sudo在第一次执行时或是在N分钟内没有执行(N默认为5)会问密码,这个参数 \
            //是重新做一次确认,如果超过N分钟,也会问密码
    -k      //让认证信息失效,如果不指定-k,默认认证信息在5分钟后失效
    -b      //将要执行的指令放在后台执行
    -u USERNAME     //以指定的用户名执行命令,默认为root

  • 编辑用户timi能创建用户
[root@SYL2 ~]# visudo  

## Allow root to run any commands anywhere
root    ALL=(ALL)       ALL
timi    ALL=(ALL)       /usr/sbin/useradd
## Allows members of the 'sys' group to run networking, software,
## service management apps and more.

[timi@SYL2 ~]$ sudo -l
[sudo] password for timi: 
Matching Defaults entries for timi on SYL2:
    !visiblepw, always_set_home, match_group_by_gid,
    always_query_group_plugin, env_reset, env_keep="COLORS
    DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS",
    env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS
    LC_CTYPE", env_keep+="LC_COLLATE LC_IDENTIFICATION
    LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY
    LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE",
    env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET
    XAUTHORITY",
    secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin

User timi may run the following commands on SYL2:
    (ALL) /usr/sbin/useradd
[timi@SYL2 ~]$ sudo useradd run111
[timi@SYL2 ~]$ 

[root@SYL2 ~]# visudo //编辑timi能创建和删除用户

## Allow root to run any commands anywhere
root    ALL=(ALL)       ALL
timi    ALL=(ALL)       /usr/sbin/useradd, /usr/sbin/userdel

## Allows members of the 'sys' group to run networking, software,
## service management apps and more.

[timi@SYL2 ~]$ sudo userdel -r run111
[timi@SYL2 ~]$ id run111
id: ‘run111’: no such user
[timi@SYL2 ~]$

  • 认证失效 sudo -k

  • [timi@SYL2 ~]$ sudo -k  //把之前认证 失效
[timi@SYL2 ~]$ sudo -l
[sudo] password for timi: 不输入密码

Sorry, try again.
[sudo] password for timi: 

Sorry, try again.
[sudo] password for timi: 
sudo: 3 incorrect password attempts
[timi@SYL2 ~]$ 
[timi@SYL2 ~]$ sudo useradd run222
[sudo] password for timi: 
Sorry, try again.
[sudo] password for timi: 创建还要输入密码
[timi@SYL2 ~]$ id run222
uid=1003(run222) gid=1003(run222) groups=1003(run222)
[timi@SYL2 ~]$

  • 增加timi创建用户时不用登录密码

  • [root@SYL2 ~]# visudo
[root@SYL2 ~]#
root    ALL=(ALL)       ALL
timi    ALL=(ALL)       NOPASSWD: /usr/sbin/useradd, /usr/sbin/userdel

## Allows members of the 'sys' group to run networking, software,
## service management apps and more.
# %sys ALL = NETWORKING, SOFTWARE, SERVICES, STORAGE, DELEGATING, PROCESSES, LOCATE, DRIVERS

[timi@SYL2 ~]$ sudo useradd run333
[timi@SYL2 ~]$
7.管理命令
7.1 sleep s:秒,默认 m:分 h:小时 d:天
[root@SYL2 ~]# sleep 20m;shutdown -h now //休息20分钟后关机


  • w   //显示当前登录到系统的用户有哪些,以及其正在做什么        
sleep   睡眠,写脚本为防止上一个命令没执行完下一命令就开始执行时可以加上sleep表示停顿#秒后再执行后面的命令 
         
last       显示/var/log/wtmp文件,显示用户登录历史及系统重启历史                
    -n     显示最近#次的相关信息        

lastb      显示/var/log/btmp文件,显示用户错误的登录尝试                
    -n     显示最近#次的相关信息        

lastlog    显示每个用户最近一次成功登录信息                
    -u (username)  显示特定用户最近的登录信息        

basename        //显示路径基名  
dirname         //显示路径

  • 显示用户登录历史及系统重启历史 last /-n 显示最近#次的相关信息

  • [root@SYL2 ~]# last -3  //显示最近3次的相关信息  
root     pts/7        192.168.232.1    Wed Mar 30 20:46 - 20:53  (00:07)
root     pts/6        192.168.232.1    Wed Mar 30 20:46 - 20:53  (00:07)
root     pts/7        192.168.232.1    Wed Mar 30 19:38 - 19:39  (00:00)

wtmp begins Tue Mar  1 17:09:01 2022

[root@SYL2 ~]# ll /var/log/btmp 
-rw-rw----. 1 root utmp 6144 Mar 28 10:02 /var/log/btmp
[root@SYL2 ~]# file /var/log/btmp 
/var/log/btmp: dBase III DBT, version number 0, next free block index 6

