1、练习昨天讲到的相关命令,scp,rsync,chmod,chown,setfacl等;
解:
1.文件传输:
scp,rsync
1.1 scp命令:
加密的方式在本地主机和远程主机之间复制文件.
scp:secret copy
cp + ssh -> scp
1.1.1 本地目录复制到远程:
复制目录
scp -r jfedu/ node2:/tmp/ (可能需要输入密码,默认root)
这个出现的原因是:没有在/etc/hosts下做解析
需要输入命令:vi /etc/hosts
补充地址解析命令:(需要两台电脑都做相同的操作)
192.168.128.3 node1
192.168.128.4 node2
然后按ESC ,输入:wq保存并退出
再输入 scp -r jfedu/ node2:/tmp/
传输效果
scp fstab root@192.168.128.4:/tmp/ 效果相同 linux默认多用户,
jfedu@
node3@
如果没有root@就默认当前用户
(root@db06中的/root下)
如果只想同步目录下文件:
scp -r lutixia/* 192.168.128.3:/data/
scp -r lutixia/* node2:/data/
1.1.2 本地文件复制到远程:
scp fstab 192.168.128.3:/data/
scp fstab node2:/data/
scp fstab 192.168.128.4:/tmp/
tmp -> temporary 临时文件
192.168.128.4 主机显示如下
scp -r lutixia/ 192.168.128.3:/data/
scp -r lutixia/ node2:/data
ps:lutixai 后面不管带不带/. 都可以同步lutixia目录
cp /etc/fstab .
fstab -> file system table 文件系统表
1.1.3 启动压缩:
scp -rc lutixia/ 192.168.128.3:/data/
总结
scp缺点:会将所有文件都传输过去,对大量重复的文件也会传输,传输的效率比较低
scp用法:
scp [参数] [原路径][目标路径]
-r 递归
-C 压缩
原路径 lutixia/
lutixa/*
目标路径: IP+/目录/
属于上传操作
1.2 rsync命令:
远程数据同步工具,它传送两个文件的不同部分,而不是每次都整份传送,因此速度相当快.
需要注意:本地与服务器都需要安装好rsync软件包.
rsync --help |less
q退出
scp和rsync的区别
scp fstab node2:/tmp/
rm -rf .ssh/id_rsa 设置为要密码
rsync -av fstab node2:/tmp/
rsync执行第二遍时,远程服务器如果存在相同的文件,就不执行
sending incremental file list只发送增量的文件的列表信息
scp fstab node2:/tmp/ 不管服务器有没有这样的文件,都将执行,没有就创建,有就覆盖
rm -rf /tmp/*清理远程服务器下的临时文件目录
这样执行更安全
而rm -rf /tmp /* 会把tmp同时删除,所以进入后再删除
rsync -av jfedu/ node2:/tmp/
下面有问题,明明想要同步jfedu/这个目录,但是只同步了文件
用Tab键会默认目录后面加上’/’
有’/‘只表示同步目录下的文件,不同步目录本身,
如果要同步目录就需要删掉’/’
输入: rsync -av jfedu node2:/tmp/ ,这时就会多出个目录信息
scp -r jfedu/ node2:/tmp/ 不管有没有加’/'都复制目录
后期rsync web来同步web数据,因为代码数据比较多,一般是操作目录
最好用rsync,因为是同步不存在远程服务器上的文件
两个文件内容不一样,时间属性肯定不一样,所以必然也会复制
rsync -av fstab 按ESC加上’.'号,可以调用上一条指令的最后一个参数,使输入速度加快
cat fstab 查看文件是否覆盖,如果文件完全相同(内容属性等等),就不覆盖
rsync -av fstab node2:/tmp/
可以完成与cp相同的功能
cp同样进行覆盖操作
cp -u fstab /tmp/
scp 单文件用的比价多,rsync 目录用的比较多
v verbose 显示过程
a archive 命令集合
r recursive 递归,支持递归复制目录的
p perms 保留权限属性
t times 时间,当前文件与目的目录文件的时间保持一致
o owner 所有者
g group 属组
z compress 开启压缩,压缩文件必然消耗CPU资源的,文件不大就没必要用
因为压缩也是需要时间的
1.2.1 目录保持绝对一致:
–delete 参数会删除源目录中没有,而远程目录中存在的文件,以此保持文件一致.
