首页 > 编程语言 >程序与设计

程序与设计

时间:2023-05-19 22:32:03浏览次数:49  
标签:文件 程序 用户 命令 设计 权限 root 目录

shell命令概述

Shell作用:命令解释器

介于操作系统内核与用户之间,负责解释命令行

获得命令帮助

内部命令help

命令的“--help” 选项

使用man命令阅读手册页

命令行编辑的几个辅助操作
 Tab键:自动补齐
 反斜杠“\”:强制换行
 快捷键 Ctrl+U:清空至行首
 快捷键 Ctrl+K:清空至行尾
 快捷键 Ctrl+L:清屏

Linux命令行的格式

Linux命令的通用命令格式:命令字 [选项] [参数] 选项及参数的含义 选项:用于调节命令的具体功能 以 “-”引导短格式选项(单个字符),例如“-l” 以“--”引导长格式选项(多个字符),例如“--color” 多个短格式选项可以写在一起,只用一个“-”引导,例如“-al” 参数:命令操作的对象,如文件、目录名等

[root@localhost ~]# ls  -l   /home
 总计 8
 drwx------ 2 benet benet 4096 09-08 08:50 benet

文件和目录管理

目录操作命令:pwd、cd、ls、mkdir

pwd命令
   用途:查看工作目录(Print Working Directory)
 cd命令
   用途:切换工作目录(Change Directory)
   格式:cd  [目录位置]
 ls命令
   用途:列表(List)显示目录内容 
   格式:ls  [选项]...  [目录或文件名]
   常用命令选项
     -l :以长格式显示
     -a:显示所有子目录和文件的信息,包括隐藏文件
     -ld:显示目录本身的具体信息
     --color:以颜色区分不同类型文件
 mkdir命令
   用途:创建新的目录(Make Directory) 
   格式:mkdir  [-p]  [/路径/]目录名

文件操作命令:touch、cp、rm、mv、find

touch命令
   用途:新建空文件,或更新文件时间标记
   格式:touch  文件名…
 cp命令
   用途:复制(Copy)文件或目录
   格式:cp  [选项]...  源文件或目录…  目标文件或目录
 rm命令
   用途:删除(Remove)文件或目录
   格式:rm  [选项]...  文件或目录
 rmdir命令
    用途:删除(directory)目录
 mv命令
   用途:移动(Move)文件或目录
     —— 若如果目标位置与源位置相同,则相当于改名
   格式:mv  [选项]...  源文件或目录…  目标文件或目录
 find命令
   用途:用于查找文件或目录
   格式:find  [查找范围]  [查找条件]
   常用查找条件
     -name:按文件名称查找
     -user:按文件属主查找
     -type:按文件类型查找
 根据文件的类型进行查找,这里的类型指的是普通文件(f)、目录(d)

文件内容操作命令:cat、less、grep

cat命令
   用途:显示出文件的全部内容
   格式:cat  目标文件
 less命令
   用途:全屏方式分页显示文件内容
   交互操作方法:
    按Enter键向下逐行滚动
    按空格键向下翻一屏、按b键向上翻一屏
    按q键退出
 grep命令
   用途:在文件中查找并显示包含指定字符串的行
   格式:grep  [选项]...  查找条件  目标文件
   常用命令选项
     -i:查找时忽略大小写
     -v:反转查找,输出与查找条件不相符的行 
   查找条件设置
     要查找的字符串以双引号括起来
     “^……”表示以……开头,“……$”表示以……结尾
     “^$”表示空行

归档及压缩命令:tar

tar命令
 用途:制作归档文件、释放归档文件
 格式:tar  [选项]...  归档文件名  源文件或目录
               tar  [选项]...  归档文件名  [-C 目标目录]
 常用命令
 打包:
 tar  -czvf  [存放路径]归档文件名.tar.gz  源文件或目录
 或  tar  -cjvf  [存放路径]归档文件名.tar.bz2  源文件或目录
 解包:
 tar  -xzvf  [存放路径]归档文件名.tar.gz  [-C  解压目录]
 或  tar  -xjvf  [存放路径]归档文件名.tar.bz2  [-C  解压目录]

Bash的命令历史

命令历史
   保存用户曾经执行过的命令操作
 查看历史命令 
   使用↑、↓按键逐条翻看,允许编辑并重复执行
   执行:history
 清除历史命令:执行:history -c
 调用历史命令:!n:执行历史记录中的第n条命令

Bash的命令别名

命令别名
   为使用频率较高的复杂命令行设置简短的调用名称
 查看命令别名
   格式:alias  [别名]
 设置命令别名
   执行:alias  别名='实际执行的命令'
 取消已设置的命令别名 
   格式:unalias  别名
         unalias  -a

重定向

将命令的执行结果输出到指定的文件中,而不是直接显示在屏幕上


输出重定向实例
    将命令输出重定向到文件
  将标准输出重定向到文件
  $ ls /etc/ > etcdir
    将标准输出重定向追加到文件
  $ ls /etc/sysconfig/ >> etcdir 
    将错误输出重定向到文件
  $ nocmd 2> errfile
    将标准输出和错误输出重定向到文件
  $ ls afile bfile &> errfile

vim文本编辑器

文本编辑器的作用: 维护Linux系统中的各种配置文件 编写shell脚本

vim编辑器的工作模式

三种工作模式:命令模式、输入模式、末行模式

1)命令模式:启动vi编辑器后默认进入命令模式,该模式中主要完成如光标移动、字符串查找,以及删除、复制、粘贴文件内容等相关操作
 2)输入模式:该模式中主要的操作就是录入文件内容,可以对文本文件正文进行修改、或者添加新的内容。处于输入模式时,vi编辑器的最后一行会出现“-- INSERT --”的状态提示信息
 3)末行模式:该模式中可以设置vi编辑环境、保存文件、退出编辑器,以及对文件内容进行查找、替换等操作。处于末行模式时,vi编辑器的最后一行会出现冒号“:”提示符

命令模式中的基本操作

光标移动

光标方向移动
  
行内快读跳转
  ctrl+F:向下翻动一页
  ctrl+B:想上翻动一页
行间快速跳转
  1G或gg:跳转到文件的首页
  G:跳转到文件的末尾行
行号显示:
  set nu:在编辑器中显示行号
  :set nonu:取消编辑器中的行号显示

复制粘贴删除

程序与设计_用户名

文件内容查找

程序与设计_用户名_02

撤销编辑及保存退出

u

按一次取消最近的一次操作

多次重复,恢复已进行的多步操作

U

用于取消对当前行所做的所有编辑

ZZ

保存当前的文件内容并退出vi编辑器

末行模式中的基本操作

保存文件及退出vi编辑器

功能

命令

保存文件

:w


:w /root/newfile

退出vi

:q


:q!

保存文件退出vi

:wq

打开新文件或读入其他文件内容

命令

功能

:e ~/install.log

打开新的文件进行编辑

:r /etc/filesystems

在当前文件中读入其他文件内容

文件内容替换

命令

功能

:s /old/new

将当前行中查找到的第一个字符"old"串替换为"new"

:s /old/new/g

将当前行中查找到的所有字符串"old"替换为"new"

:## s/old/new/g

在行号"##"范围内替换所有的字符串"old"为"new"

:% s/old/new/g

在整个文件范围内替换所有的字符串:"old"为"new"

:s /old/new/c


在替换命令末尾加入c命令,将对每个替换动作提示用户进行确认



用户和组账号概述

Linux基于用户身份对资源访问进行控制 用户帐号: 超级用户root、普通用户、 程序用户

超级用户,即root用户,类似于Windows系统中的Administrator用户,非执行管理任务时不建议使用root用户登录系统

普通用户帐号一般只在用户自己的宿主目录中有完全权限

程序用户:用于维持系统或某个程序的正常运行,一般不允许登录到系统。例如:bin、daemon、ftp、mail等

组帐号: 基本组(私有组) 一个用户一个 只是标识 附加组(公共组)一个用户可以有一个或多个附加组 可以设置权限 UID和GID: UID(User Identity,用户标识号) 0—root;1-200:“系统用户”,静态分配给红帽的系统程序;

201-999:当装软件时,才会动态分配;1000-60000:普通用户分配的范围

GID(Group Identify,组标识号)

用户账号文件——password

用于保存用户的帐号基本信息

文件位置:/etc/passwd

每一行对应一个用户的帐号记录

[root@localhost ~]# tail -2 /etc/passwd
 sabayon:x:86:86:Sabayon user:/home/sabayon:/sbin/nologin
 student:x:500:500:Student User:/home/student:/bin/bash
字段1:用户帐号的名称
  字段2:用户密码字串或者密码占位符“x”
  字段3:用户帐号的UID号
  字段4:所属基本组帐号的GID号
  字段5:用户全名
  字段6:宿主目录
  字段7:登录Shell信息

用户账号文件——shadow

用于保存密码字串、密码有效期等信息

文件位置:/etc/shadow

每一行对应一个用户的密码记录

[root@localhost ~]# tail -2 /etc/shadow
 sabayon:!!:15495:0:99999:7:::
 student:$1$po/zD0XK$4HSh/Aeae/eJ6dNj1k7Oz1:15495:0:99999:7:::
字段1:用户帐号的名称
  字段2:加密的密码字串信息
  字段3:上次修改密码的时间(距离1970.1.1)
  字段4:密码的最短有效天数,默认值为0
  字段5:密码的最长有效天数,默认值为99999
  字段6:提前多少天警告用户口令将过期,默认值为7
  字段7:在密码过期之后多少天禁用此用户
  字段8:帐号失效时间,默认值为空
  字段9:保留字段(未使用)

组账号文件—group、gshadow

与用户账号文件类似

/etc/group:保存组帐号基本信息 /etc/gshadow:保存组帐号的密码信息

[root@localhost ~]# grep "adm" /etc/group
 sys:x:3:root,bin,adm
 adm:x:4:root,adm,daemon

添加用户账号

useradd命令 格式:useradd [选项]... 用户名 常用命令选项 -u:指定 UID 标记号 -g:指定用户的基本组名(或UID号) -G:指定用户的附加组名(或GID号) -s:指定用户的登录Shell

不添加任何选项,只使用用户名作为useradd命令的参数,按系统默认配置建立指定的用户帐号 
 演示添加用户的操作:
 —创建名为st02的用户帐号,并将其UID号指定为504
     [root@localhost ~]# useradd -u 504 st02
     [root@localhost ~]# tail -1 /etc/passwd
     st02:x:504:504::/home/st02:/bin/bash
 ——创建一个考试测试用的帐号exam01,指定属于users组 ,该帐号于2009-07-30失效
     [root@localhost ~]# useradd -g users -e 2009-07-30 exam01
     展示/etc/passwd、/etc/shadow文件中的变化
     说明:使用adduser命令也可以添加用户帐号,在RHEL5系统中adduser命令实际上是useradd命令的符号链接
     useradd  -s  /sbin/nologin  strlt

