SUDO
sudo 执行的重点是:『 能否使用 sudo 必须要看 /etc/sudoers 的设定值, 而可使用 sudo者是透过输入用户自己的密码来执行后续的指令串』由于能否使用与/etc/sudoers 有关, 所以我们当然要去编辑 sudoers 档案啦!不过,因为该档案的内容是有一定的规范的,因此直接使用 vi 去编辑是不好的。 此时,我们得要透过 visudo 去修改这个档案喔!
visudo 与 /etc/sudoers
为什么要用visudo,因为/etc/sudoers 有固定语法,如果用vi 编辑 一不小心,语法错误了会导致sudo指令的不良后果;而visudo会检查语法咯;
[root@www ~]# visudo
....(前面省略)....
root ALL=(ALL) ALL <==找到这一行,大约在 76 行左右
vbird1 ALL=(ALL) ALL <==这一行是你要新增的!
....(前面省略)....
visudo 只是利用vi 呼出 /etc/sudoers 来修改,
visudo
使用者账号 登入者的来源主机名=(可切换的身份) 可下达的指令
root ALL=(ALL) ALL <==这是默认值
上面这一行的四个组件意义是:
1. 系统的哪个账号可以使用 sudo 这个指令的意义,默认为 root 这个账号;
2. 当这个账号由哪部主机联机到本 Linux 主机,意思是这个账号可能是由哪一部网路主机联机过来的, 这个设定值可以指定客户端计算机(信任用户的意思)。默认值 root 可来自任何一部网络主机
3. 这个账号可以切换成什么身份来下达后续的指令,默认 root 可以切换成任何人;
4. 可用该身份下达什么指令?这个指令请务必使用绝对路径来写。 预设root 可以切换任何
利用群组 处理visudo
简单来讲 就是让 某个群组均支持sudo指令,这样讲需要sudo指令的用户支持这个群组就好了;
[root@www ~]# visudo <==同样的,请使用 root 先设定
....(前面省略)....
%wheel ALL=(ALL) ALL <==大约在 84 行左右,请将这行的 # 拿掉!
....(前面省略)....
%wheel ALL=(ALL) ALL <==大约在 84 行左右,请将这行的 # 拿掉!
# 在最左边加上 % ,代表后面接的是一个『群组』
免密码方式使用sudo
[root@www ~]# visudo <==同样的,请使用 root 先设定
....(前面省略)....
%wheel ALL=(ALL) NOPASSWD: ALL <==大约在 87 行左右,请将 # 拿
掉!
....(前面省略)....
%wheel ALL=(ALL) NOPASSWD: ALL <==大约在 87 行左右,请将 # 拿
掉!
# 在最左边加上 % ,代表后面接的是一个『群组』
在可下达指令 ALL前 增加NOPASSWD 即可免密码使用sudo;
有限制的指令操作
当一般用户有了root权限,如果他更改了root密码这时候 会很头疼;所以要限制;
[root@www ~]# visudo <==注意是 root 身份
myuser1 ALL=(root) !/usr/bin/passwd, /usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd root
用! 和 通配符,保证了不能输入 passwd 和 passwd root,保证了不能修改root密码噢;
值得研究的一点是,Ubuntu中visudo 并没有做限制,而他的用户却只能修改自身密码;Ubuntu是在哪里做了限制呢?
