一、权限和归属
1.基本权限
1.1.基本权限的类别
访问方式(权限):
--读取:-r 允许查看内容
--写入:-w 允许修改内容
--可执行:-x 允许运行和切换
权限适用对象(归属)
--所有者:-u 属主,拥有此文件/目录的用户
--所属组:-g 属组,拥有此文件/目录的组
--其他用户:-o 除所有者、所属组以外的用户
1.2.查看权限
使用ls -l命令
#ls -ld 文件或目录
例如:
#ls -ld /ect/resolv.conf
结果为:-rw-rw-r--. 1 root root 27 5月 16 18:45 /etc/resolv.conf
各字段代表的意思:
权限位 硬连接数 属主 属组 大小 最后修改时间 文件/目录名称
权限位各位置的意义: 类型- 属主rw- 属组rw- 其他人r--
1.3.设置基本权限
使用chmod命令
chmod -[R] 归属关系+-=权限类别 文档...
或者使用数字来改变权限(rwx分别由4 2 1 表示):
000:---------
400:r--------
600:rw-------
700:rwx------
740:rwxr-----
760:rwxrw----
770:rwxrwx---
774:rwxrwxr--
776:rwxrwxrw-
777:rwxrwxrwx
例如:
#mkdir /opt/aa
#ls /opt/aa
#chmod -R g+w /opt/aa
或chmod -R 770 /opt/aa
#ls /opt/aa
1.4.设置文档归属
即是修改所有者和所属组
使用chown命令
修改属主和属组:
chown [-R] xiaoha : study /文档
修改属主:
chown [-R] xiaoha01 /文档
修改属组:
chown [-R] : study01 /文档
- 特殊权限 Set GID
2.1 附加在属组的X位
适用于目录,set GID 可以使目录下新增的文档自动设置与父目录相同的属组
该权限位附加在属组的x位上,属组的权限标识会变为s(原先有x则变为小写s,原先没有x则变为大写S)
用法:
例如创建一个目录xiaohashuo
#mkdir /xiaohashuo
#chown : xiaoha /xiaohashuo //更改目录的所属组为xiaoha
#ls -ld /xiaohashuo //查看目录的所属组
#chmod g+s /xiaohashuo //增加附加权限
#mkdir /xiaohashuo/test01 //创建子目录
#ls -ld /xiaohashuo/test01 //查看子目录的所属组
2.2 附加在所有者的X位
适用于可执行文件,可以让使用者具有文件属主的身份及部分权限。属主的权限标识会变为s。
用法:
例如可执行文件/usr/bin/mkdir 可用来创建目录
#cp /usr/bin/mkdir /usr/bin/xiaohadir //拷贝该文件并改名为xiaohadir,该文件也可用来创建目录
#ls -l /usr/bin/xiaohadir
#chmod u+s /usr/bin/xiaohadir //给该文件所有者添加特殊权限
#ls -l /usr/bin/xiaohadir //查看是否添加成功
#su - student //用student 用户登陆
$/usr/bin/mkdir test01 //student可以在当前目录下用/usr/bin/mkdir创建文件(不能在根下创建目录)
$ ls -l //查看文件所有者和所属组都是student
$/usr/bin/xiaohadir test02 //student可以用该文件创建文件
$ ls -l //发现test02的所有者是root而不是student
2.3附加权限Sticky Bit(t权限)
附加在其他人的X位上,其他人的权限标识会变为t,适用于开放W权限的目录,可以阻止用户滥用w写入权限(禁止操作别人的文档)
例如:假设系统根目录下有目录public,该目录对任何人都具有rwx权限,如果有三个用户分别登陆系统,这些用户就可以随意的删除或创建该目录下的内容,加了t权限就可以禁止操作别人的文档,用户只能操作自己家目录的内容。
#mkdir /public
#chmod o+t /public //给其他人添加t权限
#ls -l /public
3.acl访问控制策略
能够对个别用户、个别组设置独立的权限
使用setfacl、getfacl命令
用法:
setfacl -m u:用户名:权限类别 /文档
setfacl -m g:组名:权限类别 /文档
setfacl -x u:用户名 /文档 //删除指定的acl
setfacl -b 文档 //删除所有的acl策略
例如:
#chmod o=--- /xiaohashuo/test02 //更改目录的其他人权限
#useradd xiaoha //创建用户xiaoha
#su - xiaoha //用户xiaoha登陆
#cd /xiaohashuo/test02 //访问被拒绝
#exit //切回root登陆
#setfacl -m u : xiaoha : rx /xiaohashuo/test02 //给xiaoha对该目录的r-x权限
#ls -ld /xiaohashuo/test02 //发现权限为的末尾有个+号
#su - xiaoha //xiaoha登陆
#cd /xiaohashuo/test02 //此时xiaoha有该目录的执行权限
二、使用LDAP认证
LDAP——轻量级目录访问协议,由服务器来集中存储并向客户端提供的信息,存储方式类似于DNS分层结构。提供的信息包括:用户名、密码、通信录、主机名映射记录等。
1.LDAP目录服务为一组客户机集中提供可登陆的用户账号(网络用户),用户名和密码信息存储在LDAP服务端,这些客户机都加入同一个LDAP域。
2.加入LDAP需要的条件
服务端提供:
--LDAP服务器地址、基本DN名称
--加密用的证书
客户端准备:
--修改用户登录的验证方式,启用LDAP
--正确配置LDAP服务端参数
--软件包:sssd、authconfig-gtk
客户端步骤:
(1).安装sssd (与LDAP服务器沟通的软件)
#yum -y install sssd
(2)安装authconfig-gtk(用户认证配置工具,用来配置sssd)
(3)运行authconfig-gtk进行配置
#authconfig-gtk
用户账户数据库:LDAP
认证方式:LDAP密码
LDAP搜索基础DN(域名): dc= ,dc= (用逗号隔开)
LDAP服务器:服务器完整名称
勾选用TLS加密连接,指定证书加密
(4)重启客户端sssd服务
#systemctl restart sssd
#systemctl enable sssd
(5)验证LDAP服务器上用户可以在本地识别
三、家目录漫游
在本地访问服务器上的资源
1.访问NFS共享
NFS(network File System),网络文件系统
由NFS服务器将指定的文件夹共享给客户机,客户机将此共享目录mount到本地目录,访问此共享资源就像访问本地目录一样方便。类似于EXT4、XFS等类型,只不过资源在网上
#showmount -e 服务器地址 //查看NFS资源
#mount 服务器地址:目录路径 本地挂载点 //挂载NFS共享目录