一、權限和歸屬
1.基本權限
1.1.基本權限的類別
訪問方式(權限):
--讀取:-r 允許查看內容
--寫入:-w 允許修改內容
--可執行:-x 允許運行和切換
權限適用對象(歸屬)
--所有者:-u 屬主,擁有此文件/目錄的用戶
--所屬組:-g 屬組,擁有此文件/目錄的組
--其他用戶:-o 除所有者、所屬組以外的用戶
1.2.查看權限
使用ls -l命令
#ls -ld 文件或目錄
例如:
#ls -ld /ect/resolv.conf
結果爲:-rw-rw-r--. 1 root root 27 5月 16 18:45 /etc/resolv.conf
各字段代表的意思:
權限位 硬連接數 屬主 屬組 大小 最後修改時間 文件/目錄名稱
權限位各位置的意義: 類型- 屬主rw- 屬組rw- 其他人r--
1.3.設置基本權限
使用chmod命令
chmod -[R] 歸屬關係+-=權限類別 文檔...
或者使用數字來改變權限(rwx分別由4 2 1 表示):
000:---------
400:r--------
600:rw-------
700:rwx------
740:rwxr-----
760:rwxrw----
770:rwxrwx---
774:rwxrwxr--
776:rwxrwxrw-
777:rwxrwxrwx
例如:
#mkdir /opt/aa
#ls /opt/aa
#chmod -R g+w /opt/aa
或chmod -R 770 /opt/aa
#ls /opt/aa
1.4.設置文檔歸屬
即是修改所有者和所屬組
使用chown命令
修改屬主和屬組:
chown [-R] xiaoha : study /文檔
修改屬主:
chown [-R] xiaoha01 /文檔
修改屬組:
chown [-R] : study01 /文檔
- 特殊權限 Set GID
2.1 附加在屬組的X位
適用於目錄,set GID 可以使目錄下新增的文檔自動設置與父目錄相同的屬組
該權限位附加在屬組的x位上,屬組的權限標識會變爲s(原先有x則變爲小寫s,原先沒有x則變爲大寫S)
用法:
例如創建一個目錄xiaohashuo
#mkdir /xiaohashuo
#chown : xiaoha /xiaohashuo //更改目錄的所屬組爲xiaoha
#ls -ld /xiaohashuo //查看目錄的所屬組
#chmod g+s /xiaohashuo //增加附加權限
#mkdir /xiaohashuo/test01 //創建子目錄
#ls -ld /xiaohashuo/test01 //查看子目錄的所屬組
2.2 附加在所有者的X位
適用於可執行文件,可以讓使用者具有文件屬主的身份及部分權限。屬主的權限標識會變爲s。
用法:
例如可執行文件/usr/bin/mkdir 可用來創建目錄
#cp /usr/bin/mkdir /usr/bin/xiaohadir //拷貝該文件並改名爲xiaohadir,該文件也可用來創建目錄
#ls -l /usr/bin/xiaohadir
#chmod u+s /usr/bin/xiaohadir //給該文件所有者添加特殊權限
#ls -l /usr/bin/xiaohadir //查看是否添加成功
#su - student //用student 用戶登陸
$/usr/bin/mkdir test01 //student可以在當前目錄下用/usr/bin/mkdir創建文件(不能在根下創建目錄)
$ ls -l //查看文件所有者和所屬組都是student
$/usr/bin/xiaohadir test02 //student可以用該文件創建文件
$ ls -l //發現test02的所有者是root而不是student
2.3附加權限Sticky Bit(t權限)
附加在其他人的X位上,其他人的權限標識會變爲t,適用於開放W權限的目錄,可以阻止用戶濫用w寫入權限(禁止操作別人的文檔)
例如:假設系統根目錄下有目錄public,該目錄對任何人都具有rwx權限,如果有三個用戶分別登陸系統,這些用戶就可以隨意的刪除或創建該目錄下的內容,加了t權限就可以禁止操作別人的文檔,用戶只能操作自己家目錄的內容。
#mkdir /public
#chmod o+t /public //給其他人添加t權限
#ls -l /public
3.acl訪問控制策略
能夠對個別用戶、個別組設置獨立的權限
使用setfacl、getfacl命令
用法:
setfacl -m u:用戶名:權限類別 /文檔
setfacl -m g:組名:權限類別 /文檔
setfacl -x u:用戶名 /文檔 //刪除指定的acl
setfacl -b 文檔 //刪除所有的acl策略
例如:
#chmod o=--- /xiaohashuo/test02 //更改目錄的其他人權限
#useradd xiaoha //創建用戶xiaoha
#su - xiaoha //用戶xiaoha登陸
#cd /xiaohashuo/test02 //訪問被拒絕
#exit //切回root登陸
#setfacl -m u : xiaoha : rx /xiaohashuo/test02 //給xiaoha對該目錄的r-x權限
#ls -ld /xiaohashuo/test02 //發現權限爲的末尾有個+號
#su - xiaoha //xiaoha登陸
#cd /xiaohashuo/test02 //此時xiaoha有該目錄的執行權限
二、使用LDAP認證
LDAP——輕量級目錄訪問協議,由服務器來集中存儲並向客戶端提供的信息,存儲方式類似於DNS分層結構。提供的信息包括:用戶名、密碼、通信錄、主機名映射記錄等。
1.LDAP目錄服務
爲一組客戶機集中提供可登陸的用戶賬號(網絡用戶),用戶名和密碼信息存儲在LDAP服務端,這些客戶機都加入同一個LDAP域。
2.加入LDAP需要的條件
服務端提供:
--LDAP服務器地址、基本DN名稱
--加密用的證書
客戶端準備:
--修改用戶登錄的驗證方式,啓用LDAP
--正確配置LDAP服務端參數
--軟件包:sssd、authconfig-gtk
客戶端步驟:
(1).安裝sssd (與LDAP服務器溝通的軟件)
#yum -y install sssd
(2)安裝authconfig-gtk(用戶認證配置工具,用來配置sssd)
(3)運行authconfig-gtk進行配置
#authconfig-gtk
用戶賬戶數據庫:LDAP
認證方式:LDAP密碼
LDAP搜索基礎DN(域名): dc= ,dc= (用逗號隔開)
LDAP服務器:服務器完整名稱
勾選用TLS加密連接,指定證書加密
(4)重啓客戶端sssd服務
#systemctl restart sssd
#systemctl enable sssd
(5)驗證LDAP服務器上用戶可以在本地識別
三、家目錄漫遊
在本地訪問服務器上的資源
1.訪問NFS共享
NFS(network File System),網絡文件系統
由NFS服務器將指定的文件夾共享給客戶機,客戶機將此共享目錄mount到本地目錄,訪問此共享資源就像訪問本地目錄一樣方便。類似於EXT4、XFS等類型,只不過資源在網上
#showmount -e 服務器地址 //查看NFS資源
#mount 服務器地址:目錄路徑 本地掛載點 //掛載NFS共享目錄