设置/更改用户口令

passwd命令 格式:passwd [选项]... 用户名 常用命令选项 -d:清空用户的密码,使之无需密码即可登录 -l:锁定用户帐号 -S:查看用户帐号的状态(是否被锁定) -u:解锁用户帐号

修改用户账号的属性

usermod命令 格式:usermod [选项]... 用户名 常用命令选项 -L:锁定用户账户 -U:解锁用户账户 以下选项与useradd命令中的含义相同 -u、-g、-G、-s

删除用户账号

userdel命令 格式:userdel [-r] 用户名 添加 -r 选项时,表示连用户的宿主目录一并删除

[root@localhost ~]# useradd stu01
 [root@localhost ~]# ls -ld /home/stu01/
 drwx------ 2 stu01 stu01 4096 09-09 12:38 /home/stu01/
 [root@localhost ~]# userdel -r stu01
 [root@localhost ~]# ls -ld /home/stu01/
 ls: /home/stu01/: 没有那个文件或目录

改变用户密码期限

chage命令 格式:chage [选项]... 用户帐号名 常用命令选项 -M:密码的最长有效天数 -m:密码的最短有效天数 -W:密码的警告天数 -I:密码的有效天数 -E:账号的过期时间

查看密码的有效天数:chage -l root
 chage -M 60 root   密码的最长有效天数
 chage -m 60 root   密码的最短有效天数

组管理命令

groupadd命令 格式:groupadd [-g GID] 组帐号名 组成员管理: 格式:gpasswd [选项]... 组帐号名 删除组帐号: 格式:groupdel 组帐号名

用户和组账号查询

id命令 用途:查询用户身份标识 格式:id [用户名] groups命令 用途:查询用户所属的组 格式:groups [用户名] users、w 、who命令 用途:查询已登录到主机的用户信息

主要有哪两个用户帐号文件,各有什么作用?
 如何锁定、解锁用户帐号?
 在添加用户帐号时,如何设置其失效时间?
 如何设置一个组的多个用户成员?
 
 部分答案提示:
 【1】/etc/passwd、/etc/shadow
 【2】锁定帐号:usermod  -L  用户名、passwd  -l  用户名 ; 解锁帐号: usermod  -U  用户名、passwd  -u  用户名 
 【3】useradd -e YYYY-mm-dd 用户名  或者  usermod -e YYYY-mm-dd 用户名
 【4】~/.bash_profile、~/.bashrc、~/.bash_logout
 【5】gpasswd  -M  用户1,用户2,用户3  组名

实验案例

需求描述

现雇用一组顾问从事某一项目。为每位顾问创建用户帐户,并将这些帐户掭加到作为补充组,名为consultants、组id为40000的组中。
 这些帐户应在91天后终止时过期。
 以下是顾问姓名及其相应用户名的列表,帐户的初始密码均应为default):
 sspade, bboop, dtracy
先建manager组,创建两个用户natasha,harry附属组为manager,创建第三个用户strlt不允许login 。
 建一个用户susa,指定UID号为4000
 帐户的初始密码均应为default

文件/目录的权限和归属

访问权限 读取:允许查看文件内容、显示目录列表 写入:允许修改文件内容,允许在目录中新建、移动、删除文件或子目录 可执行:允许运行程序、切换目录 归属(所有权) 属主:拥有该文件或目录的用户帐号 属组:拥有该文件或目录的组帐号

查看文件/目录的权限和归属

程序与设计_字段_03

“-rw-r—r--”部分的第一个字符表示文件类型,可以是d(目录)、b(块设备文件)、c(字符设备文件),减号“-”(普通文件)、字母“l”(链接文件)等
 其余部分指定了文件的访问权限
 在表示属主、属组内用户或其他用户对该文件的访问权限时,主要使用了四种不同的权限字符: r    可读 ;w   可写 ;x   可执行 ;-   无权限 
 r、w、x、- 权限字符还可分别表示为8进制数字4、2、1、0

设置文件/目录的权限

chmod命令

格式1:chomd [ugoa] [+-=] [rwx] 文件或目录

格式2:chmod nnn 文件或目录

常用命令选项

-R:递归修改指定目录下所有文件/子目录的权限

详细讲解两种设置文件访问权限的格式,并以实例进行演示,例如:
 —— 重新设置mymkdir文件的权限,为属主用户添加执行权限,去除其他用户的读取权限
 [root@localhost ~]# chmod u+x,o-r mymkdir
 [root@localhost ~]# ls -l mymkdir
 -rwxr----- 1 root root 29588 05-12 06:19 mymkdir
 —— 重新设置mymkdir文件的访问权限,恢复为“rwxr-xr-x”
 [root@localhost ~]# chmod 755 mymkdir
 [root@localhost ~]# ls -l mymkdir
 -rwxr-xr-x 1 root root 29588 05-12 06:19 mymkdir 
 —— 使用递归的方式将“/usr/src/”目录中所有子目录、文件的权限都设置为“rw-r--r--”
 [root@localhost ~]# chmod -R 644 /usr/src/
 
 “nnn”为需要设置的具体权限值,如“755”、“644”等

文件权限设置实例

使用chmod命令设置文件权限 查看文件权限 ls -l 增加文件属主st01的执行权限(x) chmod u+x 文件名 去除文件属组class1的写权限(w) chmod g-w 文件名 设置属主权限为读写,属组其他用户的文件权限为读 chmod u=rw,g=r,o=r 文件名

设置文件/目录的归属

chown命令 格式:chown 属主 文件或目录 chown :属组 文件或目录 chown 属主:属组 文件或目录 常用命令选项 -R:递归修改指定目录下所有文件、子目录的归属

设置文件属主和属组

chown命令用于设置文件的属主和属组
 命令格式
 chown OWNER[:[GROUP]] FILE... 
 设置文件afile的属主为用户st01
 # chown st01 afile 
 设置文件afile的属组为用户组class1
 # chown :class1 afile
 设置文件afile的属主为st03,并设置文件的属组为class2
 # chown st03:class2 afile

实验:文件/目录权限设置

根据以下要求完成对文件/目录权限的设置
 1、添加组group,添加用户aa、bb并加入group组
 2、新建文件/abc.txt
 3、设置用户aa对文件拥有读、写和执行权限
 4、设置组group内成员对文件拥有读和写权限
 5、设置除属主和属组外其他人对文件没有任何权限
 6、新建目录/abc
 7、设置用户bb对目录拥有读、写执行权限
 8、设置组group内成员对目录拥有读和执行权限
 9、设置除属主和属组外其他人对目录没有任何权限

文件ACL权限

ACL是 Access Control List 的缩写,主要的目的是在提供传统的owner,group,others的read,write,execute权限之外的细部权限设定。

ACL可以针对单一使用者,单一文件或目录来进行r,w,x的权限规范,对于需要特殊权限的使用状况非常有帮助。

ACL 主要可以针对以下方面来控制权限: 使用者 (user):可以针对使用者来设定权限; 组群 (group):针对用户组为对象来设定其权限; 预设属性 (mask):还可以针对在该目录下在建立新文件/目录时,规范新数据的预设权限

管理文件系统访问控制列表

查看: $ getfacl filename 修改 : $ setfacl -m u:username:rw filename 命令 选项 u:用户名:权限 目录名称 $ setfacl -m g:groupname:rw filename 命令 选项 u:组账号:权限 目录名称 删除 : $ setfacl -x u:username filename 命令 选项 u:用户名 目录名称

tune2fs是linux下面重要的文件系统调整工具,其中的几个选项解释如下:
 -c:表示文件系统在mount次数达到设定后,需要运行fsck检查文件系统。
 -i:文件系统的检查间隔时间。系统在达到时间间隔时,自动检查文件系统。
 -l:显示文件系统的很多参数。
 -j:转换为ext3文件系统。
 -m: Set the percentage of reserved filesystem blocks。 设置保留的空间百分比
 -o: Set or clear the indicated default mount options in the filesystem.设置默认加载参数
 通常如果使用ext3文件系统的话,使用-c 0关掉mount次数达到后的文件系统检查
 tune2fs -m 10 /dev/sda1
 tune2fs -o acl,user_xattr /dev/sda1
 tune2fs -i 0 -c0 /dev/sda1
 
 显示当前的磁盘状态(dumpe2fs)
 [root@tonykorn97 /]# dumpe2fs /dev/sda1

使用附加权限

SET位权限 主要用途: 为可执行(有 x 权限的)文件设置,权限字符为“s” 其他用户执行该文件时,将拥有属主或属组用户的权限 SET位权限类型: SUID:表示对属主用户增加SET位权限 SGID:表示对属组内的用户增加SET位权限 如果SGID是设定在目录上面,则在该目录内所建立的文件或目录的所属组,将会自动成为此目录的所属组。

粘滞位权限(Sticky)

主要用途: 为公共目录(例如,权限为777的)设置,权限字符为“t” 用户不能删除该目录中其他用户的文件 应用示例:/tmp、/var/tmp

由于系统及服务程序运行的需要, Linux提供了/tmp、/var/tmp等临时目录,允许任意用户、程序写入数据
 然而试想一下,若任意一个普通用户都能够删除系统服务运行中使用的临时文件,将造成什么后果?
 设置粘滞位以后,正好可以保持一种动态的平衡:允许各用户在目录中任意写入、删除数据,但是禁止随意删除其他用户的数据 
 
 实验
 
 SUID
 第一步切换普通用户qq
 第二步vim /etc/shadow
 第三步查看vim的位置 which vim
 第四步:chmod u+s /usr/bin/vim
 第五步:ls -l /usr/bin/vim
 第六步:su - qq
 第七步:vim /etc/shadow
 
 SGID
 groupadd aa
 useradd -G aa bb
 mkdir /cc
 chown :aa  /cc
 chmod 777 /cc
 su - bb
 cd /cc
 touch a.txt
 su - root
 chmod  g+s  /cc
 su - bb
 cd /cc
 touch aa.txt
 ls -l

设置SET位、粘滞位权限 使用权限字符 chmod ug±s 可执行文件... chmod o±t 目录名... 使用权限数字: chmod mnnn 可执行文件... m为4时,对应SUID,2对应SGID,1对应粘滞位,可叠加

SET位标记字符为“s”,若使用8进制数字形式,则SUID对应为“4”、SGID对应为“2”
 在权限模式中可采用“nnnn”的形式时,如“4755”表示设置SUID权限、“6755”表示同时设置SUID、SGID权限
 以为 /bin/touch 命令设置SUID权限为例进行演示,普通用户使用该命令创建测试文件,比较新建文件的属主变化
 注意:为普通文件(无执行权限的)设置SET位权限从语法上虽然也可行,但没有实际意义(标记字符将变为大写字母“S”)
 通过实例操作演示,展示粘滞位的作用,例如:由普通用户1在 /tmp 目录中尝试删除 普通用户2的文件,对比是否设置粘滞位的区别
 注意:为普通文件或者用户本没有写入权限的目录设置粘滞位语法上也是可行的,但没有实际意义(标记字符将变为大写字母“T”)
 which vim
 chmod  u+s /usr/bin/vim