#同步本地目录:
rsync -av --delete A/ /data/B
rsync -av --delete A /data/B
rsync -av jfedu/ --delete node2:/tmp/
会把fstab发送过去,然后删除原目录里没有的文件
mv fstab /tmp/ && rm -rf * 想要保留fstab,然后删除目录其它的文件
开启shell扩展
shopt -s extglob
extglob on 开启了
rm -rf !(fstab) 删除除了fstab的其它文件
ps1:B目录可以不存在,如果不存在则自动创建,但是上级data必须存在.
ps2:A目录带不带斜杆/,意义是不一样的,带斜杠表示同步A目录下的文件,不带
则同步A目录以及其中文件.
–delete:B与A保持绝对的一致,B中存在,而A中不存在的文件将被删除.
1.2.2 本地同步到远程:
rsync -av A/ 192.168.128.3:/data/
将本地A目录下所有文件,同步至服务器132上,
同理,要向实现绝对的一致,需要加上–delete参数.
使用ssh协议连接到远程,所以可以将本机公钥发给远程主机,
否则每次执行都会提示输入密码.
1.2.3 远程同步到本地:
rsync -av 192.168.128.3:/data/C .
rsync -av 192.168.128.3:/data/C/ .
. 表示将远程目录C,同步到本地C目录.
ps:要注意不带斜杠会在本地目录创建一个C目录,
如果带上斜杠/,则只会同步C目录下的文件.
总结:
rsync用法:
rsync [参数] [源路径] [目标路径] (.)
参数:
–delete
–av:all verbose
源路径:
存在:本地同步到远程
不存在:远程同步到本地 .
目标路径:
IP:/目录/
jfedu@IP:/目录/
1.3 开启shell扩展:
shopt -s extglob
rm -rf !(anaconda-ks.cfg)
文件类型+文件权限属性
所有者 属组 其它人权限 前三个字符为一组(rw- r-- r–)
r可读 w可写 x可执行(用于脚本)
root表示所有者 rw
root表示文件的属组 r
595其它人 r
Linux 默认普通文件的可执行干掉了,不能执行,默认rw,其它人r
umak 权限掩码,Linux默认022
777 ->rwx x=1,w=2,r=4 4+2+1=7,Linux默认普通文件的x去掉了
777 ->666 666-022=644
644普通文件默认权限
目录默认权限755
777 -022 755 必须r,x
总结: ll
所有者 文件的属组 其他人
2.权限管理:
chmod,chown,setfac1,chattr,lsattr
2.1 chmod命令:
变更文件或目录的权限
u 用户user,文件或目录的所有者.
g 用户组group,文件或目录所属群组
o 其它用户others
a 所有用户all,系数默认使用此项
- 添加某些权限
- 取消某些权限
= 设置文件的权限为给定的权限
r 表示可读权限
w 表示可写权限
x 表示可执行权限
s 设置权限suid和sgid,使用权限组合"u+s"设定文件的用户的ID位,"g+s"设置组ID位
t 只有目录或文件的所有者才可以删除目录下的文件
-R 递归处理,将指令目录下的所有文件及目录一并处理
先创建一个目录,然后目录下复制文件
useradd jfedu 添加一个用户
切换到指定用户里边,su切换身份
#管理员,超级管理员
$普通一般系统管理员
现在进入当前复制下的文件
接下来,看下命令
vim fstab
只能读取
按delete键,这个时候只是进入到了vlan的缓冲区,内存里的一个缓冲区,
但是不能保存,保存意味者内存里的数据写到磁盘中去.
