【权限和归属 、 使用LDAP认证 、 家目录漫游】
基本权限的类别
访问方式(权限)
读取:允许查看内容-read r
写入:允许修改内容-write w
执行:允许运行和切换-execute x
对于文本文件
r: cat head tail less
w: vim 可以保存
x: ./ 可以运行
对于目录
r 权限:能够 ls 浏览此目录内容
w 权限:能够执行 rm mv cp mkdir touch 操作目录的子文档
x 权限:能够 cd 切换到此目录
权限适用对象(归属)
所有者(属主):拥有此文件/目录的用户-user u
所属组(属组):拥有此文件/目录的组-group g
其他用户:除所有者、所属组以外的用户-other o
权限位 硬连接数 属主 属组 大小 最后修改时间 文档名称
-rw-r--r--. 1 root root 2005 7月 11 2014 /etc/passwd
类型 User(属主) Group(属组) Other(其他人)
- r w - r - - r - -
类型:[ - 文本文件 ] [ d 目录 ] [ l 快捷方式 ]
[root@server0 ~]# ls -l /etc/passwd 查询子文档属性
-rw-r--r--. 1 root root 2005 7月 11 2014 /etc/passwd
[root@server0 ~]# ls -ld /etc/ 查询目录自身属性
drwxr-xr-x. 133 root root 8192 6月 20 09:03 /etc/
[root@server0 ~]# ls -l /etc/rc.local 查询文件属性
lrwxrwxrwx. 1 root root 13 5月 7 2014 /etc/rc.local -> rc.d/rc.local
设置基本权限
chmod [-R] 归属关系 + - = 权限类别 文档
[root@server0 ~]# mkdir /nsd01
[root@server0 ~]# chmod u-w /nsd01
[root@server0 ~]# chmod g+w /nsd01
[root@server0 ~]# chmod o=rwx /nsd01
[root@server0 ~]# chmod u=rwx,g=rx,o=rx /nsd01
[root@server0 ~]# ls -ld /nsd01
[root@server0 ~]# chmod o= /nsd01 o=空格<===>o=---
[root@server0 ~]# ls -ld /nsd01
判断用户具备的权限
1.判断用户角色
所有者>所属组>其他人 匹配及停止
2.在看相应的权限位置
以root用户新建/nsddir/,在此目录下新建 readme.txt,并进一步完成下列操作
1)使其他用户能够在此目录下创建子目录
chmod o+w /nsddir/
2)使其他用户不能够在此目录下创建子目录
chmod o-w /nsddir/
3)使其他用户能够修改readme.txt文件
chmod o+w /nsddir/readme.txt
4)调整此目录的权限,使所有用户都不能进入此目录
chmod u-x,g-x,o-x /nsddir/
5)为此目录及其下所有文档设置权限 rwxr-x---
chmod -R u=rwx,g=rx,o=--- /nsddir/
设置文档归属
chown [-R] 属主 文档...
chown kenji /nsd03 加到 kenji 主
chown [-R] :属组 文档...
chown :tarena /nsd03 加到 tarena 组
chown [-R] 属主:属组 文档...
chown root:student /nsd03 加到 root 主、student 组
附加权限(特殊权限)
chmod u+s[,g+s] 文档...
chmod o+t 目录...
