周期性计划任务/权限/LDAP见解

在日常的生产环境中由于工作任务繁重所以需要一些应用来配合工程师的工作,而周期性计划就会使工程师们省很多事,从而去忙碌一些其他的工作事情.
cron 周期性计划任务
软件包：cronie,crontabs
系统服务:crond
日志文件： /var/log/crond
系统默认安装,默认自起
查看服务状态#systemctl status crond
crontab命令
编辑任务 crontab -e
删除任务 crontab -r
查看任务 crontab -l
时间顺序:

• (0-59) (0-23)(1-31)(1-12)(0-7)
  分 时 日 月 周
• 表示所有时间
• 表示一端持续的时间
  , 表示若个布连续的时间
  / 表示时间间隔

查询命令所对应的程序在哪?
which

---

基本权限的类型
访问方式(权限)
读取: 允许查看内容 -read r
写入:允许修改内容 -write w
可执行:允许运行和切换 -execuit x
对于文本文件:
r: cat head tail less
w:vim
x:运行
权限适用对象(归属)
所有者:拥有此文件/目录的用户-user u
所属组:拥有此文件/目录的组-group g
其他用户:除所有者,锁数组以外的用户 -other o
[root@server0 ~]# ls -ld /etc/
drwxr-xr-x. 133 root root 8192 10月 30 10:14 /etc/
[root@server0 ~]# ls -l /etc/passwd
-rw-r--r--. 1 root root 2089 10月 30 10:14 /etc/passwd
[root@server0 ~]# ls -l /etc/rc.local
lrwxrwxrwx. 1 root root 13 5月 7 2014 /etc/rc.local -> rc.d/rc.local
权限位 硬连接数 属主 属组 大小 最后修改时间 文件/目录名称

权限位（9位）
文件类型（1） User(属主)（3） Group(属组)（3）    Other(其他人)（3）

文件类型
    - 代表普通文件        d 代表目录      l 代表链接文件        
三位一组分别为 所有者权限，所属组权限，其他账户权限  

设置基本权限
    chmod (只root能用)
    chmod 归属关系+-=权限类别 文档
        -R 递归将权限应用于所有的子目录与子文件       

    [root@server0 ~]# chmod u-x /nsd01/
    [root@server0 ~]# ls -ld /nsd01/
    drw-r-xr-x. 2 root root 6 10月 30 10:41 /nsd01/
    [root@server0 ~]# chmod g+w /nsd01/
    [root@server0 ~]# ls -ld /nsd01/
    drw-rwxr-x. 2 root root 6 10月 30 10:41 /nsd01/
    [root@server0 ~]# chmod u=rwx,g=rx,o=r /nsd01/
    [root@server0 ~]# ls -ld /nsd01/
    drwxr-xr--. 2 root root 6 10月 30 10:41 /nsd01/

如何判断用户具备权限
1.判断用户所属的身份 是否是所有者 是否在所有组 所有者>所属组 >其他人 匹配及停止
2.看相应权限位的权限划分

目录的r 权限：能够ls 浏览此目录内容
目录的w 权限：能够执行 rm/mv/cp/mkdir/touch/..等更改目录内容的操作
目录的x 权限：能够cd切换到此目录

设置文件归属
使用chown命令
chown [所有者][:[所属组]] 文件或目录
-R 递归将权限应用于所有的子目录与子文件
例：
[root@server0 /]# chown :tedu /nsd02
[root@server0 /]# ls -ld /nsd02
drwxr-xr-x. 2 root tedu 6 10月 30 11:42 /nsd02
[root@server0 /]# useradd dc
[root@server0 /]# chown dc:tedu /nsd02
[root@server0 /]# ls -ld /nsd02
drwxr-xr-x. 2 dc tedu 6 10月 30 11:42 /nsd02
[root@server0 /]# chown student /nsd02
[root@server0 /]# ls -ld /nsd02
drwxr-xr-x. 2 student tedu 6 10月 30 11:42 /nsd02

特殊权限（附加权限）

Set UID
附加在属主的x位上
属主的权限标识会变成s
适用于可执行文件，Set UID 可以让使用者具有文件属组的身份及部分权限
(传递所有者身份) 如 手持尚方宝剑
例：
[root@server0 /]# cp /usr/bin/touch /usr/bin/hahach
[root@server0 /]# chmod u+s /usr/bin/hahach
[root@server0 /]# ls -l /usr/bin/hahach
-rwsr-xr-x. 1 root root 62432 10月 30 14:14 /usr/bin/hahach
[root@server0 /]# su - dc
[dc@server0 ~]$ touch a.txt
[dc@server0 ~]$ hahach b.txt
[dc@server0 ~]$ ls -l
total 0
-rw-rw-r--. 1 dc dc 0 Oct 30 14:15 a.txt
-rw-rw-r--. 1 root dc 0 Oct 30 14:15 b.txt

Set GID
附加在属组的x位
属组的权限标识变成为s
适用于可执行文件，功能于Set UID类似
适用于目录，Set GID可以是目录下新增的文档自动设置与父目录相同的属组