chmod o+w fstab
现在可以了
chmod o+x fstab 修改可执行权限
去掉可读可写可执行权限
chmod o-wx fstab
cd…
ll
chmod o-x jfedu/去掉对应目录的可执行权限
目录必须为可执行
chmod o=wx fstab =只参考给定的权限
也可以通过数字设置权限,一般用字符设置权限
危险操作,其它人可写
wq不行,但wq!就可以了
因为jfedu设置为了可写,父级目录设置为可写,那么下层用户就可以强制修改
root -> jfedu
chmod 777 -R /usr/local/nginx/html 那么其它用户就可以做到修改,或者进程可以做
修改
除非加个-t
能不能添加文件,要看上级目录
t代表用户只能删除属于自己目录下的文件,而不能删除其它目录下的文件
tmp可以创建,但是不可随便删除
去掉了全部权限
netstat -nltp查看端口和进程名字(超级管理员)
超级管理员也有自己的用户,平级
找到对应命令的路径
jfedu->root
文件所有者是文件的执行人
查看当前属组(第二个root)
2.1.1 设置可读可写:
#o+w | o=rw
- 表示在原先权限的基础上加写权限.
= 表示直接将其它用户权限设置为可读可写,如果以前还有可执行权限,限制也去掉.
[root@localhost ~]#ll
-rw-r–r-- 1 root root 0 Aug 22 05:09 file1
#对普通文件授权:
[root@localhost ~]#chmod o+w file1
[root@localhost ~]#ll
-rw-r–rw- 1 root root 0 Aug 22 05:09 file1
或者:
[root@localhost ~]#chmod o=rw file1
#对目录进行授权,R表示递归:
[root@localhost ~]#chmod -R o+w lutixia/
2.1.2 危险操作:
#将目录权限设置为其它用户可写,这时普通用户是可以进入到目录中任意删除,
修改文件名(即使不是自己的文件),对文件的其它用户权限为不可写的文件也可以强制
保存.
chmod o+w /data/
lutixia 用户修改lutixia2用户的文件:
[lutixia@localhost data]$ ll
-rw-r–r-- 1 lutixia2 lutixia2 30 Aug 22 05:49 fs
[lutixia@localhost data]KaTeX parse error: Expected 'EOF', got '#' at position 12: vim fs ... #̲提示不能修改 E45: 're… cat fs
this is test
this is lutixia2
this is lutixia1
[o+w]将目录权限设置为其它用户不可写(目录默认权限755),这时普通用户就无法删除,修改文件名,
但是如果文件本身有其它可写权限,还是可以写数据的.
总结一下:父目录其它用户有可写权限,其下子文件不管有没有可写权限,均可强行写入,修改!
父目录其它没有可写权限,其下子文件只有可写才有写入权限,但不具备删除,修改文件名权限.
2.1.3 设置t权限:
-t 是对目录设置特殊权限,用户只能删除自己的文件.
#data目录需要设置其它人可写权限
[root@localhost ~]# chmod o+w,o+t /data/
#lutixia2想删除lutixia1的文件,失败
[lutixa2@localhost data]$ ll
-rw-r–r-- 1 lutixia1 lutixia1 63 Aug 22 05:58 fs
[lutixia2@localhost data]$ rm -rf fs
rm: cannot remove ‘fs’ : Operation not permitted
2.1.4 设置s权限:
[-S] 权限可以设置suid和sgid:
- “u+s”: 设置使文件在执行阶段具有文件所有者的权限;
- “g+s” 任何用户在此目录下创建的文件都具有和该目录所属的组相同的组.
[u+s]
#未设置前,普通用户执行netstat -ntlp,会提示没有root权限,普通用户看不了pid的属主:
[lutixia1@localhost data]$ netstat -ntlp
(No info could be read for “-p”:geteuid()=1003 but you
should be root.)
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign
Address State PID/Program name
tcp 0 0 0.0.0.0:111 0.0.0.0:*
LISTEN -
设置suid后:
chmod u+s /usr/bin/netstat
[lutixia@localhost data]$ netstat -nltp
Active Internet-connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign
Address State PID/Program name
tcp 0 0.0.0.0:111 0.0.0.0:*
LISTEN 1/systemd
tcp 0 0.0.0.0:22 0.0.0.0:*
LISTEN 1050/sshd
[g+s]
任何用户在此目录下创建的文件都具有和该目录所属的组相同的组
[root@localhost ~]# chmod g+s /data
[lutixia2@localhost data]$ ll
drwxrwsr-x 2 lutixia1 root 6 Aug 22 07:14 lutixia1
drwxrwsr-x 2 lutixia2 root 6 Aug 22 07:15 lutixia2
再新开一个用户
双击后登陆用户,进入相关目录,新建用户只有读权限
2.2 setfacl命令:
设置文件访问控制列表
set file access control list
-m modify 修改
2.2.1 修改acl规则:
通过-m参数,可以修改文件的acl规则.