实验案例:用户和文件权限管理

需求描述 将/etc/fstab 复制到/var/tmp/fstab ,设置harry可以读写,natasha不能做任何操作,其他用户可读,设置manager组为fstab 所属组 设置用户natasha对目录/home/cnrts(创建)有完全控制权限,在目录中创建的文件自动继承组的权限,设置manager组用户对目录有读写执行权行,其他人没有权限,(root除外)

cp /etc/fstab /var/tmp/fstab
 ls -l /var/tmp/fstab (查看一下目录的信息)
 chown:manager /var/tmp/fstab

查看网络接口信息

使用命令查看网络信息
  
查看网络接口信息 
    Ifconfig
  
测试网络连接状态
    ping
  
查看网关地址
    route
  
查看主机名称信息 
    hostname
  
查看DNS服务器
    nslookup

网络的基本配置

通过修改配置文件配置网络信息(需要重启网络服务使配置生效,配置会永久有效) 网络配置工具: 图形界面:NetworkManager服务 命令界面:nmcli 重启网络服务: systemctl restart NetworkManager nmcil connection down/up ip地址

网卡配置文件 存放位置:/etc/sysconfig/network-scripts/ 命名格式:ifcfg-0 主机名称配置文件 /etc/sysconfig/network 停止或启动指定网络接口 nmcli connection down ens ; nmcli connection up ens

网络接口配置文件

网络配置

使用vi编辑器编辑配置网卡文件,配置信息如下:
     IP:192.168.0.(100+X)
     子网掩码:255.255.255.0
     默认网关:192.168.0.254
     DNS:192.168.0.254
     主机名:serverX.example.com
     (注:X为编号)
 重启网卡并验证IP地址

测试与其他主机的网络连接路径

域名查询

nslookup命令可进行域名的查询

域名服务器配置文件

系统使用的DNS服务器的ip地址保存在“resolv.conf”文件中

nameserver配置项用于设置系统使用的DNS服务器地址
 DNS服务器的ip地址

设置主机名称

本地主机名称解析文件

本机名称配置文件

查看和修改网络配置

查看ip地址和子网掩码: ip addr(ifconfig) /etc/sysconfig/network-scripts/ifcfg-eth0 查看路由和默认网关:ip route(route) /etc/sysconfig/network-scripts/ifcfg-eth0 查看系统主机名:hostname /etc/sysconfig/network 查看DNS服务器地址:nslookup(host) /etc/resolv.conf

防火墙的配置

什么是防火墙

防火墙——是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。 它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全策略控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻ji能力。 在逻辑上,防火墙是一个分离器、限制器和分析器,它能有效地监控内部网和Internet之间的任何活动,保证了内部网络的安全。

使用web控制台配置防火墙服务

使用web控制台来配置防火墙服务,请单击“重用我的密码以执行特权任务”选项以特权权限进行登录。允许用户以sudo权限进行修改防火墙服务的命令
单击右侧导航菜单中的Networking选项,以显示主网络页面中的Firewall部分,单击Firewall链接,以访问允许的服务列表
允许的服务列表是指防火墙当前允许的那些服务,单击服务名称左侧的箭头(>)可查看服务详细信息,要添加服务,请单击Firewall Allowed Services页面右上角的Add Services... 按钮

使用web控制台配置防火墙

选择服务,在Filter Services 文本框中输入选择内容,以http为例,搜索文本框中输入字符串http,以查找包含http的服务,即web相关服务。允许这些服务通过防火墙

从命令行配置防火墙

firewall-cmd命令将会与firewalld动态防火墙管理器进行交互。他是作为主firewalld软件包的一不部分安装的,可用于倾向使用命令行的管理员,在没有图形环境的系统上工作,或编写有关防火墙设置的脚本

使用命令行配置防火墙

[root@host ~]# firewall-cmd --set-default-znotallow=dmz
 Warning: ZONE_ALREADY_SET: dmz
 success
 [root@host ~]# firewall-cmd --permanent --znotallow=internal --add-source=192.168.0.0/24
 success
 [root@host ~]# firewall-cmd --permanent --znotallow=internal --add-service=mysql
 success
 [root@host ~]# firewall-cmd --reload 
 success

管理SELINUX安全性

什么是SElinux

SELinux(Security-Enhanced Linux) 是一个额外的系统安全层。SElinux的主要目标是防止已遭泄露的系统服务访问用户数据。大多数linux管理员都熟悉标准的用户/组/其他权限安全模型。这种基于用户和组的模型为自由决定的访问控制。SElinux提供另一层安全,它基于对象并由更加复杂的规则控制,称为强制访问控制

为什么使用SELinux

SElinux实施了一组可以防止一个应用程序的弱点影响其他应用或基础系统的访问规则。
SElinux有三种模式:
强制:SElinux强制执行访问控制规则,计算机通常在该模式下运行。
许可:SElinux处于活动状态,但并不强制执行控制规则,而是记录违反规则的警告。该模式主要用于测试和故障排除。
禁用:SElinux完全关闭-不拒绝任何SElinux违规,甚至不予记录

SElinux上下文修改

SElinux是用于确定哪个进程可以访问哪些文件、目录和端口的一组安全规则。每个文件、进程、目录和端口都具有专门的安全标签,称为SElinux上下文。上下文是一个名称,SElinux策略使用它来确定某个进程能否访问文件、目录和端口。
SElinux标签具有多种上下文:用户、角色、类型和敏感度

程序与设计_用户名_04

实验

更改当前selinux模式

[root@host ~]# getenforce 
Enforcing
[root@host ~]# setenforce 
usage:  setenforce [ Enforcing | Permissive | 1 | 0 ]
[root@host ~]# setenforce 0
[root@host ~]# geten
getenforce  getent      
[root@host ~]# getenforce 
Permissive
[root@host ~]# setenforce Enforcing
[root@host ~]# getenforce 
Enforcing
[root@host ~]#

控制SElinux端口标记

selinux端口标记
selinux不仅仅是进行文件和进程标记,SElinux策略还严格实施网络流量。SElinux用来控制网络流量的其中一种方法是标记端口
管理SElinux端口标记
在非标准端口上运行服务,SElinux几乎肯定会拦截此流量。在这种情况下,您必须更新SElinux端口标签。在某些情况下targeted策略已经通过可以使用的类型标记了端口;
列出端口标签
要获取所有当前端口标签分配的概述,请运行semanage port -l命令。 -l选项列出当前分配:
输出示例:
[root@host ~]# semanage port -l
SELinux 端口类型                   协议       端口号
要优化搜索,使用grep命令:
[root@host ~]# semanage port -l | grep ftp
ftp_data_port_t                tcp      20
ftp_port_t                     tcp      21, 989, 990
ftp_port_t                     udp      989, 990
tftp_port_t                    udp      69
管理端口标签:
使用semanage命令可以分配新端口标签、删除端口标签或修改现有端口标签。
要向现有端口标签(类型)中添加端口,使用以下语法,-a将添加新端口标签,-t表示类型,-p表示协议。
例如:要允许gopher服务侦听端口71/TCP:
[root@host~]# semanage port -a -t gopher_port_t -p tcp 71
要查看对默认策略的本地更改,管理员可以在semanage命令中添加-c选项。
SELinux 端口类型                   协议       端口号

gopher_port_t                  tcp      71
删除端口标记
删除自定义端口标签的语法与添加端口标签的语法相同,但不是使用-a选项(表示添加),而是使用-d选项(表示删除)
例如:要删除端口71/TCP与gopher_port_t的绑定:
[root@host ~]# semanage port -d -t gopher_port_t -p tcp 71
修改端口绑定:
要更改端口绑定,请使用-m(修改)选项。这种流程比删除旧绑定并添加新绑定更高效。
例如,要将端口71/tcp从gopher_port_t修改为http_port_t,管理员可以使用如下命令:
[root@host ~]# semanage port -m -t http_port_t -p tcp 71


文件/目录的权限和归属

 访问权限

读取:允许查看文件内容、显示目录列表

写入:允许修改文件内容,允许在目录中新建、移动、删除文件或子目录

可执行:允许运行程序、切换目录

归属(所有权)

属主:拥有改文件或目录的用户账号

属组:拥有该文件或目录的组账号,组中用户

查看文件/目录的权限和归属

文件类型 | 文件所有者 | 文件所属组 | 其他用户|

       shell

chmod  修改文件或目录的权限  
chmod  mode  文件:chmod 
u+x  file  ;  file ;  file ;
chmod a=wx file
Permission
Denied:无权限      
rw--  r-- ----  6  4  0       
rwx r-x  r-- 754     
rw-rr--  644     
chmod  nnn  文件      
chown  更改归属权        
chown  用户  文件 ;更改文件属主   
chown : 组 文件:更改文件属组 
chown 用户:组  文件
root

设置文件/目录的权限    

chmod命令

程序与设计_字段_05

格式2:chmod nnn 文件或目录

特殊权限

文件ACL权限

ACL是Access Control List的缩写,主要的目的是在提供传统的ower,group,others的read,write,execute权限之外的细部权限决定

ACL可以针对单一使用者,单一文件或目录来进行r,w,x的权限规范,对于需要特殊权限的使用状况非常有帮助

程序与设计_文件系统_06

管理文件系统访问控制列表

设置:

setfacl -m u:username:rw filename
setfacl -m g:groupname:rw filename
查看:
getfacl filename
删除:
setfacl -x u:username filename
setfacl -m u:stu rw-  aaaa   添加acl

setfacl -x u:stu  /host/stu/aaaa  删除某一acl

setfacl -b u:stu  /host/stu/aaaa  清空acl

other rw-

mask -wx

root 创建目录权限  755

创建文件权限  644
777   -umask -x

使用附加权限

SET位权限

为可执行(有×权限的》文件设置,权限宁符为“s",为x位来设置的SGID:一般设置在目录上,用户在设置了SGID的目录下新建文件或子目录时,新建的文件或子目录自动继承父目录的属组,普通用户执行时,是以管理员的身份去执行的

表现在前六位

粘滞位权限(Sticky)

主要用途;

表现在后三位

为公共目录(例如,权限为777的)设置,权限字符为“r"

用户不能删除该目录中其他用户的文件

应用示例:/tmp./var/tmp

  特殊权限

 set位权限:suid sgid:设置用户id  设置组id

 suid 一般设置可执行程序上,程序在被普通用户执行的时候会继承属主的权限

使用绝对路径或者相对路径可以执行一个可执行文件

      sgid一般设置目录上,在目录中创建的文件或目录会继承属组

chmod u+s  file   4

chmod g+s  2

使用数字设置set位权限的时候,只能加,不能减

粘滞位权限:设置在公共目录上(777),设置以后,用户不能删除不属于自己的文件

chmod o+l  file 1

chmod  7755 file

rwxr-sr-x

find  

思维导图

程序与设计_用户名_07


用户 :普通  组:
usera->属主->  属组->  other
ll  file  权限-
sticky  rwt 
r-t

nmtui
 修改配置文件
网络:iPhonev  tcp/ip
ip渠道
    
ip  address 
32位2进制数字
     点分十进制
     4段  8位
  0000  
0000-----1111   1111   0---255
     2^8  256
-1  255
    0.0.0.0---255.255.255.255