Set UID
属主:x ---u+s---> s,无 x 权限时为 S
可执行文件,使用者具有文件属组身份及部分权限
[root@server0 ~]# mkdir /nsd1704
[root@server0 ~]# ls -ld /nsd1704
[root@server0 ~]# chown :tarena /nsd1704
[root@server0 ~]# ls -ld /nsd1704
[root@server0 ~]# chmod u+s /nsd1704/ #赋予特殊权限
[root@server0 ~]# ls -ld /nsd1704/
Set GID
属组:x ---g+s---> s,无 x 权限时为 S
可执行文件、目录,该目录下新增文档自动设置与父目录相同的属组(继承)
[root@server0 ~]# mkdir /nsd1705
[root@server0 ~]# ls -ld /nsd1705
[root@server0 ~]# chown :tarena /nsd1705
[root@server0 ~]# ls -ld /nsd1705
[root@server0 ~]# mkdir /nsd1705/nsd01
[root@server0 ~]# ls -ld /nsd1705/nsd01
[root@server0 ~]# chmod g+s /nsd1705/ #赋予特殊权限
[root@server0 ~]# ls -ld /nsd1705/
[root@server0 ~]# mkdir /nsd1705/nsd02
[root@server0 ~]# ls -l /nsd1705/
[root@server0 ~]# mkdir /nsd1705/nsd02/test
[root@server0 ~]# ls -ld /nsd1705/nsd02/test
Sticky Bit
其他人:x ---o+s---> t,无 x 权限时为 T
开放 w 权限的目录,可以阻止用户滥用 w 写入权限(禁止操作别人的文档)
[root@server0 ~]# mkdir /public
[root@server0 ~]# ls -ld /public
[root@server0 ~]# chmod u=rwx,g=rwx,o=rwx /public
[root@server0 ~]# ls -ld /public
[root@server0 ~]# chmod o+t /public
[root@server0 ~]# ls -ld /public
acl 访问控制列表
文档归属的局限性:
任何人只属于三种角色:属主、属组、其他人
无法实现更精细的控制
acl 访问策略
能够对个别用户、个别组设置独立的权限
大多数挂载的EXT3/4、XFS文件系统默认已支持
getfacl、cetfacl 命令
getfacl 文档... 查看
setfacl [-R] -m u:用户名:权限类别 文档
setfacl [-R] -m g:组名:权限类别 文档...
setfacl [-R] -m b:文档...
[root@server0 ~]# mkdir /nsd11
[root@server0 ~]# setfacl -m u:lisi:rwx /nsd11 //添加策略
[root@server0 ~]# getfacl /nsd11
[root@server0 ~]# setfacl -m u:natasha:rx /nsd11
[root@server0 ~]# setfacl -m u:zhangsan:rwx /nsd11
[root@server0 ~]# getfacl /nsd11
[root@server0 ~]# setfacl -x u:natasha /nsd11
[root@server0 ~]# getfacl /nsd11
[root@server0 ~]# setfacl -b /nsd11 清空策略
[root@server0 ~]# getfacl /nsd11
[root@server0 ~]# ls -ld /nsd11
#####################################################
典型的LDAP工作模式
• 为一组客户机集中提供可登录的用户账号
– 网络用户:用户名、密码信息存储在 LDAP 服务端
– 本地用户:用户名、密码信息存储/etc/passwd /etc/shadow
• 客户端准备
– 修改用户登录的验证方式,启用 LDAP
– 正确配置 LDAP 服务端参数
– 软件包:sssd(与LDAP服务器联系的软件)
authconfig-gtk(配置sssd的图形软件)
[root@server0 ~]# yum -y install sssd authconfig-gtk
[root@server0 ~]# rpm -q sssd
[root@server0 ~]# rpm -q authconfig-gtk
#############################################
补充内容 真机操作:
# systemctl is-enabled nfs-server #查看服务是否开机自起
# systemctl enable nfs-server #设置服务开机自起
# systemctl restart nfs-server
# rht-vmctl reset classroom
################################################
验证:
[root@server0 ~]# systemctl restart sssd
[root@server0 ~]# systemctl enable sssd
[root@server0 ~]# id ldapuser0
uid=1700(ldapuser0) gid=1700(ldapuser0) 组=1700(ldapuser0)
[root@server0 ~]# grep 'ldapuser0' /etc/passwd
#####################################################
如何访问NFS共享目录
• 查看NFS资源
[root@server0 ~]# showmount -e 172.25.254.254
Export list for classroom:
/home/guests 172.25.0.0/255.255.0.0
• 挂载NFS共享目录
– mount 服务器地址:目录路径 本地挂载点
# mkdir /home/guests
# mount 172.25.254.254:/home/guests/ /home/guests/
# ls /home/guests/
# su - ldapuser0
#######################################################