为了使在这个目录下新增的文件或目录的所属组和父目录相同(只针对未来生成的文件)

例：
[root@server0 /]# ls -l /test/1.txt 
-rw-r--r--. 1 root root 0 10月 30 14:37 /test/1.txt
[root@server0 /]# chown :tedu /test/
[root@server0 /]# chmod g+s /test/
[root@server0 /]# ls -ld /test
drwxr-sr-x. 2 root tedu 18 10月 30 14:37 /test
[root@server0 /]# mkdir /test/testone
[root@server0 /]# ls -l /test/
-rw-r--r--. 1 root root 0 10月 30 14:37 1.txt
drwxr-sr-x. 2 root tedu 6 10月 30 14:39 testone

Sticky Bit
附加在其他人的x位
其他人的权限标识变成为t
适用于开放w 权限的目录，可以阻止用户滥用w 写入权限
（禁止操作别人的文档）
例：
[root@server0 /]# chmod u+w,g+w,o+w /public/
[root@server0 /]# chmod o+t /public/
[root@server0 /]# ls -ld /public/
drwxrwxrwt. 2 root root 6 10月 30 14:43 /public/

[zhangsan@server0 /]$ ls -l /public/
-rw-rw-r--. 1 dc       dc       0 Oct 30 14:53 dc.txt
-rw-rw-r--. 1 test     test     0 Oct 30 14:52 test.txt
-rw-rw-r--. 1 zhangsan zhangsan 0 Oct 30 14:52 zhangsan.txt
[zhangsan@server0 /]$ rm -rf /public/test.txt 
rm: cannot remove ‘/public/test.txt’: Operation not permitted

ACL 访问控制列表
作用
文档归属的局限性
任何人只属于三种角色：属主，属组，其他人
无法实现更精细的控制
acl访问策略
能狗对个别用户，个别组设置独立的权限
大多挂载EXT3/4（存储小文件），XFS（存储大文件）文件系统已支持
命令
getfacl 文档 #查看ACL策略
setfacl [-R] -m u：用户名：权限类别 文档
setfacl [-R] -m g：组名 ：权限类别 文档
setfacl [-R] -x u:用户名 文档 #删除指定ACL策略
setfacl [-R] -b 文档 #清空ACL策略

例：
    [dc@server0 ~]$ cd /NB/
    bash: cd: /NB/: Permission denied

    [root@server0 /]# ls -ld /NB/
    drwxrwx---. 2 root cw 6 10月 30 15:27 /NB/
    [root@server0 /]# setfacl -m u:dc:rx /NB/
    [root@server0 /]# ls -ld /NB/
    drwxrwx---+ 2 root cw 6 10月 30 15:27 /NB/
    [root@server0 /]# getfacl /NB/
    getfacl: Removing leading '/' from absolute path names
    # file: NB/
    # owner: root
    # group: cw
    user::rwx
    user:dc:r-x
    group::rwx
    mask::rwx
    other::---

    [dc@server0 ~]$ cd /NB/
    [dc@server0 NB]$ 

====================================================================
使用LDAP认证

传统用户名密码：本地创建，用于本地登陆 /etc/passwd
网络用户：在LDAP服务器上创建，可以登陆域中每一台机器

轻量级目录访问协议
    由服务器来集中存储并向客户端提供的信息，存储方式类似于DNS分层结果
    提供的信息包括：用户名，密码，通信录，主机名映射记录

服务器

客户端：指定服务端LDAP位置

    1.安装客户端软件
        软件包：sssd(与服务端沟通软件)

            authconfig-gtk:图形配置sssd工具

    2.运行图形配置工具
        [root@server0 ~]# authconfig-gtk 
        用户账户数据库：LDAP
        LDAP搜索基础DN：dc=example,dc=com
        LDAP服务器：cla***oom.example.com

        勾选：用TLS加密连接
            指定证书加密： 
                http://172.25.254.254/pub/example-ca.crt
        认证方法：LDAP密码     

    3.启动sssd服务，并设置为开机自启
        [root@server0 ~]# systemctl restart sssd
        [root@server0 ~]# systemctl enable sssd
    4.验证
        [root@server0 ~]# grep 'ldapuser0' /etc/passwd
        [root@server0 ~]# id ldapuser0
        uid=1700(ldapuser0) gid=1700(ldapuser0) 组=1700(ldapuser0)

家目录漫游

• Network File System,网络文件系统
    – 由NFS服务器将指定的文件夹共享给客户机
    – 客户机将此共享目录 mount 到本地目录,访问此共享
    资源就像访问本地目录一样方便
    – 类似于 EXT4、XFS等类型,只不过资源在网上

• 查看NFS资源
    [root@server0 ~]# showmount -e 172.25.254.254

• 进行挂载,将服务端NFS共享内容挂载到本地目录
    [root@server0 ~]# mkdir /home/guests

    # mount  172.25.254.254:/home/guests/    /home/guests

    [root@server0 ~]# ls /home/guests
    [root@server0 ~]# su - ldapuser0

转载于:https://blog.51cto.com/13434975/2056759