PAM 模块简介
Pluggable Authentication Modules 嵌入式模块
PAM 可以说是一套应用程序编程接口 (Application Programming Interface, API),他提供了一连串的验证机制,只要使用者将验证阶段的需求告知 PAM 后, PAM 就能够回报使用者验证的结果 (成功或失败)。
PAM 用来进行验证的数据称为模块 (Modules),每个 PAM 模块的功能都不太相同。举例来说, 我们在本章使用 passwd 指令时,如果随便输入字典上面找的字符串, passwd 就会回报错误信息了!这是为什么呢?这就是 PAM 的 pam_cracklib.so 模块的功能!他能够判断该密码是否在字典里面! 并回报给密码修改程序,此时就能够了解你的密码强度了。
主机上用户信息传递
查询使用者: w, who, last, lastlog
使用者对谈: write, mesg, wall
大量建账户当然是要用脚本了,关键语句:echo $username | passwd --stdin $username;将用户名作为密码;
第十五章,磁盘配额(Quota)与进阶文件系统管理
Quota
磁盘容量使用根据公平,举例:/home是独立的partition有10G,而/home 下总共有30个用户,这样每个用户应该333M,偏偏有一个用户在自己家目录里放了很多8G的电影,这样其他用户就很不爽不够用啊;所以Quota就是来处理这个问题的;
quota 比较常使用的几个情况是:
针对 WWW server ,例如:每个人的网页空间的容量限制!
针对 mail server,例如:每个人的邮件空间限制。
针对 WWW server ,例如:每个人的网页空间的容量限制!
针对 mail server,例如:每个人的邮件空间限制。
针对 file server,例如:每个人最大的可用网络硬盘空间 (教学环境中最常见!)
上面是针对网络服务设计的,那么针对Linux系统主机有:
限制某一群组所能使用的最大磁盘配额 (使用群组限制):
限制某一用户的最大磁盘配额 (使用用户限制):
以 Link 的方式,来使邮件可以作为限制的配额 (更改 /var/spool/mail 这个路径):
第十六章 例行性工作排程(crontab)
linux 工作排程的种类:at crontab
at :仅执行一次就结束的排程
crontab :周期性执行指令的排程
Linux上常见的例行性工作:
进行登录档的轮替 (log rotate):
登录文件分析 logwatch 的任务:
建立 locate 的数据库:
whatis 数据库的建立:
RPM 软件登录文件的建立:
移除暂存档:
与网络服务有关的分析行为: 如果你有安装类似 WWW 服务器软件 (一个名为 apache 的软件),那么你的 Linux 系统通常就会主动的分析该软件的登录文件。 同时某些凭证与认证的网络信息是否过期的问题,我们的Linux 系统也会很亲和的帮你进行自动检查!
atd 的启动与 at 运作的方式:
atd是at的服务,at是具体指令;
[root@www ~]# /etc/init.d/atd restart
正在停止 atd: [ 确定 ]
正在停止 atd: [ 确定 ]
正在激活 atd: [ 确定 ]
chkconfig :
开机时自启动atd服务
[root@www ~]# chkconfig atd on
at的运作方式:
at产生索要运作的工作,并将这个工作以文本文件的方式写入/var/spool/at目录内,该工作就能够等待atd这个服务取用与执行了;
at的限制管理:/etc/at.allow /etc/at.deny
实际上加上上述两个文档之后,at的工作情况是这样的:
1. 先找寻 /etc/at.allow 这个档案,写在这个档案中的使用者才能使用 at ,没有在这个档案中的使用者则不能使用 at (即使没有写在 at.deny 当中);
2. 如果 /etc/at.allow 不存在,就寻找 /etc/at.deny 这个档案,若写在这个 at.deny 的使用者则不能使用 at ,而没有在这个 at.deny 档案中的使用者,就可以使用 at 咯;
3. 如果两个档案都不存在,那么只有 root 可以使用 at 这个指令。