#设置用户权限
setfacl -m u:lutixia:rw abc.txt
setfacl -m u:lutixia:rw passwd 指定lutixia的文件为可读可写
文件显示的不是很全
#getfacl 用于查看文件acl权限:
[root]@localhost ~]#getfacl /data/abc.txt
#file: data/abc.txt
#owner: root
#group: root
必须用专有命令
getfacl passwd ,变的是user和mask
#第一个user没有写用户名,代表是默认属主root的权限
user::rw-
#第二个user代表的是lutixia用户的权限
user:lutixia:rw-
group::r–
mask::rw-
other::r–
#设置组权限
setfacl -m g:web:rw abc.txt
#取消用户所有权限
setfacl -m u:lutixia:- abc.txt
#取消其它用户的所有权限:
setfac1 -m o::- abc.txt
#用户必须存在,否则会报错:
[root@localhost ~]# setfacl -m u:lutixia:rw /data/abc.txt
setfacl: Option -m: Invalid argument near character 3
[root@localhost ~]# id lutixia
id: lutixia: no such user
[root@localhost ~]# useradd lutixia
[root@localhost ~]# setfacl -m u:lutixia:rw /data/abc.txt
#现在lutixia可以写入数据到abc.txt文件了
[lutixa@localhost ~]$ echo “this is lutixia” >
/data/abc.txt
开始编辑lutixia用户,现在可以了
相当于额外把lutixia加到了文件的所有者
取消指定用户的权限,不是还原
2.2.2 批量修改acl规则:
[-M] 从文件中读取相应的权限进行设置,多用于批量管理用户权限.
#先创建一个文件:
touch acl.txt
#添加要设置的权限:
u:lutixia:rwx
u:lutixia1:rw
u:lutixia2:x
u:lutixia3:rx
#执行,其中abc.txt是要进行权限设置的文件:
setfacl -M acl.txt abc.txt
2.2.3 撤销acl权限
[-x] 撤销某个用户acl权限,恢复到普通ugo权限:
#不能单独撤销某一个权限,比如只撤销可写权限
setfacl -x u:lutixia abc.txt
去掉控制列表中的用户
setfacl -x u:lutixia: passwd
用户多就用
setfacl -b 文件(绝对路径/文件)
-m 修改一个
-M 批量管理
vim acl.txt
[-b] 撤销所有用户或者组的acl权限:
setfacl -b /data/abc.txt
-b 批量去除
2.2.4 复制acl规则:
[–set-file] 复制一个文件acl权限到另外一个文件.
getfacl file1 | setfacl --set-file=- file2
-表示输出流
echo jfedu |cat -
getfacl passwd | setfacl --set-file=- acl.txt (acl.txt当成普通文件)
passwd的文件信息给到了acl.txt
setfacl -R 对一个目录进行批量修改
2.2.5 临时降低权限:
[mask] 会临时降低acl用户或者组的权限,只能降低用户权限,不能提升.
#设置acl用户的权限为rw:
[root@localhost data]# setfacl -m u:lutixia:rw abc.txt
#这时lutixia用户是可以写入的:
[lutixia@localhost data]$ echo “this is test” >>abc.txt
#设置mask:
[root@localhost data]# setfacl -m mask::r abc.txt
#这时acl用户只有读权限,不再可写:
[lutixia@localhost data]$ echo “this is test” >> abc.txt
-bash:abc.txt: 权限不够
注意:如果lutixia用户本身r权限(只读权限),即使mask设置为rw,也是不能写的.
而且设置了mask之后,如果再次使用setfacl进行权限的设置,那么mask的作用就失败了.
