首页
常用命令
About Me
推荐
weibo
github
Search
1
linuxea:gitlab-ci之docker镜像质量品质报告
48,996 阅读
2
linuxea:如何复现查看docker run参数命令
20,462 阅读
3
Graylog收集文件日志实例
18,023 阅读
4
git+jenkins发布和回滚示例
17,602 阅读
5
linuxea:jenkins+pipeline+gitlab+ansible快速安装配置(1)
17,574 阅读
ops
Openvpn
Sys Basics
rsync
Mail
NFS
Other
Network
HeartBeat
server 08
Code
Awk
Shell
Python
Golang
virtualization
KVM
Docker
openstack
Xen
kubernetes
kubernetes-cni
Service Mesh
Data
Mariadb
PostgreSQL
MongoDB
Redis
MQ
Ceph
TimescaleDB
kafka
surveillance system
zabbix
ELK Stack
Open-Falcon
Prometheus
Web
apache
Tomcat
Nginx
自动化
Puppet
Ansible
saltstack
Proxy
HAproxy
Lvs
varnish
更多
音乐
影视
music
Internet Consulting
最后的净土
软件交付
持续集成
gitops
devops
登录
Search
标签搜索
kubernetes
docker
zabbix
Golang
mariadb
持续集成工具
白话容器
linux基础
nginx
elk
dockerfile
Gitlab-ci/cd
最后的净土
基础命令
jenkins
docker-compose
gitops
haproxy
saltstack
Istio
marksugar
累计撰写
676
篇文章
累计收到
140
条评论
首页
栏目
ops
Openvpn
Sys Basics
rsync
Mail
NFS
Other
Network
HeartBeat
server 08
Code
Awk
Shell
Python
Golang
virtualization
KVM
Docker
openstack
Xen
kubernetes
kubernetes-cni
Service Mesh
Data
Mariadb
PostgreSQL
MongoDB
Redis
MQ
Ceph
TimescaleDB
kafka
surveillance system
zabbix
ELK Stack
Open-Falcon
Prometheus
Web
apache
Tomcat
Nginx
自动化
Puppet
Ansible
saltstack
Proxy
HAproxy
Lvs
varnish
更多
音乐
影视
music
Internet Consulting
最后的净土
软件交付
持续集成
gitops
devops
页面
常用命令
About Me
推荐
weibo
github
搜索到
6
篇与
linux权限管理
的结果
2015-11-07
centos6.7的sudo配置
centos6.7的sudo配置su全称,switch user,su可以切换用户,su的切换分为两种,登录式切换和非登录式切换,读取的配置文件也有所不同!一般情况下,su是切换用户,但是一般情况下我们使用的是普通用户,如果管理登录是相当危险的,但是我们又需要root权限,又不能固定持久切换,sudo则可以以普通用户自己的身份,在执行的时候,可临时切换管理员管理身份执行命令,命令结束退回普通用户!sudo功用如下:1,授权指定用户在指定主机上运行指定的管理命令2,详细记录用户基于sudo执行的命令相关日志信息,相当于审计3,用户第一次执行sudo,输入密码,验证成功后,用户会获得一个有固定存活时长的令牌,再次执行则无需输入密码,有时效性,相当于检票系统sudo借助于/etc/sudoers定义哪些用户可以执行管理类操作!<----授权文件(只有管理员才可以编辑)visudo可以编辑并且检查语法,但是vim是可以语法着色,如何操作可随感觉走在这个文件中文件定义如下:/etc/sudoers:别名定义:#当一条命令被频繁调用,不同用户组调用,则使用别名来定义User_Aliads:用户别名User_Alias NAME = item...item:用户名,%组名,#UID,$#GID,User_AliasHost_Aliads:主机别名Host_Alias Name = item ...item:hostname ,ip,network,HostAliasRunas_Alias:以谁的身份运行Runas_Alias,和User_Alias区别不大!ALL:所有用户Runas_Alias NAME = items,items....Cmnd_Alias:命令别名Comd_Alias NAME = items...item:命令,目录(目录下所有命令) ,“sudoedit” (sudo编辑文件)Cmmd_Alias注意:别名必须使用全大写字符!sudo授权:#定义格式,用户->主机->命令一,别名定义如:让mark用户,运行useradd命令!<p> 1,编译文件</p><p> </p>sudo选项:-l :查看当前用户可执行命令<p> 如下:</p><p> </p>-u USERNAME COMMAND:以指定用户身份来执行命令-k:清楚令牌,清楚5分钟内的令牌-b COMMAND:在后台运行指定的COMMAND-e /path/to/somefile:修改指定的文件如果有多个用户都需要一样的授权!则先定义别名:二,用户别名创建一个用户,将用户添加至组中,而后在visodo中定义USERADMIN组,或ID号,或用户允许有创建用户权限#User_Alias 用户别名为USERADMIN = mark用户,%admin组,#500ID的用户有创建用户的权限USERADMIN ALL=(root) /usr/sbin/useradd我们切换到fedora查看下是否有/usr/sbin/useradd三,主机别名定义:用户来自192.168.233.1能够执行/usr/sbin/useradd /usr/sbin/userdel四,Cmnd别名五,其他###########################7如果不期望登录root账号,我们期望mark账号来执行管理员的任意命令,则可以修改如下;