[root@SYL2 ~]# lastb  //显示用户错误的登录尝试 
root     tty1                          Mon Mar 28 10:02 - 10:02  (00:00)
         tty1                          Wed Mar  2 09:16 - 09:16  (00:00)
root     tty1                          Tue Mar  1 19:13 - 19:13  (00:00)
root     tty1                          Tue Mar  1 19:12 - 19:12  (00:00)
         tty1                          Tue Mar  1 19:12 - 19:12  (00:00)
         tty1                          Tue Mar  1 17:09 - 17:09  (00:00)
root     tty1                          Tue Mar  1 17:09 - 17:09  (00:00)

btmp begins Tue Mar  1 17:09:26 2022


[root@SYL2 ~]# lastlog  //显示每个用户最近一次成功登录信息
Username         Port     From             Latest
root             pts/7    192.168.232.1    Wed Mar 30 20:46:02 +0800 2022
tom              pts/4                     Wed Mar 30 20:10:42 +0800 2022
timi             pts/2                     Wed Mar 30 19:21:28 +0800 2022
xing                                       **Never logged in**
run222                                     **Never logged in**
run333                                     **Never logged in**
[root@SYL2 ~]#

    显示路径基名 basename

  • [root@SYL2 ~]# basename /a/b/c/d/e  // 显示路径基名
e
[root@SYL2 ~]# dirname /a/b/c/d/e
/a/b/c/d
[root@SYL2 ~]# a=/opt/software/wget-1.5.5.tar.bz2
[root@SYL2 ~]# basename $a
wget-1.5.5.tar.bz2
[root@SYL2 ~]# dirname $a   //显示路径
/opt/software
[root@SYL2 ~]#



[root@SYL2 ~]# lastlog  //显示每个用户最近一次成功登录信息
Username         Port     From             Latest
root             pts/7    192.168.232.1    Wed Mar 30 20:46:02 +0800 2022
tom              pts/4                     Wed Mar 30 20:10:42 +0800 2022
timi             pts/2                     Wed Mar 30 19:21:28 +0800 2022
xing                                       **Never logged in**
run222                                     **Never logged in**
run333                                     **Never logged in**
[root@SYL2 ~]#