2.3 chattr命令:
chattr是救命命令
改变文件属性
2.3.1 只让追加:
[+a] 让某个文件只能往里面追加内容,不能删除.
chattr +a /var/log/nginx/access.log
去掉属性就是 -a
这个命令,即便是管理员也没有权限删除目录,专门限制管理员
只能追加,不能覆盖,在文件后面追加,限制系统核心日志文件.
chattr -a passwd 通过’-'去掉
chattr 也支持递归目录,但是支持某些目录,设备目录不支持
2.3.2 完全限制:
[+i] 完全限制系统中某个关键文件,不能被修改,删除.
chattr +i /etc/fstab
chattr +i passwd 追加覆盖删除都不行
chattr -i passwd 去掉
这种只能用lsattr查看文件属性
/etc/passwd 记录当前用户的信息
chattr +i /etc/passwd
tail /etc/passwd
解除方法
对目录也支持
3.用户管理(一):
useradd,passwd,userdel,usermod,groupadd,groupdel
3.1 useradd命令:
创建新的系统用户
默认是在/home下创建家目录:
[root@localhost ~]# useradd lutixia
[root@localhost ~]# su - lutixia
[lutixia@localhost ~]$ pwd
/home/lutixia
bash界面如下:
一般用户只能在自己家目录和临时目录创建文件
3.1.1 指定家目录的根:
[-b] 指定用户家目录的根目录,会自动创建用户家目录.
[root@localhost ~]# useradd -b /data lutixia2
[root@localhost ~]# su - lutixia2
[lutixia2@localhost ~]$ pwd
/data/lutixia2
root可以随意进入普通用户的家目录,同为普通用户就不能互相访问
权限越大,责任越大,注重用户隐私
3.1.2 指定家目录:
[-d] 指定用户的家目录,即指定的目录即为家目录,也会自动创建.
[root@localhost ~]# useradd -d /data/lutixia4 lutixia4
[root@localhost ~]# su - lutixia4
[lutixia4@localhost ~]$ pwd
/data/lutixia4
#必须要指定到lutixia4
3.1.3 指定系统用户:
[-r] 指定创建系统用户.
[root@localhost ~]# useradd -r lutixia6
[root@localhost ~]# id lutixia6
uid=994(lutixia6) gid=990(lutixa6) 组=990(lutixia6)
UID_MAX=60000
普通用户从1000开始
201-999 系统用户
<200 系统核心
3.1.4 指定shell:
[-s] 指定用户登入后所使用的shell.
[root@localhost ~] useradd -s /sbin/nologin lutixia7
[root@localhost ~]# grep “lutixia7” /etc/passwd
lutixia7❌1014:1014::/home/lutixia7:/sbin/nologin
用户不能登录系统,多用于创建系统服务用户
3.2 passwd命令:
修改用户密码
#管理员修改用户密码:
passwd username
#用户修改自己的密码:
passwd
stdin 是文件描述符, 代表标准输入(键盘等)
3.2.1 锁定密码:
[-l] 锁定用户密码,用户登录不了.
[root@localhost ~]# passwd -l lutixai4
锁定用户 lutixia4 的密码:
passwd: 操作成功
#用普通用户身份进行切换,因为root切换普通用户,不需要输入密码,所以会
感觉没生效
[lutixia@localhost ~]$ su - lutixia4
密码:
su: 鉴定故障
#或者使用ssh登录普通用户,也可以验证
ssh lutixia@192.168.128.3
3.2.2 解锁密码
[-u] 解锁用户密码.
[root@localhost ~]# passwd -u lutixia4
解锁用户 lutixia4 的密码.
passwd: 操作成功
[lutixia@localhost ~]$ su - lutixia4
密码:
上一次登录: 三 8月 21 16:42:12 CST 2019从 192.168.128.3pts/4
上
最后一次失败的登录: 三 8月 21 16:43:07 CST 2019pts/3 上
最有一次成功登录后有 3次失败的登录尝试.
3.2.3 注销密码:
[-e] 使用户密码立即失效.
