权限管理（基本权限、附加权限、ACL权限）

基本权限

•访问方式(权限)

读取:允许查看内容-read   r

写入:允许修改内容-write    w

可执行:允许运行和切换-execute  x

 

  对于文本文件

         r： cat   head  tail  less

         w： vim

         x： 可以运行该文件

• 权限适用对象(归属)

所有者(属主):拥有此文件/目录的用户-user    u

所属组(属组):拥有此文件/目录的组-group     g

其他用户:除所有者、所属组以外的用户-other  o

 

查看权限

• 使用 ls -l 命令

ls -ld   文件或目录...

以 - 开头：文本文件；  以 d 开头：目录；  以 l 开头：快捷方式

 

chmod 修改权限

chmod [-R] 归属关系+-=权限类别 文档...

[-R] 递归设置权限

[root@server0 ~]# chmod g+w /nsd01

[root@server0 ~]# chmod u=rwx,g=rwx,o=--- /nsd01

 

管理员root具备一切权限

 判别权限的方法：                  匹配及停止原则

    1. 查看用户对于文档的身份，属于那个归属关系     所有者>所属组>其他人

    2. 查看相应归属关系位置的权限

 

目录的 r 权限:能够 ls 浏览此目录内容

目录的 w 权限:能够执行 rm/mv/cp/mkdir/touch/等更改目录内容的操作

目录的 x 权限:能够 cd 切换到此目录

Permission denied : 权限不足

 

 chown   修改归属对象

– chown [-R] 属主        文档...

– chown [-R] :属组       文档...

– chown [-R] 属主:属组  文档...

[root@server0 ~]# chown  zhangsan:tedu /nsd03

[root@server0 ~]# chown root /nsd03      #修改所有者

[root@server0 ~]# chown :zhangsan /nsd03   #修改所属组

 

利用root用户新建/nsd05目录，并进一步完成下列操作

1）将属主设为gelin01，属组设为tarena组

[root@server0 /]# useradd  gelin01

[root@server0 /]# useradd  gelin02

[root@server0 /]# groupadd  tarena

[root@server0 /]# chown gelin01:tarena  /nsd05

 

2）使用户gelin01对此目录具有rwx权限，其他人对此目录无任何权限

[root@server0 /]# chmod o=--- /nsd05

 

3）使用户gelin02能进入、查看此目录

[root@server0 /]# gpasswd -a  gelin02  tarena  #用户加入组

 

4）将gelin01加入tarena组, 将nsd05目录的权限设为rw-r-x---

      再测试gelin01用户能否进入此目录

[root@server0 /]# chmod u=rw,g=rx /nsd05

 

 附加权限(特殊权限)

Set GID

• 附加在属组的 x 位上

– 属组的权限标识会变为 s，原本有x权限为s无x权限为S

– 适用于目录,Set GID可以使目录下新增的文档自动设置与父目录相同的属组

– 继承父目录的所属组身份

[root@server0 ~]# chmod g+s /nsd07

 

Set UID

• 附加在属主的 x 位上

– 属主的权限标识会变为 s

– 适用于可执行文件,Set UID可以让使用者具有文件属主的身份及部分权限

 

Sticky Bit

• 附加在其他人的 x 位上

– 其他人的权限标识会变为 t

– 适用于开放 w 权限的目录,可以阻止用户滥用 w 写入

权限(禁止操作别人的文档)

[root@server0 ~]# chmod o+t /public

 

ACL权限（ACL策略）

acl策略的作用

• 文档归属的局限性

– 任何人只属于三种角色:属主、属组、其他人

– 无法实现更精细的控制

 

• acl访问策略

– 能够对个别用户、个别组设置独立的权限

– 大多数挂载的EXT3/4、XFS文件系统默认已支持

 

• 使用 getfacl、setfacl 命令

– getfacl 文档...

– setfacl [-R] -m u:用户名:权限类别 文档...

– setfacl [-R] -m g:组名:权限类别 文档...

– setfacl [-R] -b 文档...                         #清除所有的ACL

– setfacl     -x u:用户名   文档...         #删除指定的ACL

– [-R] :递归设置ACL策略

[root@server0 ~]# setfacl -m u:zhangsan:rx /nsd09   #设置ACL

[root@server0 ~]# getfacl /nsd09    #查看ACL权限

[root@server0 ~]# setfacl  -x  u:gelin01  /nsd10 

[root@server0 ~]# setfacl  -b  /nsd10

 

 

LDAP（由网络中一台服务器提供用户名、密码，集中管理网络中的用户帐号）

• 轻量级目录访问协议

– Lightweight Directory Access Protocol

– 提供的信息包括:用户名、密码、通信录、主机名映射记录、......

 LDAP服务器：classroom.example.com

 客户端：虚拟机Server

  1.安装sssd客户端软件，与服务端LDAP服务器沟通

 [root@server0 ~]# yum  -y  install  sssd

  2.安装图形工具配置sssd软件

 [root@server0 ~]# yum  -y  install  authconfig-gtk

  3.运行authconfig-gtk图形工具，配置sssd软件

 [root@server0 /]# authconfig-gtk

    选择LDAP

      dc=example,dc=com             #指定服务端域名

      classroom.example.com         #指定服务端主机名

 勾选TLS加密

 使用证书加密:  http://classroom.example.com/pub/example-ca.crt

 选择LDAP密码

  4.验证

 [root@server0 ~]# systemctl restart sssd

 [root@server0 ~]# id ldapuser0

 

家目录漫游（NFS共享）

• Network File System,网络文件系统

– 由NFS服务器将指定的文件夹共享给客户机

   NFS服务端：classroom.example.com

   客户端：虚拟机Server

 1. 查看服务端有那些共享文件夹

     showmount -e classroom.example.com

 2.访问共享文件夹，利用mount提供访问点（两边路径需一致）

     mkdir /home/guests

     mount classroom.example.com:/home/guests/  /home/guests

     ls /home/guests

     su - ldapuser12