2015年11月07日
4,606 阅读
0 评论
0 点赞
2015-04-11
文件的特殊权限
文件的特殊权限:安全上下文: 1、进程以某用户的身份运行;进程是发起此进程的用户代理,其以对应用户身份完成所需的操作; 2、权限匹配模型: (1) 进程的属主,是否是被访问的资源的属主;如果是,则应用属主权限; (2) 否则,查看进程的属主,是否属于被访问资源的属组;如果是,则应用属组权限; (3) 否则,则应用其它权限;特殊权限:suid 展示于文件属主的执行权限位: 如果属主本来有执行权限,则展示为s;否则,展示为S;功用:对于一个可执行文件来讲,任何用户运行此程序为进程时,进程的属主不再是发起者本人,而可执行程序文件自己的属主;管理文件SUID权限的方法: chmod u+|-s FILE... 演示过程:: 我在mark用户下cat/etc/shadow文件是没有权限的 [mark@localhost root]$ ls -l /bin/cat -rwxr-xr-x. 1 root root 48568 Oct 14 21:51 /bin/cat [mark@localhost root]$ cat /etc/shadow cat: /etc/shadow: Permission denied [mark@localhost root]$ 此时,我用root将/bin/cat cp到/tmp/cat,是可执行的 [root@localhost ~]# cp /bin/cat /tmp/cat [root@localhost ~]# /tmp/cat /etc/shadow root:$1$fsqOhL/U$DSUV4c13OGBzZpDY/vK29/:16529:0:99999:7::: bin:*:15980:0:99999:7::: daemon:*:15980:0:99999:7::: adm:*:15980:0:99999:7::: lp:*:15980:0:99999:7::: sync:*:15980:0:99999:7::: shutdown:*:15980:0:99999:7:: 然后,我在root用户下给/tmp/cat添加s权限位 [root@localhost ~]# chmod u+s /tmp/cat [root@localhost ~]# ll /tmp/cat -rwsr-xr-x. 1 root root 48568 Apr 10 03:07 /tmp/cat [root@localhost ~]#此时,我在用mark用户cat /etc/shadow文件 [mark@localhost root]$ /tmp/cat /etc/shadow root:$1$fsqOhL/U$DSUV4c13OGBzZpDY/vK29/:16529:0:99999:7::: bin:*:15980:0:99999:7::: daemon:*:15980:0:99999:7::: adm:*:15980:0:99999:7::: lp:*:15980:0:99999:7::: sync:*:15980:0:99999:7::: shutdown:*:15980:0:99999:7::: halt:*:15980:0:99999:7::: mail:*:15980:0:99999:7::: uucp:*:15980:0:99999:7::: operator:*:15980:0:99999:7:::此时,mark用户在使用cat命令是,已经不再是已mark的身份,而是root用户。 尽管如何,普通用户还是无法更改其他用户的权限的。如果文件原本有执行权限,则是小s,如果没有则是大s特殊权限:sgid 展示于文件属组的执行权限位; 如果属组本来有执行权限,则展示为s;否则,展示为S;功用:当目录属组有写权限,且有sgid权限时,那么所有属于此目录的属组,且以属组身份在此目录新建文件或目录时,新文件或目录的属组不是创建者所属的基本组,而是目录自己的属组;chmod g+|-s FILE...演示过程: 创建两个用户, [root@localhost ~]# useradd gentoo1 [root@localhost ~]# useradd mageia [root@localhost ~]# [gentoo1@localhost root]$ cd /var/tmp/ [gentoo1@localhost tmp]$ touch a.gentoo1 [gentoo1@localhost tmp]$ ll total 0 -rw-rw-r--. 1 gentoo1 gentoo1 0 Apr 10 03:21 a.gentoo1 [gentoo1@localhost tmp]$ ls [mageia@localhost root]$ cd /var/tmp/ [mageia@localhost tmp]$ touch a.mageia [mageia@localhost tmp]$ ll total 0 -rw-rw-r--. 1 gentoo1 gentoo1 0 Apr 10 03:21 a.gentoo1 -rw-rw-r--. 