[root@www ~]# at [-mldv] TIME
[root@www ~]# at -c 工作号码
[root@www ~]# at -c 工作号码
选项与参数:
-m :当 at 的工作完成后,即使没有输出讯息,亦以 email 通知使用者该工作已完成。
-l :at -l 相当与 atq,列出目前系统上面的所有该用户的 at 排程;
-d :at -d 相当与 atrm ,可以取消一个在 at 排程中的工作;
-v :可以使用较明显的时间格式栏出 at 排程中的任务栏表;
-c :可以列出后面接的该项工作的实际指令内容。
TIME:时间格式,即什么时候要进行at这项工作,格式有:
HH:MM ex>04:00
HH:MM YYYY-MM-DD ex>04:00 2009-03-17
HH:MM[am|pm] [Month] [Date] ex>04pm March 17
HH:MM[am|pm] + number [minutes|hours|days|weeks]
ex>now + 5 minutes
ex>04pm + 3 days
注意:在设置完例程之后 ctrl+d 才算真正的设置好了,注意不能用ctrl+c,ctrl+c是用来结束的;
实际上 at -c 显示的是 /vat/spool/at目录下面的 一个通常以a开头的可执行文件,当然你也可以把 指令直接写在这个执行文档中,因为at服务会直接拿这个文档执行噢;
人性化的batch:系统有空时才进行背景任务;
他会在CPU 工作负载小于0.8的时候才工作;
工作负载说的是CPU单一时间内所负责的工作数量,和CPU使用率不同;负载指的是单一时间CPU负责的任务数量,即单一时间内有多少任务在等待实用CPU;
至于使用方法和at 相同;
循环执行的工作排程:
cron(crond)这个服务
crontab 这个指令
限制:
/etc/cron.allow:将可以使用 crontab 的账号写入其中,若不在这个档案内的使用者则不可使用 crontab;
/etc/cron.deny:将不可以使用 crontab 的账号写入其中,若未记录到这个档案当中的使用者,就可以使用crontab 。
用crontab指令建立工作会被记录到 /var/spool/cron里面去,而且是以账号来作为判别的,root使用crontab后,工作记录到/var/spool/cron/root里面去;
但不要使用vi直接编辑,因为若语法作为,会导致corn这个服务无法执行;另外cron自行的每一项工作都会记录到/var/log/cron这个登录档案中,所以可以看看这个档案,来判断自己有没有被黑噢;
看来这个/var/log/corn是很重要的啦;
[root@www ~]# crontab [-u username] [-l|-e|-r]
选项与参数:
-u :只有 root 才能进行这个任务,亦即帮其他使用者建立/移除 crontab 工作
排程;
-e :编辑 crontab 的工作内容
-l :查阅 crontab 的工作内容
-r :移除所有的crontab 的工作内容,若仅要移除一项,请用 -e 去编辑。
范例一:用 dmtsai 的身份在每天的12:00 发信给自己
[dmtsai@www ~]$ crontab -e
# 此时会进入 vi 的编辑画面让您编辑工作!注意到,每项工作都是一行。
0 12 * * * mail dmtsai -s "at 12:00" < /home/dmtsai/.bashrc
#分 时 日 月 周 |<==============挃令串=======>|
特殊字符代表意义:
*(星号) 代表任何时刻都接受的意思!举例来说,范例一内那个日、月、周都是 * , 就代表着『不论何月、何日的礼拜几的 12:00 都执行后续指令』的意思!
,(逗号) 代表分隔时段的意思。举例来说,如果要下达的工作是 3:00 与6:00 时,就会是:0 3,6 * * * command时间参数还是有五栏,不过第二栏是 3,6 ,代表 3 与 6 都适用!
-(减号) 代表一段时间范围内。举例来说, 8 点到 12 点之间的每小时的 20 分都进行一项工作:20 8-12 * * * command仔细看到第二栏变成 8-12 喔!代表 8,9,10,11,12 都适用的意思!