   两两与或,如果都为1,则结果为1,如果都为0,结果都为0,或者有一个为0,则为0

子网掩码netmask
网络位全为1
主机位全为0
   同网络
二层访问
  跨网络访问需要路由转发

 

网关  gateway
IPADDRESS

NETWORK
  
GATEWAY
 
DNS
   域名解析
将网址解析为ip
 
高优先级
   /etc/hosts 
terminal ui user interface
Graphical
Ethernet  以太网
网卡 网卡配置
修改配置文件
nmcil


网络配置

查看ip  ipconfig
ip a addr adress ip router

程序与设计_文件系统_08


nmcli

nmcli dev show ens16e查看网卡
nmcli connection add con-name ethe ifname ens160 type ethernet添加网卡配置配置名 ethe连接到网卡ens160类型是ethernet
 nmcli connection show ethe查看网卡配置
 nmcli c modify ethe ipv4.method manual ipv4.addresses 192.168.151.280/24对已有网卡配置,没置静态ip
 nmcli c modify eth0 ipv4.gateway 192.168.151.2 ipv4.dns 114.114.114.114 autoconnect no配置网关dns
自动连接
nmcli device disconnect ens16e网卡断连
 nmcliconupethe网卡配置ethe生效


程序与设计_字段_09


程序与设计_字段_10


程序与设计_文件系统_11


      

逻辑卷管理

分区  格式化  挂载

建立和管理文件系统

 建立和管理文件系统

文件系统是操作系统用于明确磁盘或分区上的文件的方法和数据结构,即在磁盘上组织文件的方法

Linux中默认使用文件系统类型

EXT4,第4代扩展(Extended)文件系统

SWAP,交换文件系统

Linux支持的其他文件系统类型

FAT16,FAT32,NTFS

XFS,JFS


文件系统是操作系统用于明确磁盘

free  -h

mkswap  设备  mkswap  /dev/sdc1

swapon  /dev/sdc1  挂载虚拟内存

swapon  -s  列出虚拟内存你的挂载

swapoff  /dev/sdc1  卸载虚拟内存

分区格式化的数据保留在硬盘上 挂载保留在内存里

/etc/fstab

/dev/mapper/rhel-root   /  xfs  defaults  0  0

分区 (已做FS)  挂载点  fstype  defaults(挂载参数)kdump备份  开机检查

mount  设备  /etc/fstab  中条目规则进行挂载

mount -a  /etc/fstab  所有条目挂载

uuid 设备唯一标识  32位

blkid  查看uuid

MB  1000  硬盘厂商

Mib 1024  计算机识别

逻辑卷管理

LVM概述

Logical Volume Manager 逻辑卷管理

屏蔽了底层磁盘布局,便于动态调整磁盘容量

需要注意:

/boot分区用于存放引导文件,不能应用LVM机制

 

LVM 管理多个磁盘,可以动态调整分区容量

物理卷pv: 磁盘| 分区   IT

卷组 vg:物理卷的组合 1 2T

逻辑卷lv:1.5  30G

格式化 挂载

LVM机制的基本概念

PV物理卷

整个硬盘,或使用fdisk等工具建立的普通分区

包括许多默认4MB大小的PE(基本单元)

VG卷组

一个或多个物理卷组合而成的整体

LV逻辑卷

从卷组中分割出的一块空间,用于建立文件系统

 

 

软件管理

管理软件,kernel  +自由软件

核心:开源软件  审核软件

软件包的封装类型


RPM包管理机制

 常见的软件包封装类型

rpm软件包:扩展名为".rpm"

deb软件包:扩展名为".deb"

源代码软件包:一般为".tar.gz"、“.tar.bz2”等格式的压缩包包含程序的原始代码

提供安装程序的软件包:在压缩包内提供install.sh、setup等安装程序或以“.bin”格式的单个执行文件提供

绿色免安装的软件包:在压缩包内提供已编译好的执行程序文件 解开压缩包后的文件即可直接使用

RPM包管理机制

RPM Package Manager
RPM软件包
软件素材参考:http://rpmfind.net

一般命令格式:

bash-3.1-16.1.i386.rpm


x86_64  ppc64le  aarch64  s390x  硬件平台

noarch

el  6789  软件

镜像里边

BaseOS提供系统运行所需要的软件,版本迭代慢,稳定性非常好

AppStream提供一些新特性软件,稳定性较好

使用rpm命令

安装或升级RPM软件

格式:rpm[选项]RPM包文件...

常用选项:

-i:安装一个新的rpm软件包

-U:升级某个rpm软件,若原本未装,则进行安装.

-F:更新某个rpm软件,若原本未装,则放弃安装

辅助选项

-h:以“#"号显示安装的进度

-V:显示安装过程中的详细信息

--nodeps:安装、升级或卸载软件时,忽略依赖关系

常用命令: rpm -ivh***.rpm

卸载指定的RPM软件

格式: rpm -e软件包的名字

 

rpm [选项] RPM包文件

 

-i  install  安装软件

-e  卸载软件

-q 查询软件

-q 查询软件 -a 列出所有  -c  查看软件的配置文件  -l 相关文件  -i软件包信

辅助选项 -v 显示进度

-h 以#显示进度

yum:以rpm为基础,分析依赖环境,并且通过python实现软件安装

dnf :yum v3  python3

软件仓库:软件  软件包数据库  可用性  多个仓库

/etc/yum.repos.d/  下以.repos结尾的文件,都是仓库配置文件

[repo_id]  写仓库id

name=repo_name  写仓库名称

baseul=url  写仓库路径 本地的  网络的(http、ftp) file://

file://media/AppStream  http://huaweicloud.com/centos/8/os/

ftp://bosai.com/ftp/rhel8\

gpgcheck=0|1  软件安装校验  0代表关闭

gpgkey=/etc/pki/rpm-gpg/RPM-GPG-KEY-redhat-release  前提开启了校验

enable=1  默认为1  不需要写这一行

yum repolost -v

yum install  包名  安装软件

使用YUM源

 

程序与设计_字段_12

systemd  守护进程 完成系统的初始化

systemctl  管理工具  服务

服务 c/s“系统服务  网络服务

web  nfs  samba  dhcp

systemctl  动作 service :start  restart  stop reload

enable 开机自启  disable 开机关闭

status  查看服务状态的

systemctl  enable  --now  httpd  设置服务开启自启,并且立刻启动

systemctl is-enable  httpd  查看是否开机自启的

NTP:时间同步

分布式系统

客户端软件 chrony 软件的守护进程 chronyd

/etc/chrony-conf

pool  这一行注释

server  ntp服务器  iburst  指定时间服务器,是一个客户端配置

allow  网络  允许网络内的主机访问该节点的时间服务器,是一个服务端配置

systemctl  restart  chronyd  启动软件

systemctl  enable  chronyd  设置开机自启

配置cpu  mem  软件  调度

 

 


用户和组账号概述

Linux基于用户身份对资源访问进行控制 用户帐号: 超级用户root、普通用户、 程序用户

超级用户,即root用户,类似于Windows系统中的Administrator用户,非执行管理任务时不建议使用root用户登录系统

普通用户帐号一般只在用户自己的宿主目录中有完全权限

程序用户:用于维持系统或某个程序的正常运行,一般不允许登录到系统。例如:bin、daemon、ftp、mail等

组帐号: 基本组(私有组) 一个用户一个 只是标识 附加组(公共组)一个用户可以有一个或多个附加组 可以设置权限 UID和GID: UID(User Identity,用户标识号) 0—root;1-200:“系统用户”,静态分配给红帽的系统程序;

201-999:当装软件时,才会动态分配;1000-60000:普通用户分配的范围

GID(Group Identify,组标识号)

用户账号文件——password

用于保存用户的帐号基本信息

文件位置:/etc/passwd

每一行对应一个用户的帐号记录

[root@localhost ~]# tail -2 /etc/passwd
 sabayon:x:86:86:Sabayon user:/home/sabayon:/sbin/nologin
 student:x:500:500:Student User:/home/student:/bin/bash
字段1:用户帐号的名称
  字段2:用户密码字串或者密码占位符“x”
  字段3:用户帐号的UID号
  字段4:所属基本组帐号的GID号
  字段5:用户全名
  字段6:宿主目录
  字段7:登录Shell信息

用户账号文件——shadow

用于保存密码字串、密码有效期等信息

文件位置:/etc/shadow

每一行对应一个用户的密码记录

[root@localhost ~]# tail -2 /etc/shadow
 sabayon:!!:15495:0:99999:7:::
 student:$1$po/zD0XK$4HSh/Aeae/eJ6dNj1k7Oz1:15495:0:99999:7:::
字段1:用户帐号的名称
  字段2:加密的密码字串信息
  字段3:上次修改密码的时间(距离1970.1.1)
  字段4:密码的最短有效天数,默认值为0
  字段5:密码的最长有效天数,默认值为99999
  字段6:提前多少天警告用户口令将过期,默认值为7
  字段7:在密码过期之后多少天禁用此用户
  字段8:帐号失效时间,默认值为空
  字段9:保留字段(未使用)

组账号文件—group、gshadow

与用户账号文件类似

/etc/group:保存组帐号基本信息 /etc/gshadow:保存组帐号的密码信息

[root@localhost ~]# grep "adm" /etc/group
 sys:x:3:root,bin,adm
 adm:x:4:root,adm,daemon

添加用户账号

useradd命令 格式:useradd [选项]... 用户名 常用命令选项 -u:指定 UID 标记号 -g:指定用户的基本组名(或UID号) -G:指定用户的附加组名(或GID号) -s:指定用户的登录Shell

不添加任何选项,只使用用户名作为useradd命令的参数,按系统默认配置建立指定的用户帐号 
 演示添加用户的操作:
 —创建名为st02的用户帐号,并将其UID号指定为504
     [root@localhost ~]# useradd -u 504 st02
     [root@localhost ~]# tail -1 /etc/passwd
     st02:x:504:504::/home/st02:/bin/bash
 ——创建一个考试测试用的帐号exam01,指定属于users组 ,该帐号于2009-07-30失效
     [root@localhost ~]# useradd -g users -e 2009-07-30 exam01
     展示/etc/passwd、/etc/shadow文件中的变化
     说明:使用adduser命令也可以添加用户帐号,在RHEL5系统中adduser命令实际上是useradd命令的符号链接
     useradd  -s  /sbin/nologin  strlt

设置/更改用户口令

passwd命令 格式:passwd [选项]... 用户名 常用命令选项 -d:清空用户的密码,使之无需密码即可登录 -l:锁定用户帐号 -S:查看用户帐号的状态(是否被锁定) -u:解锁用户帐号