[root@localhost ~]# passwd -e lutixia4
正在停止用户 lutixia4 的密码.
passwd: 操作成功
[lutixia@localhost ~]$ su - lutixia4
密码:
输入原密码,强制修改密码.
3.2.4 非交互修改密码:
[–stdin] 通过标准输入设置用户密码.
[root@localhost ~]# echo “123456” |passwd --stdin lutixia4
更改用户 lutixia4 的密码.
passwd: 所有的身份验证令牌已经成功更新.
标准的错误输出
标准输入
4.用户管理(二)
4.1 userdel命令:
删除用户以及相关数据,但是如果不加参数,则只删除用户,不能删除其家目录.
[root@localhost ~]# useradd lutixia
[root@localhost ~]# userdel lutixia
[root@localhost ~]# ls /home
jfedu lutixia www
[root@localhost ~]# id lutixia
id: lutixia: no such user
4.1.1 删除用户家目录:
[-r] 删除用户的同时,删除与用户相关的所有文件.
[root@localhost ~]# userdel -r lutixia
[root@localhost ~]# ls /home
jfedu www
4.1.2 强制删除在线用户:
[-f] 强制删除用户,即使用户已经登陆,默认情况下,用户在线,是不能删除的,因为用户可能正在执行
相关操作.
#用户登陆,不带参数删除:
[root@localhost ~]# !useradd
useradd lutixia
[root@localhost ~]# userdel lutixia
userdel: user lutixia is currently used by process 1958
#用户登录,强制删除
[root@localhost ~]# userdel -rf lutixia
userdel: user lutixia is currently used by process 2166
#用户已经被删除了
[root@localhost ~]# id lutixia
id: lutixia: no such user
强制删除在线用户
4.2 usermod命令:
修改用户的基本信息,不然改变正在线上的使用者账号名称.
4.2.1 修改用户名:
[-l] 修改用户名:
[root@localhost ~]# usermod -l ltx lutixia
[root@localhost ~]# id lutixia
id: lutixi: no such user
[root@localhost ~]# id ltx
uid=1002(ltx) gid=1002(lutixia) groups=1002(lutixia)
4.2.2 添加附加组:
[-a] 用户添加附加组:
[lutixia@localhost ~]$ sudo ps -ef |grep nginx
lutixia 不在 sudoers 文件中.此事将被报告.
[root@localhost ~]# usermod -a -G wheel lutixia
#新开一个shell执行以下命令:
[lutixia@localhost ~]$ sudo ps -ef |grep nginx
lutixia 2186 2140 0 07:59 pts/1 00:00:00 grep –
color=auto nginx
4.2.3 修改用户家目录:
[-d] 修改用户登陆时的目录,这个参数只是修改/etc/passwd中用户的家目录配置信息,
不会自动创建新的家目录,通常和-m一起使用.
如果已经使用-d执行了,可以立马去创建其家目录,并将/etc/skel/.bash*
文件拷贝进去.
4.2.4 移动用户家目录:
[-m] 移动用户家目录到新的位置,不能单独使用,一般与-d一起去使用.
[root@localhost ~]# useradd lutixia
[root@localhost ~]# usermod -md /data/new lutixia
[root@localhost ~]# su - lutixia
[lutixia@localhost ~]$
[lutixia@localhost ~]$
[lutixia@localhost ~]$ pwd
/data/new
4.3 groupadd命令:
创建一个新的工作组
#创建普通组
groupadd web
#创建系统组
groupadd -r web2
根目录才有权限
#创建指定id的组
[root@localhost ~]# groupadd -g 500 web3
[root@localhost ~]# grep “web3” /etc/group
web3❌500:
查看组信息:
tail /etc/group
给用户加特权
wheel为组名
netstat --ntlp
p为pid和服务名
4.4 groupdel命令:
删除指定的工作组:
[root@localhost ~]# groupdel web3
[root@localhost ~]# grep “web3” /etc/group
4.5 groupmen命令:
管理组内成员:
#添加成员:
groupmens -g web -a jfedu
#删除成员:
groupmens -g web -d jfedu
#查看成员:
groupmens -g web -l
234
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