1 mageia mageia 0 Apr 10 03:21 a.mageia [mageia@localhost tmp]$ [root@localhost ~]# useradd gentoo1 [root@localhost ~]# useradd mageia [root@localhost ~]# mkdir /var/tmp/test [root@localhost ~]# chown :mark /var/tmp/test/ [root@localhost ~]# ls -ld /var/tmp/test/ drwxr-xr-x. 2 root mark 4096 Apr 10 03:22 /var/tmp/test/ [root@localhost ~]# chmod g+w /var/tmp/test/ [root@localhost ~]# ls -ld /var/tmp/test/ drwxrwxr-x. 2 root mark 4096 Apr 10 03:22 /var/tmp/test/ [root@localhost ~]# usermod -a -G mark mageia [root@localhost ~]# usermod -a -G mark gentoo1 [root@localhost ~]# id mageia uid=503(mageia) gid=503(mageia) groups=503(mageia),500(mark) [root@localhost ~]# id gentoo1 uid=501(gentoo) gid=501(gentoo1) groups=501(gentoo1),500(mark) [root@localhost ~]#退出再切换至mageia [mageia@localhost tmp]$ exit exit [root@localhost ~]# su mageia [mageia@localhost root]$ cd /var/tmp/ [[mageia@localhost test]$ touch a.gentoo [mageia@localhost test]$ ll total 0 -rw-rw-r--. 1 mageia mageia 0 Apr 10 03:33 a.gentoo [mageia@localhost test]$ 63.22 退出再切换至gentoo1 [gentoo1@localhost test]$ exit exit [root@localhost ~]# su gentoo1 [gentoo1@localhost root]$ cd /var/tmp/test/ [gentoo1@localhost test]$ touch a.gentoo1 [gentoo1@localhost test]$ ll total 0 -rw-rw-r--. 1 mageia mageia 0 Apr 10 03:33 a.gentoo -rw-rw-r--. 1 gentoo1 gentoo1 0 Apr 10 03:37 a.gentoo1 [gentoo1@localhost test]$当某一个用户已组上的权限来访问这个目录创建文件时,属主仍然是自身,而属组则是目录的属组 [root@localhost ~]# chmod g+s /var/tmp/test/ [root@localhost ~]# ll -ld /var/tmp/test/ drwxrwsr-x. 2 root mark 4096 Apr 10 03:42 /var/tmp/test/ [root@localhost ~]#退出再切换至mageia [mageia@localhost test]$ touch b.mageia [mageia@localhost test]$ ll total 4 -rw-rw-r--. 1 mageia mageia 14 Apr 10 03:42 a.gentoo1 -rw-rw-r--. 1 mageia mageia 0 Apr 10 03:41 a.mageia -rw-rw-r--. 1 mageia mark 0 Apr 10 03:47 b.mageia [mageia@localhost test]$再切换至gentoo1 [gentoo1@localhost test]$ touch b.gentool [gentoo1@localhost test]$ ll total 4 -rw-rw-r--. 1 mageia mageia 14 Apr 10 03:42 a.gentoo1 -rw-rw-r--. 1 mageia mageia 0 Apr 10 03:41 a.mageia -rw-rw-r--. 1 gentoo1 mark 0 Apr 10 03:48 b.gentool -rw-rw-r--. 1 mageia mark 0 Apr 10 03:47 b.mageia [gentoo1@localhost test]$与此同时是两个用户都可以删除对方文件。 由此,我们希望这个用户可以创建文件,可以编辑文件,可以删除自己的文件,但不能删除别人的文件: 特殊权限:sticky 特殊权限:sticky 展示于目录其它用户的执行权限位; 如果其它用户本来有执行权限,则展示为t;否则,展示为T;功用: 对于全局可写,或某组全局可写目录,所有用户都于此目录创建文件或删除自己为属主的那些文件,但不能删除非自己为属主文件或目录;chmod o+|-t FILE...[root@localhost /]# chmod o+t /var/tmp/test/ [root@localhost /]# ll -ld /tmp/test/ drwxrwsr-t. 2 root mark 4096 Apr 10 08:00 /tmp/test/[gentoo1@localhost test]$ ll total 0 -rw-rw-r--. 1 mageia mark 0 Apr 10 08:08 1.megeia -rw-rw-r--. 1 gentoo1 mark 0 Apr 10 07:59 2.gentoo1 [gentoo1@localhost test]$ rm 1.megeia rm: cannot remove `1.megeia': Operation not permitted [gentoo1@localhost test]$ rm 2.gentoo1 [gentoo1@localhost test]$ [mageia@localhost test]$ rm 2.gentoo1 rm: cannot remove `2.gentoo1': Operation not permitted [mageia@localhost test]$ rm 1.megeia [mageia@localhost test]$ sst八进制: 000 0 001 1 010 2 011 3 100 4 101 5 110 6 111 7chmod 6664 file chmod 1775 dirumask 0002
2015年04月11日
3,708 阅读
0 评论
0 点赞
1
2
3