修改用户账号的属性

usermod命令 格式:usermod [选项]... 用户名 常用命令选项 -L:锁定用户账户 -U:解锁用户账户 以下选项与useradd命令中的含义相同 -u、-g、-G、-s

删除用户账号

userdel命令 格式:userdel [-r] 用户名 添加 -r 选项时,表示连用户的宿主目录一并删除

[root@localhost ~]# useradd stu01
 [root@localhost ~]# ls -ld /home/stu01/
 drwx------ 2 stu01 stu01 4096 09-09 12:38 /home/stu01/
 [root@localhost ~]# userdel -r stu01
 [root@localhost ~]# ls -ld /home/stu01/
 ls: /home/stu01/: 没有那个文件或目录

改变用户密码期限

chage命令 格式:chage [选项]... 用户帐号名 常用命令选项 -M:密码的最长有效天数 -m:密码的最短有效天数 -W:密码的警告天数 -I:密码的有效天数 -E:账号的过期时间

查看密码的有效天数:chage -l root
 chage -M 60 root   密码的最长有效天数
 chage -m 60 root   密码的最短有效天数

组管理命令

groupadd命令 格式:groupadd [-g GID] 组帐号名 组成员管理: 格式:gpasswd [选项]... 组帐号名 删除组帐号: 格式:groupdel 组帐号名

用户和组账号查询

id命令 用途:查询用户身份标识 格式:id [用户名] groups命令 用途:查询用户所属的组 格式:groups [用户名] users、w 、who命令 用途:查询已登录到主机的用户信息

主要有哪两个用户帐号文件,各有什么作用?
 如何锁定、解锁用户帐号?
 在添加用户帐号时,如何设置其失效时间?
 如何设置一个组的多个用户成员?
 
 部分答案提示:
 【1】/etc/passwd、/etc/shadow
 【2】锁定帐号:usermod  -L  用户名、passwd  -l  用户名 ; 解锁帐号: usermod  -U  用户名、passwd  -u  用户名 
 【3】useradd -e YYYY-mm-dd 用户名  或者  usermod -e YYYY-mm-dd 用户名
 【4】~/.bash_profile、~/.bashrc、~/.bash_logout
 【5】gpasswd  -M  用户1,用户2,用户3  组名

实验案例

需求描述

现雇用一组顾问从事某一项目。为每位顾问创建用户帐户,并将这些帐户掭加到作为补充组,名为consultants、组id为40000的组中。
 这些帐户应在91天后终止时过期。
 以下是顾问姓名及其相应用户名的列表,帐户的初始密码均应为default):
 sspade, bboop, dtracy
先建manager组,创建两个用户natasha,harry附属组为manager,创建第三个用户strlt不允许login 。
 建一个用户susa,指定UID号为4000
 帐户的初始密码均应为default

文件/目录的权限和归属

访问权限 读取:允许查看文件内容、显示目录列表 写入:允许修改文件内容,允许在目录中新建、移动、删除文件或子目录 可执行:允许运行程序、切换目录 归属(所有权) 属主:拥有该文件或目录的用户帐号 属组:拥有该文件或目录的组帐号

查看文件/目录的权限和归属程序与设计_字段_03

“-rw-r—r--”部分的第一个字符表示文件类型,可以是d(目录)、b(块设备文件)、c(字符设备文件),减号“-”(普通文件)、字母“l”(链接文件)等
 其余部分指定了文件的访问权限
 在表示属主、属组内用户或其他用户对该文件的访问权限时,主要使用了四种不同的权限字符: r    可读 ;w   可写 ;x   可执行 ;-   无权限 
 r、w、x、- 权限字符还可分别表示为8进制数字4、2、1、0

设置文件/目录的权限

chmod命令

格式1:chomd [ugoa] [+-=] [rwx] 文件或目录

格式2:chmod nnn 文件或目录

常用命令选项

-R:递归修改指定目录下所有文件/子目录的权限

详细讲解两种设置文件访问权限的格式,并以实例进行演示,例如:
 —— 重新设置mymkdir文件的权限,为属主用户添加执行权限,去除其他用户的读取权限
 [root@localhost ~]# chmod u+x,o-r mymkdir
 [root@localhost ~]# ls -l mymkdir
 -rwxr----- 1 root root 29588 05-12 06:19 mymkdir
 —— 重新设置mymkdir文件的访问权限,恢复为“rwxr-xr-x”
 [root@localhost ~]# chmod 755 mymkdir
 [root@localhost ~]# ls -l mymkdir
 -rwxr-xr-x 1 root root 29588 05-12 06:19 mymkdir 
 —— 使用递归的方式将“/usr/src/”目录中所有子目录、文件的权限都设置为“rw-r--r--”
 [root@localhost ~]# chmod -R 644 /usr/src/
 
 “nnn”为需要设置的具体权限值,如“755”、“644”等

文件权限设置实例

使用chmod命令设置文件权限 查看文件权限 ls -l 增加文件属主st01的执行权限(x) chmod u+x 文件名 去除文件属组class1的写权限(w) chmod g-w 文件名 设置属主权限为读写,属组其他用户的文件权限为读 chmod u=rw,g=r,o=r 文件名

设置文件/目录的归属

chown命令 格式:chown 属主 文件或目录 chown :属组 文件或目录 chown 属主:属组 文件或目录 常用命令选项 -R:递归修改指定目录下所有文件、子目录的归属

设置文件属主和属组

chown命令用于设置文件的属主和属组
 命令格式
 chown OWNER[:[GROUP]] FILE... 
 设置文件afile的属主为用户st01
 # chown st01 afile 
 设置文件afile的属组为用户组class1
 # chown :class1 afile
 设置文件afile的属主为st03,并设置文件的属组为class2
 # chown st03:class2 afile

实验:文件/目录权限设置

根据以下要求完成对文件/目录权限的设置
 1、添加组group,添加用户aa、bb并加入group组
 2、新建文件/abc.txt
 3、设置用户aa对文件拥有读、写和执行权限
 4、设置组group内成员对文件拥有读和写权限
 5、设置除属主和属组外其他人对文件没有任何权限
 6、新建目录/abc
 7、设置用户bb对目录拥有读、写执行权限
 8、设置组group内成员对目录拥有读和执行权限
 9、设置除属主和属组外其他人对目录没有任何权限

文件ACL权限

ACL是 Access Control List 的缩写,主要的目的是在提供传统的owner,group,others的read,write,execute权限之外的细部权限设定。

ACL可以针对单一使用者,单一文件或目录来进行r,w,x的权限规范,对于需要特殊权限的使用状况非常有帮助。

ACL 主要可以针对以下方面来控制权限: 使用者 (user):可以针对使用者来设定权限; 组群 (group):针对用户组为对象来设定其权限; 预设属性 (mask):还可以针对在该目录下在建立新文件/目录时,规范新数据的预设权限

管理文件系统访问控制列表

查看: $ getfacl filename 修改 : $ setfacl -m u:username:rw filename 命令 选项 u:用户名:权限 目录名称 $ setfacl -m g:groupname:rw filename 命令 选项 u:组账号:权限 目录名称 删除 : $ setfacl -x u:username filename 命令 选项 u:用户名 目录名称

tune2fs是linux下面重要的文件系统调整工具,其中的几个选项解释如下:
 -c:表示文件系统在mount次数达到设定后,需要运行fsck检查文件系统。
 -i:文件系统的检查间隔时间。系统在达到时间间隔时,自动检查文件系统。
 -l:显示文件系统的很多参数。
 -j:转换为ext3文件系统。
 -m: Set the percentage of reserved filesystem blocks。 设置保留的空间百分比
 -o: Set or clear the indicated default mount options in the filesystem.设置默认加载参数
 通常如果使用ext3文件系统的话,使用-c 0关掉mount次数达到后的文件系统检查
 tune2fs -m 10 /dev/sda1
 tune2fs -o acl,user_xattr /dev/sda1
 tune2fs -i 0 -c0 /dev/sda1
 
 显示当前的磁盘状态(dumpe2fs)
 [root@tonykorn97 /]# dumpe2fs /dev/sda1

使用附加权限

SET位权限 主要用途: 为可执行(有 x 权限的)文件设置,权限字符为“s” 其他用户执行该文件时,将拥有属主或属组用户的权限 SET位权限类型: SUID:表示对属主用户增加SET位权限 SGID:表示对属组内的用户增加SET位权限 如果SGID是设定在目录上面,则在该目录内所建立的文件或目录的所属组,将会自动成为此目录的所属组。

粘滞位权限(Sticky)

主要用途: 为公共目录(例如,权限为777的)设置,权限字符为“t” 用户不能删除该目录中其他用户的文件 应用示例:/tmp、/var/tmp

由于系统及服务程序运行的需要, Linux提供了/tmp、/var/tmp等临时目录,允许任意用户、程序写入数据
 然而试想一下,若任意一个普通用户都能够删除系统服务运行中使用的临时文件,将造成什么后果?
 设置粘滞位以后,正好可以保持一种动态的平衡:允许各用户在目录中任意写入、删除数据,但是禁止随意删除其他用户的数据 
 
 实验
 
 SUID
 第一步切换普通用户qq
 第二步vim /etc/shadow
 第三步查看vim的位置 which vim
 第四步:chmod u+s /usr/bin/vim
 第五步:ls -l /usr/bin/vim
 第六步:su - qq
 第七步:vim /etc/shadow
 
 SGID
 groupadd aa
 useradd -G aa bb
 mkdir /cc
 chown :aa  /cc
 chmod 777 /cc
 su - bb
 cd /cc
 touch a.txt
 su - root
 chmod  g+s  /cc
 su - bb
 cd /cc
 touch aa.txt
 ls -l

设置SET位、粘滞位权限 使用权限字符 chmod ug±s 可执行文件... chmod o±t 目录名... 使用权限数字: chmod mnnn 可执行文件... m为4时,对应SUID,2对应SGID,1对应粘滞位,可叠加

SET位标记字符为“s”,若使用8进制数字形式,则SUID对应为“4”、SGID对应为“2”
 在权限模式中可采用“nnnn”的形式时,如“4755”表示设置SUID权限、“6755”表示同时设置SUID、SGID权限
 以为 /bin/touch 命令设置SUID权限为例进行演示,普通用户使用该命令创建测试文件,比较新建文件的属主变化
 注意:为普通文件(无执行权限的)设置SET位权限从语法上虽然也可行,但没有实际意义(标记字符将变为大写字母“S”)
 通过实例操作演示,展示粘滞位的作用,例如:由普通用户1在 /tmp 目录中尝试删除 普通用户2的文件,对比是否设置粘滞位的区别
 注意:为普通文件或者用户本没有写入权限的目录设置粘滞位语法上也是可行的,但没有实际意义(标记字符将变为大写字母“T”)
 which vim
 chmod  u+s /usr/bin/vim