/n(斜线) 那个 n 代表数字,亦即是『每隔 n 单位间隔』的意思,例如每五分钟进行一次,则:*/5 * * * * command 注意此时*/5 是第一栏噢;
注意:时间的五栏 均要以空格 分开噢;;
anacron
以天为单位或者是开机以后立刻执行anacron,他会侦测停机期间应该进行但是没有进行的crontab任务,并将该任务执行一遍后,anacron就自动停止;
旨在解决关机时没有执行的crontab任务;其实anacron也是透过crontab来运行的,所以其用作时间通常有两个,一个是系统开机期间,一个是写入crontab的排程中。
anacron 与 /etc/anacrontab
anacron其实是一支程序并非一个服务,这支程序在centos当中已经写入crontab的进程中;
重点回顾
系统可以透过 at 这个指令来排程单一工作的任务!『 at TIME』为指令下达的方法,当 at 进入排程后, 系统执行该排程工作时,会到下达时的目录进行任务;
at 的执行必须要有 atd 服务的支持,且 /etc/at.deny 为控制是否能够执行的使用者账号;
透过 atq, atrm 可以查询与删除 at的工作排程;
batch 与 at 相同,不过 batch 可在 CPU 工作负载小于 0.8 时才进行后续的工作排程;
系统的循环例行性工作排程使用 cron 这个服务,同时利用 crontab -e 及 /etc/crontab 进行排程的安排;
crontab -e 设定项目分为六栏,『分、时、日、月、周、挃令』为其设定依据;
/etc/crontab 设定分为七栏,『分、时、日、月、周、执行者、指令』为其设定依据;
系统可以透过 at 这个指令来排程单一工作的任务!『 at TIME』为指令下达的方法,当 at 进入排程后, 系统执行该排程工作时,会到下达时的目录进行任务;
at 的执行必须要有 atd 服务的支持,且 /etc/at.deny 为控制是否能够执行的使用者账号;
透过 atq, atrm 可以查询与删除 at的工作排程;
batch 与 at 相同,不过 batch 可在 CPU 工作负载小于 0.8 时才进行后续的工作排程;
系统的循环例行性工作排程使用 cron 这个服务,同时利用 crontab -e 及 /etc/crontab 进行排程的安排;
crontab -e 设定项目分为六栏,『分、时、日、月、周、挃令』为其设定依据;
/etc/crontab 设定分为七栏,『分、时、日、月、周、执行者、指令』为其设定依据;
anacron 配合/etc/anacrontab 的设定,可以唤醒停机期间系统未进行的 crontab 任务!
总结
- sudo
- visudo进行配置sudo
- 支持的用户/群组
- 免密码使用sudo
- visudo进行配置sudo
- 主机用户信息传递
- 查询使用者:w,who,last,lastlog
- 使用者对谈:write,mesg,wall
- 大量脚本创建用户
- echo $username | passwd --stdin $username
- quota--磁盘容量公平使用
- www server ,每个人的网页空间的容量限制
- mail server,每个人邮件空间限制
- 限制群组/用户的最大磁盘配额
- 例行工作
- at :仅执行一次就结束
- atd是at的服务
- /etc/init.d/atd restart
- 开机自启动:chkconfig atd on
- 运作方式,
- at产生所要运行的工作,并以文本方式写入/var/spool/at内
- atd这个服务自动取用与-l执行
- at使用者限制管理:/etc/at.allow /etc/at.deny
- at.allow,存在,则只能是该文件中有的用户才能使用
- at.allow不存在,则不在/etc/at.deny的用户可以使用
- 两个文件都不存在,则只有root才能使用
- at 使用
- at [-mldv] TIME
- 以ctrl+d,结束设置
- batch,可以人性化的在cpu负载较低才启动任务;使用方法和at相同。
- atd是at的服务
- crontab
- cron(crond)是服务
- 运行方式
- crontab产生的工作写到 /var/spool/cron,且是以账号来分割如root则写到/var/spool/cron/root
- 一般不要修改/var/spool/cron/root中内容因为,有特殊语法
- cron每项工作都会记录到/var/log/cron这个档案,所以可以看看这个文案来看看,自己有没有被黑
- crontab使用者限制:/etc/cron.allow /etc/cron.deny
- 与at的限制一样
- crontab使用
- crontab [-u username] [-l|-e|-r]
- 分 时 日 月 周 |<==============指令串=======>|
- anacron
- 解决关机时没有执行的crontab任务
- 每天开机后立即执行anacron,执行crontab后,anacron停止
- at :仅执行一次就结束