    显示路径基名 basename

  • [root@SYL2 ~]# basename /a/b/c/d/e  // 显示路径基名
e
[root@SYL2 ~]# dirname /a/b/c/d/e
/a/b/c/d
[root@SYL2 ~]# a=/opt/software/wget-1.5.5.tar.bz2
[root@SYL2 ~]# basename $a
wget-1.5.5.tar.bz2
[root@SYL2 ~]# dirname $a   //显示路径
/opt/software
[root@SYL2 ~]#
慕霜ヾ
关注
用户权限管理
围着火炉切水果
05-25 597
预置的管理员帐户: SYS 和 system 如果要使用EM,还有DBSNMP和 sysman DBA角色(DBA只是角色,并没有这些权限)与能否管理实例(数据库实例, ASM实例)没有关系,管理实例需要SYSDBA, SYSOPER, or SYSASM privileges(这些是权限)这些权限 connect hr/hr as sysdba; ------ 不能说明 hr 用户
用户权限管理体系
weixin_45632897的博客
08-22 195
用户权限管理体系
用户锁定
weixin_33770878的博客
12-20 488
1.手动锁定: usermod -L user 或passwd -l user 临时锁定用户(/etc/shadow 密码前加!) 修改密码 或 usermod -U user 可解锁;2.被动锁定:pam_tally2.so的PAM模块,来限定用户的登录失败次数 可以在 /etc/pam.d/{sshd,login} 中设置#一次登录失败就锁60...
用户锁定
weixin_30426065的博客
12-28 782
这种情况很少发生,偏偏被我碰到了,我按照网上一个哥们的教程去解决电脑问题 (请勿模仿,很麻烦的) ------------------------------------------------- 1、右键单击“计算机”——”管理“——”本地用户和组“——”用户“找到administrator电脑图标右键单击”属性“将”禁用此用户“选项勾掉。 2、点击开始按钮,在关...
会员中心架构-用户锁定状态存储你会怎么设计?
12-14 498
项目背景会员中心有1000万注册会员,目前进行项目重构,使用Java语言,Oracle数据库,缓存使用Redis。应用场景会员登录超过3次,需要将会员的状态设置为锁定状态...
root用户执行命令ls、ll、 chmod,报错"-bash:/bin/ls: permission denied"
嘴软心硬
06-19 2627
现象: root用户执行命令ls、ll、 chmod,报错 "-bash:/bin/xx: permission denied" 根本就登录不进去 原来是系统坏了。。。md
用户用户组管理习题与项目训练.docx
06-18
Linux操作系统中,用户用户组是权限管理和资源访问控制的基础。本章节主要涉及用户用户组的创建、修改、删除,以及与之相关的权限设置。 1. **创建用户用户组** - `groupadd` 命令用于创建一个新的用户组...
计算机用户管理与安全策略教材.pptx
最新发布
11-14
【计算机用户管理与安全策略】是信息技术领域的重要组成部分,它涉及到如何有效地管理和保护计算机系统,确保数据的安全性和用户的隐私。本教材主要涵盖了以下几个关键知识点: 1. **操作系统评价标准**: - **...
大型数据库技术-实验五 用户、角色与权限管理.doc
08-21
在大型数据库技术中,用户、角色与权限管理是至关重要的环节,确保了数据的安全性和访问控制。本实验主要涉及以下几个核心知识点: 1. **概要文件(Profile)**: - 概要文件用于定义用户的资源限制,如CPU使用量...
oracle用户权限管理使用详解
09-10
Oracle数据库系统是一个强大的关系型数据库管理系统,其用户权限管理是确保数据安全性的重要组成部分。本文将深入探讨Oracle用户权限管理的使用方法,以便更好地理解和管理数据库中的用户及其权限。 首先,Oracle中...
Linux 部分命令无法使用-bash: /usr/bin/*: Permission denied
南部余额的博客
04-23 2万+
Linux 部分命令无法使用-bash: /usr/bin/*: Permission denied-bash: /usr/bin/systemctl: Permission denied报错原因解决方法 -bash: /usr/bin/systemctl: Permission denied 报错 [root@VM-0-10-centos bin]# systemctl status firewalld -bash: /usr/bin/systemctl: Permission denied -ba
解决linux的-bash: ./xx: Permission denied
热门推荐
MemRay
12-24 6万+
linux下执行sh文件时提示下面信息: -bash: ./xx.sh: Permission denied 解决: chmod 777 xx.sh     Linux chmod +755和chmod +777 各是什么意思呢? 755 代表用户对该文件拥有读,写,执行的权限,同组其他人员拥有执行和读的权限,没有写的权限,其他用户的权限和同组人员权限一
Linux锁定和解锁用户
weixin_33754913的博客
11-28 2091
1、禁止个别用户登录。比如禁止lynn用户登录。 passwd -l test 这就话的意思是锁定test用户,这样该用户就不能登录了。 passwd -u test 对锁定用户lynn进行解锁,用户可登录了。 2、我们通过修改/etc/passwd文件中用户登录的shell vi /etc/passwd test:x:500:500::/home/tes...
java实现用户登录异常统计、锁定及解锁功能
aw277866304的博客
01-21 3519
java实现用户登录异常统计、锁定及解锁功能
用户锁定
小罗的博客
04-07 908
之前由于做一个小项目的需要,做一个用户登录密码输错几次之后被锁定。但是本人还觉得还有瑕疵,就是在连续输错几次之后被锁定,但是目前实现的是时间上不连续错误几次就被锁定!MODEL类中的代码 class UserModel extends Model { protected $trueTableName ="mgj_administrators"; // 数据映
-bash: /usr/bin/netstat: Permission denied 解决
疯魔coding君的博客
11-13 2106
使用 netstat 命令时提示没有权限访问,添加可执行权限也被拒绝,这种情况下可执行如下命令解决: lsattr /usr/bin/netstat chattr -i /usr/bin/netstat lsattr /usr/bin/netstat ll /usr/bin/netstat chmod 755 /usr/bin/netstat ll /usr/bin/netstat netstat -tpln ...
记录CentOS下pam_tally2模块,用户禁用及锁定
Gaphuang的博客
10-22 2088
1.用户被禁用: 禁用root账号 # usermod -L root 解除禁用 # usermod -U root 如何查看账户被禁用 #cat /etc/shadow 被锁定账户的加密字段前面会有!或者* 2.用户锁定时: 查看test登录次数 #pam_tally2 --user test 重置登录失败次数 #pam_tally2 --user=test --reset ,亦可简化为:pam_tally2 -r -u root 查看登...
Oracle用户与模式管理:权限与创建
"Oracle数据库中的用户与对象权限及系统权限是管理数据库安全的关键组成部分。用户是访问数据库的基础,而模式则是用户拥有对象的容器。在Oracle中,SYS和SYSTEM用户是预定义的特权用户,分别拥有数据字典和全部对象...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值