实验案例:用户和文件权限管理

需求描述 将/etc/fstab 复制到/var/tmp/fstab ,设置harry可以读写,natasha不能做任何操作,其他用户可读,设置manager组为fstab 所属组 设置用户natasha对目录/home/cnrts(创建)有完全控制权限,在目录中创建的文件自动继承组的权限,设置manager组用户对目录有读写执行权行,其他人没有权限,(root除外)

cp /etc/fstab /var/tmp/fstab
 ls -l /var/tmp/fstab (查看一下目录的信息)
 chown:manager /var/tmp/fstab

shell命令概述

Shell作用:命令解释器

介于操作系统内核与用户之间,负责解释命令行

获得命令帮助

内部命令help

命令的“--help” 选项

使用man命令阅读手册页

命令行编辑的几个辅助操作
 Tab键:自动补齐
 反斜杠“\”:强制换行
 快捷键 Ctrl+U:清空至行首
 快捷键 Ctrl+K:清空至行尾
 快捷键 Ctrl+L:清屏

Linux命令行的格式

Linux命令的通用命令格式:命令字 [选项] [参数] 选项及参数的含义 选项:用于调节命令的具体功能 以 “-”引导短格式选项(单个字符),例如“-l” 以“--”引导长格式选项(多个字符),例如“--color” 多个短格式选项可以写在一起,只用一个“-”引导,例如“-al” 参数:命令操作的对象,如文件、目录名等

[root@localhost ~]# ls  -l   /home
 总计 8
 drwx------ 2 benet benet 4096 09-08 08:50 benet

文件和目录管理

目录操作命令:pwd、cd、ls、mkdir

pwd命令
   用途:查看工作目录(Print Working Directory)
 cd命令
   用途:切换工作目录(Change Directory)
   格式:cd  [目录位置]
 ls命令
   用途:列表(List)显示目录内容 
   格式:ls  [选项]...  [目录或文件名]
   常用命令选项
     -l :以长格式显示
     -a:显示所有子目录和文件的信息,包括隐藏文件
     -ld:显示目录本身的具体信息
     --color:以颜色区分不同类型文件
 mkdir命令
   用途:创建新的目录(Make Directory) 
   格式:mkdir  [-p]  [/路径/]目录名

文件操作命令:touch、cp、rm、mv、find

touch命令
   用途:新建空文件,或更新文件时间标记
   格式:touch  文件名…
 cp命令
   用途:复制(Copy)文件或目录
   格式:cp  [选项]...  源文件或目录…  目标文件或目录
 rm命令
   用途:删除(Remove)文件或目录
   格式:rm  [选项]...  文件或目录
 rmdir命令
    用途:删除(directory)目录
 mv命令
   用途:移动(Move)文件或目录
     —— 若如果目标位置与源位置相同,则相当于改名
   格式:mv  [选项]...  源文件或目录…  目标文件或目录
 find命令
   用途:用于查找文件或目录
   格式:find  [查找范围]  [查找条件]
   常用查找条件
     -name:按文件名称查找
     -user:按文件属主查找
     -type:按文件类型查找
 根据文件的类型进行查找,这里的类型指的是普通文件(f)、目录(d)

文件内容操作命令:cat、less、grep

cat命令
   用途:显示出文件的全部内容
   格式:cat  目标文件
 less命令
   用途:全屏方式分页显示文件内容
   交互操作方法:
    按Enter键向下逐行滚动
    按空格键向下翻一屏、按b键向上翻一屏
    按q键退出
 grep命令
   用途:在文件中查找并显示包含指定字符串的行
   格式:grep  [选项]...  查找条件  目标文件
   常用命令选项
     -i:查找时忽略大小写
     -v:反转查找,输出与查找条件不相符的行 
   查找条件设置
     要查找的字符串以双引号括起来
     “^……”表示以……开头,“……$”表示以……结尾
     “^$”表示空行

归档及压缩命令:tar

tar命令
 用途:制作归档文件、释放归档文件
 格式:tar  [选项]...  归档文件名  源文件或目录
               tar  [选项]...  归档文件名  [-C 目标目录]
 常用命令
 打包:
 tar  -czvf  [存放路径]归档文件名.tar.gz  源文件或目录
 或  tar  -cjvf  [存放路径]归档文件名.tar.bz2  源文件或目录
 解包:
 tar  -xzvf  [存放路径]归档文件名.tar.gz  [-C  解压目录]
 或  tar  -xjvf  [存放路径]归档文件名.tar.bz2  [-C  解压目录]

Bash的命令历史

命令历史
   保存用户曾经执行过的命令操作
 查看历史命令 
   使用↑、↓按键逐条翻看,允许编辑并重复执行
   执行:history
 清除历史命令:执行:history -c
 调用历史命令:!n:执行历史记录中的第n条命令

Bash的命令别名

命令别名
   为使用频率较高的复杂命令行设置简短的调用名称
 查看命令别名
   格式:alias  [别名]
 设置命令别名
   执行:alias  别名='实际执行的命令'
 取消已设置的命令别名 
   格式:unalias  别名
         unalias  -a

重定向

将命令的执行结果输出到指定的文件中,而不是直接显示在屏幕上


输出重定向实例
    将命令输出重定向到文件
  将标准输出重定向到文件
  $ ls /etc/ > etcdir
    将标准输出重定向追加到文件
  $ ls /etc/sysconfig/ >> etcdir 
    将错误输出重定向到文件
  $ nocmd 2> errfile
    将标准输出和错误输出重定向到文件
  $ ls afile bfile &> errfile

vim文本编辑器

文本编辑器的作用: 维护Linux系统中的各种配置文件 编写shell脚本

vim编辑器的工作模式

三种工作模式:命令模式、输入模式、末行模式

1)命令模式:启动vi编辑器后默认进入命令模式,该模式中主要完成如光标移动、字符串查找,以及删除、复制、粘贴文件内容等相关操作
 2)输入模式:该模式中主要的操作就是录入文件内容,可以对文本文件正文进行修改、或者添加新的内容。处于输入模式时,vi编辑器的最后一行会出现“-- INSERT --”的状态提示信息
 3)末行模式:该模式中可以设置vi编辑环境、保存文件、退出编辑器,以及对文件内容进行查找、替换等操作。处于末行模式时,vi编辑器的最后一行会出现冒号“:”提示符

命令模式中的基本操作

光标移动

光标方向移动
  
行内快读跳转
  ctrl+F:向下翻动一页
  ctrl+B:想上翻动一页
行间快速跳转
  1G或gg:跳转到文件的首页
  G:跳转到文件的末尾行
行号显示:
  set nu:在编辑器中显示行号
  :set nonu:取消编辑器中的行号显示

复制粘贴删除

程序与设计_用户名

文件内容查找

程序与设计_用户名_02

撤销编辑及保存退出

u

按一次取消最近的一次操作

多次重复,恢复已进行的多步操作

U

用于取消对当前行所做的所有编辑

ZZ

保存当前的文件内容并退出vi编辑器

末行模式中的基本操作

保存文件及退出vi编辑器

功能

命令

保存文件

:w


:w /root/newfile

退出vi

:q


:q!

保存文件退出vi

:wq

打开新文件或读入其他文件内容

命令

功能

:e ~/install.log

打开新的文件进行编辑

:r /etc/filesystems

在当前文件中读入其他文件内容

文件内容替换

命令

功能

:s /old/new

将当前行中查找到的第一个字符"old"串替换为"new"

:s /old/new/g

将当前行中查找到的所有字符串"old"替换为"new"

:## s/old/new/g

在行号"##"范围内替换所有的字符串"old"为"new"

:% s/old/new/g

在整个文件范围内替换所有的字符串:"old"为"new"

:s /old/new/c


在替换命令末尾加入c命令,将对每个替换动作提示用户进行确认



用户和组账号概述

Linux基于用户身份对资源访问进行控制 用户帐号: 超级用户root、普通用户、 程序用户

超级用户,即root用户,类似于Windows系统中的Administrator用户,非执行管理任务时不建议使用root用户登录系统

普通用户帐号一般只在用户自己的宿主目录中有完全权限

程序用户:用于维持系统或某个程序的正常运行,一般不允许登录到系统。例如:bin、daemon、ftp、mail等

组帐号: 基本组(私有组) 一个用户一个 只是标识 附加组(公共组)一个用户可以有一个或多个附加组 可以设置权限 UID和GID: UID(User Identity,用户标识号) 0—root;1-200:“系统用户”,静态分配给红帽的系统程序;

201-999:当装软件时,才会动态分配;1000-60000:普通用户分配的范围

GID(Group Identify,组标识号)

用户账号文件——password

用于保存用户的帐号基本信息

文件位置:/etc/passwd

每一行对应一个用户的帐号记录

[root@localhost ~]# tail -2 /etc/passwd
 sabayon:x:86:86:Sabayon user:/home/sabayon:/sbin/nologin
 student:x:500:500:Student User:/home/student:/bin/bash
字段1:用户帐号的名称
  字段2:用户密码字串或者密码占位符“x”
  字段3:用户帐号的UID号
  字段4:所属基本组帐号的GID号
  字段5:用户全名
  字段6:宿主目录
  字段7:登录Shell信息

用户账号文件——shadow

用于保存密码字串、密码有效期等信息

文件位置:/etc/shadow

每一行对应一个用户的密码记录

[root@localhost ~]# tail -2 /etc/shadow
 sabayon:!!:15495:0:99999:7:::
 student:$1$po/zD0XK$4HSh/Aeae/eJ6dNj1k7Oz1:15495:0:99999:7:::
字段1:用户帐号的名称
  字段2:加密的密码字串信息
  字段3:上次修改密码的时间(距离1970.1.1)
  字段4:密码的最短有效天数,默认值为0
  字段5:密码的最长有效天数,默认值为99999
  字段6:提前多少天警告用户口令将过期,默认值为7
  字段7:在密码过期之后多少天禁用此用户
  字段8:帐号失效时间,默认值为空
  字段9:保留字段(未使用)

组账号文件—group、gshadow

与用户账号文件类似

/etc/group:保存组帐号基本信息 /etc/gshadow:保存组帐号的密码信息

[root@localhost ~]# grep "adm" /etc/group
 sys:x:3:root,bin,adm
 adm:x:4:root,adm,daemon

添加用户账号

useradd命令 格式:useradd [选项]... 用户名 常用命令选项 -u:指定 UID 标记号 -g:指定用户的基本组名(或UID号) -G:指定用户的附加组名(或GID号) -s:指定用户的登录Shell

不添加任何选项,只使用用户名作为useradd命令的参数,按系统默认配置建立指定的用户帐号 
 演示添加用户的操作:
 —创建名为st02的用户帐号,并将其UID号指定为504
     [root@localhost ~]# useradd -u 504 st02
     [root@localhost ~]# tail -1 /etc/passwd
     st02:x:504:504::/home/st02:/bin/bash
 ——创建一个考试测试用的帐号exam01,指定属于users组 ,该帐号于2009-07-30失效
     [root@localhost ~]# useradd -g users -e 2009-07-30 exam01
     展示/etc/passwd、/etc/shadow文件中的变化
     说明:使用adduser命令也可以添加用户帐号,在RHEL5系统中adduser命令实际上是useradd命令的符号链接
     useradd  -s  /sbin/nologin  strlt

设置/更改用户口令

passwd命令 格式:passwd [选项]... 用户名 常用命令选项 -d:清空用户的密码,使之无需密码即可登录 -l:锁定用户帐号 -S:查看用户帐号的状态(是否被锁定) -u:解锁用户帐号

修改用户账号的属性

usermod命令 格式:usermod [选项]... 用户名 常用命令选项 -L:锁定用户账户 -U:解锁用户账户 以下选项与useradd命令中的含义相同 -u、-g、-G、-s

删除用户账号

userdel命令 格式:userdel [-r] 用户名 添加 -r 选项时,表示连用户的宿主目录一并删除

[root@localhost ~]# useradd stu01
 [root@localhost ~]# ls -ld /home/stu01/
 drwx------ 2 stu01 stu01 4096 09-09 12:38 /home/stu01/
 [root@localhost ~]# userdel -r stu01
 [root@localhost ~]# ls -ld /home/stu01/
 ls: /home/stu01/: 没有那个文件或目录

改变用户密码期限

chage命令 格式:chage [选项]... 用户帐号名 常用命令选项 -M:密码的最长有效天数 -m:密码的最短有效天数 -W:密码的警告天数 -I:密码的有效天数 -E:账号的过期时间

查看密码的有效天数:chage -l root
 chage -M 60 root   密码的最长有效天数
 chage -m 60 root   密码的最短有效天数

组管理命令

groupadd命令 格式:groupadd [-g GID] 组帐号名 组成员管理: 格式:gpasswd [选项]... 组帐号名 删除组帐号: 格式:groupdel 组帐号名

用户和组账号查询

id命令 用途:查询用户身份标识 格式:id [用户名] groups命令 用途:查询用户所属的组 格式:groups [用户名] users、w 、who命令 用途:查询已登录到主机的用户信息

主要有哪两个用户帐号文件,各有什么作用?
 如何锁定、解锁用户帐号?
 在添加用户帐号时,如何设置其失效时间?
 如何设置一个组的多个用户成员?
 
 部分答案提示:
 【1】/etc/passwd、/etc/shadow
 【2】锁定帐号:usermod  -L  用户名、passwd  -l  用户名 ; 解锁帐号: usermod  -U  用户名、passwd  -u  用户名 
 【3】useradd -e YYYY-mm-dd 用户名  或者  usermod -e YYYY-mm-dd 用户名
 【4】~/.bash_profile、~/.bashrc、~/.bash_logout
 【5】gpasswd  -M  用户1,用户2,用户3  组名

实验案例

需求描述

现雇用一组顾问从事某一项目。为每位顾问创建用户帐户,并将这些帐户掭加到作为补充组,名为consultants、组id为40000的组中。
 这些帐户应在91天后终止时过期。
 以下是顾问姓名及其相应用户名的列表,帐户的初始密码均应为default):
 sspade, bboop, dtracy
先建manager组,创建两个用户natasha,harry附属组为manager,创建第三个用户strlt不允许login 。
 建一个用户susa,指定UID号为4000
 帐户的初始密码均应为default

文件/目录的权限和归属

访问权限 读取:允许查看文件内容、显示目录列表 写入:允许修改文件内容,允许在目录中新建、移动、删除文件或子目录 可执行:允许运行程序、切换目录 归属(所有权) 属主:拥有该文件或目录的用户帐号 属组:拥有该文件或目录的组帐号

查看文件/目录的权限和归属

程序与设计_字段_03

“-rw-r—r--”部分的第一个字符表示文件类型,可以是d(目录)、b(块设备文件)、c(字符设备文件),减号“-”(普通文件)、字母“l”(链接文件)等
 其余部分指定了文件的访问权限
 在表示属主、属组内用户或其他用户对该文件的访问权限时,主要使用了四种不同的权限字符: r    可读 ;w   可写 ;x   可执行 ;-   无权限 
 r、w、x、- 权限字符还可分别表示为8进制数字4、2、1、0

设置文件/目录的权限

chmod命令

格式1:chomd [ugoa] [+-=] [rwx] 文件或目录

格式2:chmod nnn 文件或目录

常用命令选项

-R:递归修改指定目录下所有文件/子目录的权限

详细讲解两种设置文件访问权限的格式,并以实例进行演示,例如:
 —— 重新设置mymkdir文件的权限,为属主用户添加执行权限,去除其他用户的读取权限
 [root@localhost ~]# chmod u+x,o-r mymkdir
 [root@localhost ~]# ls -l mymkdir
 -rwxr----- 1 root root 29588 05-12 06:19 mymkdir
 —— 重新设置mymkdir文件的访问权限,恢复为“rwxr-xr-x”
 [root@localhost ~]# chmod 755 mymkdir
 [root@localhost ~]# ls -l mymkdir
 -rwxr-xr-x 1 root root 29588 05-12 06:19 mymkdir 
 —— 使用递归的方式将“/usr/src/”目录中所有子目录、文件的权限都设置为“rw-r--r--”
 [root@localhost ~]# chmod -R 644 /usr/src/
 
 “nnn”为需要设置的具体权限值,如“755”、“644”等

文件权限设置实例

使用chmod命令设置文件权限 查看文件权限 ls -l 增加文件属主st01的执行权限(x) chmod u+x 文件名 去除文件属组class1的写权限(w) chmod g-w 文件名 设置属主权限为读写,属组其他用户的文件权限为读 chmod u=rw,g=r,o=r 文件名

设置文件/目录的归属

chown命令 格式:chown 属主 文件或目录 chown :属组 文件或目录 chown 属主:属组 文件或目录 常用命令选项 -R:递归修改指定目录下所有文件、子目录的归属

设置文件属主和属组

chown命令用于设置文件的属主和属组
 命令格式
 chown OWNER[:[GROUP]] FILE... 
 设置文件afile的属主为用户st01
 # chown st01 afile 
 设置文件afile的属组为用户组class1
 # chown :class1 afile
 设置文件afile的属主为st03,并设置文件的属组为class2
 # chown st03:class2 afile

实验:文件/目录权限设置

根据以下要求完成对文件/目录权限的设置
 1、添加组group,添加用户aa、bb并加入group组
 2、新建文件/abc.txt
 3、设置用户aa对文件拥有读、写和执行权限
 4、设置组group内成员对文件拥有读和写权限
 5、设置除属主和属组外其他人对文件没有任何权限
 6、新建目录/abc
 7、设置用户bb对目录拥有读、写执行权限
 8、设置组group内成员对目录拥有读和执行权限
 9、设置除属主和属组外其他人对目录没有任何权限

文件ACL权限

ACL是 Access Control List 的缩写,主要的目的是在提供传统的owner,group,others的read,write,execute权限之外的细部权限设定。

ACL可以针对单一使用者,单一文件或目录来进行r,w,x的权限规范,对于需要特殊权限的使用状况非常有帮助。

ACL 主要可以针对以下方面来控制权限: 使用者 (user):可以针对使用者来设定权限; 组群 (group):针对用户组为对象来设定其权限; 预设属性 (mask):还可以针对在该目录下在建立新文件/目录时,规范新数据的预设权限

管理文件系统访问控制列表

查看: $ getfacl filename 修改 : $ setfacl -m u:username:rw filename 命令 选项 u:用户名:权限 目录名称 $ setfacl -m g:groupname:rw filename 命令 选项 u:组账号:权限 目录名称 删除 : $ setfacl -x u:username filename 命令 选项 u:用户名 目录名称

tune2fs是linux下面重要的文件系统调整工具,其中的几个选项解释如下:
 -c:表示文件系统在mount次数达到设定后,需要运行fsck检查文件系统。
 -i:文件系统的检查间隔时间。系统在达到时间间隔时,自动检查文件系统。
 -l:显示文件系统的很多参数。
 -j:转换为ext3文件系统。
 -m: Set the percentage of reserved filesystem blocks。 设置保留的空间百分比
 -o: Set or clear the indicated default mount options in the filesystem.设置默认加载参数
 通常如果使用ext3文件系统的话,使用-c 0关掉mount次数达到后的文件系统检查
 tune2fs -m 10 /dev/sda1
 tune2fs -o acl,user_xattr /dev/sda1
 tune2fs -i 0 -c0 /dev/sda1
 
 显示当前的磁盘状态(dumpe2fs)
 [root@tonykorn97 /]# dumpe2fs /dev/sda1

使用附加权限

SET位权限 主要用途: 为可执行(有 x 权限的)文件设置,权限字符为“s” 其他用户执行该文件时,将拥有属主或属组用户的权限 SET位权限类型: SUID:表示对属主用户增加SET位权限 SGID:表示对属组内的用户增加SET位权限 如果SGID是设定在目录上面,则在该目录内所建立的文件或目录的所属组,将会自动成为此目录的所属组。

粘滞位权限(Sticky)

主要用途: 为公共目录(例如,权限为777的)设置,权限字符为“t” 用户不能删除该目录中其他用户的文件 应用示例:/tmp、/var/tmp

由于系统及服务程序运行的需要, Linux提供了/tmp、/var/tmp等临时目录,允许任意用户、程序写入数据
 然而试想一下,若任意一个普通用户都能够删除系统服务运行中使用的临时文件,将造成什么后果?
 设置粘滞位以后,正好可以保持一种动态的平衡:允许各用户在目录中任意写入、删除数据,但是禁止随意删除其他用户的数据 
 
 实验
 
 SUID
 第一步切换普通用户qq
 第二步vim /etc/shadow
 第三步查看vim的位置 which vim
 第四步:chmod u+s /usr/bin/vim
 第五步:ls -l /usr/bin/vim
 第六步:su - qq
 第七步:vim /etc/shadow
 
 SGID
 groupadd aa
 useradd -G aa bb
 mkdir /cc
 chown :aa  /cc
 chmod 777 /cc
 su - bb
 cd /cc
 touch a.txt
 su - root
 chmod  g+s  /cc
 su - bb
 cd /cc
 touch aa.txt
 ls -l

设置SET位、粘滞位权限 使用权限字符 chmod ug±s 可执行文件... chmod o±t 目录名... 使用权限数字: chmod mnnn 可执行文件... m为4时,对应SUID,2对应SGID,1对应粘滞位,可叠加

SET位标记字符为“s”,若使用8进制数字形式,则SUID对应为“4”、SGID对应为“2”
 在权限模式中可采用“nnnn”的形式时,如“4755”表示设置SUID权限、“6755”表示同时设置SUID、SGID权限
 以为 /bin/touch 命令设置SUID权限为例进行演示,普通用户使用该命令创建测试文件,比较新建文件的属主变化
 注意:为普通文件(无执行权限的)设置SET位权限从语法上虽然也可行,但没有实际意义(标记字符将变为大写字母“S”)
 通过实例操作演示,展示粘滞位的作用,例如:由普通用户1在 /tmp 目录中尝试删除 普通用户2的文件,对比是否设置粘滞位的区别
 注意:为普通文件或者用户本没有写入权限的目录设置粘滞位语法上也是可行的,但没有实际意义(标记字符将变为大写字母“T”)
 which vim
 chmod  u+s /usr/bin/vim

实验案例:用户和文件权限管理

需求描述 将/etc/fstab 复制到/var/tmp/fstab ,设置harry可以读写,natasha不能做任何操作,其他用户可读,设置manager组为fstab 所属组 设置用户natasha对目录/home/cnrts(创建)有完全控制权限,在目录中创建的文件自动继承组的权限,设置manager组用户对目录有读写执行权行,其他人没有权限,(root除外)

cp /etc/fstab /var/tmp/fstab
 ls -l /var/tmp/fstab (查看一下目录的信息)
 chown:manager /var/tmp/fstab

查看网络接口信息

使用命令查看网络信息
  
查看网络接口信息 
    Ifconfig
  
测试网络连接状态
    ping
  
查看网关地址
    route
  
查看主机名称信息 
    hostname
  
查看DNS服务器
    nslookup

网络的基本配置

通过修改配置文件配置网络信息(需要重启网络服务使配置生效,配置会永久有效) 网络配置工具: 图形界面:NetworkManager服务 命令界面:nmcli 重启网络服务: systemctl restart NetworkManager nmcil connection down/up ip地址

网卡配置文件 存放位置:/etc/sysconfig/network-scripts/ 命名格式:ifcfg-0 主机名称配置文件 /etc/sysconfig/network 停止或启动指定网络接口 nmcli connection down ens ; nmcli connection up ens

网络接口配置文件

网络配置

使用vi编辑器编辑配置网卡文件,配置信息如下:
     IP:192.168.0.(100+X)
     子网掩码:255.255.255.0
     默认网关:192.168.0.254
     DNS:192.168.0.254
     主机名:serverX.example.com
     (注:X为编号)
 重启网卡并验证IP地址

测试与其他主机的网络连接路径

域名查询

nslookup命令可进行域名的查询

域名服务器配置文件

系统使用的DNS服务器的ip地址保存在“resolv.conf”文件中

nameserver配置项用于设置系统使用的DNS服务器地址
 DNS服务器的ip地址

设置主机名称

本地主机名称解析文件

本机名称配置文件

查看和修改网络配置

查看ip地址和子网掩码: ip addr(ifconfig) /etc/sysconfig/network-scripts/ifcfg-eth0 查看路由和默认网关:ip route(route) /etc/sysconfig/network-scripts/ifcfg-eth0 查看系统主机名:hostname /etc/sysconfig/network 查看DNS服务器地址:nslookup(host) /etc/resolv.conf

防火墙的配置

什么是防火墙

防火墙——是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。 它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全策略控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻ji能力。 在逻辑上,防火墙是一个分离器、限制器和分析器,它能有效地监控内部网和Internet之间的任何活动,保证了内部网络的安全。

使用web控制台配置防火墙服务

使用web控制台来配置防火墙服务,请单击“重用我的密码以执行特权任务”选项以特权权限进行登录。允许用户以sudo权限进行修改防火墙服务的命令
单击右侧导航菜单中的Networking选项,以显示主网络页面中的Firewall部分,单击Firewall链接,以访问允许的服务列表
允许的服务列表是指防火墙当前允许的那些服务,单击服务名称左侧的箭头(>)可查看服务详细信息,要添加服务,请单击Firewall Allowed Services页面右上角的Add Services... 按钮

使用web控制台配置防火墙

选择服务,在Filter Services 文本框中输入选择内容,以http为例,搜索文本框中输入字符串http,以查找包含http的服务,即web相关服务。允许这些服务通过防火墙

从命令行配置防火墙

firewall-cmd命令将会与firewalld动态防火墙管理器进行交互。他是作为主firewalld软件包的一不部分安装的,可用于倾向使用命令行的管理员,在没有图形环境的系统上工作,或编写有关防火墙设置的脚本

使用命令行配置防火墙

[root@host ~]# firewall-cmd --set-default-znotallow=dmz
 Warning: ZONE_ALREADY_SET: dmz
 success
 [root@host ~]# firewall-cmd --permanent --znotallow=internal --add-source=192.168.0.0/24
 success
 [root@host ~]# firewall-cmd --permanent --znotallow=internal --add-service=mysql
 success
 [root@host ~]# firewall-cmd --reload 
 success

管理SELINUX安全性

什么是SElinux

SELinux(Security-Enhanced Linux) 是一个额外的系统安全层。SElinux的主要目标是防止已遭泄露的系统服务访问用户数据。大多数linux管理员都熟悉标准的用户/组/其他权限安全模型。这种基于用户和组的模型为自由决定的访问控制。SElinux提供另一层安全,它基于对象并由更加复杂的规则控制,称为强制访问控制

为什么使用SELinux

SElinux实施了一组可以防止一个应用程序的弱点影响其他应用或基础系统的访问规则。
SElinux有三种模式:
强制:SElinux强制执行访问控制规则,计算机通常在该模式下运行。
许可:SElinux处于活动状态,但并不强制执行控制规则,而是记录违反规则的警告。该模式主要用于测试和故障排除。
禁用:SElinux完全关闭-不拒绝任何SElinux违规,甚至不予记录

SElinux上下文修改

SElinux是用于确定哪个进程可以访问哪些文件、目录和端口的一组安全规则。每个文件、进程、目录和端口都具有专门的安全标签,称为SElinux上下文。上下文是一个名称,SElinux策略使用它来确定某个进程能否访问文件、目录和端口。
SElinux标签具有多种上下文:用户、角色、类型和敏感度

程序与设计_用户名_04

实验

更改当前selinux模式

[root@host ~]# getenforce 
Enforcing
[root@host ~]# setenforce 
usage:  setenforce [ Enforcing | Permissive | 1 | 0 ]
[root@host ~]# setenforce 0
[root@host ~]# geten
getenforce  getent      
[root@host ~]# getenforce 
Permissive
[root@host ~]# setenforce Enforcing
[root@host ~]# getenforce 
Enforcing
[root@host ~]#

控制SElinux端口标记

selinux端口标记
selinux不仅仅是进行文件和进程标记,SElinux策略还严格实施网络流量。SElinux用来控制网络流量的其中一种方法是标记端口
管理SElinux端口标记
在非标准端口上运行服务,SElinux几乎肯定会拦截此流量。在这种情况下,您必须更新SElinux端口标签。在某些情况下targeted策略已经通过可以使用的类型标记了端口;
列出端口标签
要获取所有当前端口标签分配的概述,请运行semanage port -l命令。 -l选项列出当前分配:
输出示例:
[root@host ~]# semanage port -l
SELinux 端口类型                   协议       端口号
要优化搜索,使用grep命令:
[root@host ~]# semanage port -l | grep ftp
ftp_data_port_t                tcp      20
ftp_port_t                     tcp      21, 989, 990
ftp_port_t                     udp      989, 990
tftp_port_t                    udp      69
管理端口标签:
使用semanage命令可以分配新端口标签、删除端口标签或修改现有端口标签。
要向现有端口标签(类型)中添加端口,使用以下语法,-a将添加新端口标签,-t表示类型,-p表示协议。
例如:要允许gopher服务侦听端口71/TCP:
[root@host~]# semanage port -a -t gopher_port_t -p tcp 71
要查看对默认策略的本地更改,管理员可以在semanage命令中添加-c选项。
SELinux 端口类型                   协议       端口号

gopher_port_t                  tcp      71
删除端口标记
删除自定义端口标签的语法与添加端口标签的语法相同,但不是使用-a选项(表示添加),而是使用-d选项(表示删除)
例如:要删除端口71/TCP与gopher_port_t的绑定:
[root@host ~]# semanage port -d -t gopher_port_t -p tcp 71
修改端口绑定:
要更改端口绑定,请使用-m(修改)选项。这种流程比删除旧绑定并添加新绑定更高效。
例如,要将端口71/tcp从gopher_port_t修改为http_port_t,管理员可以使用如下命令:
[root@host ~]# semanage port -m -t http_port_t -p tcp 71


 

 

 

 

 

 



标签:文件,程序,用户,命令,设计,权限,root,目录
From: https://blog.51cto.com/u_15964895/6315590

相关文章

  • #yyds干货盘点# LeetCode程序员面试金典:最大间距
    1.简述:给定一个无序的数组 nums,返回数组在排序之后,相邻元素之间最大的差值。如果数组元素个数小于2,则返回0。您必须编写一个在「线性时间」内运行并使用「线性额外空间」的算法。 示例 1:输入:nums=[3,6,9,1]输出:3解释:排序后的数组是[1,3,6,9],其中相邻元素(3,6)......
  • boot-admin 项目数据库缺省字段设计之最佳实践
    数据库(Database)中的缺省字段(也称为默认字段),就是在一般情况下,每个数据表(Table)必须包含的字段(Field),这类字段用于满足特定的数据需求,字段值的填充或更改一般遵照一定的逻辑要求。缺省字段的设计应该考虑到数据的完整性和一致性,以确保数据的正确与可靠,设计合理的表字段对于数据的有效......
  • java基于springboot+vue的漫画网站管理系统,附源码+数据库+lw文档+PPT,适合毕业设计、课
    1、项目介绍考虑到实际生活中在漫画网站方面的需要以及对该系统认真的分析,将系统权限按管理员和用户这两类涉及用户划分。(a)管理员;管理员使用本系统涉到的功能主要有:首页、个人中心、用户管理、漫画分类管理、漫画投稿管理、分类管理、排行榜管理、交流论坛、系统管理等功能......
  • 编程打卡:面向对象程序设计测试
    ``gopackagemainimport"bufio"import"flag"import"fmt"import"io"import"os"import"strconv"varinfile*string=flag.String("i","unsorted.dat","Filecontains......
  • 场景设计
    一、库存扣减逻辑1)依赖缓存不依赖数据库,因为缓存能抗更高的tps。纯redis实现可能带来的问题:a、如果redis实际扣减成功了,但是redisclient接口返回失败。可能导致库存的浪费。怎么解决?可以加入库存数据库,每次更新完redis后也更新数据库。然后写一个对账程序,通过对比redis和数据库......
  • 本机tomcat部署程序,局域网内部可以访问吗
    同一个局域网内可以如果另一台电脑与Tomcat所在的电脑,在同个局域网内,那么可以通过IP+端口号来访问。不在同个局域网内,需要做内网穿透如果不在同个局域网内,那可以先用花生壳,cpolar等将网站映射到公网上,会生成相应的公网URL地址,另一台电脑访问这个公网地址,就可以访问到内网网站。......
  • 小程序提示没有找到可以构建的NPM包解决方法
    小程序提示没有找到可以构建的NPM包解决方法 微信小程序开发者工具提示没有找到可以构建的NPM包或者提示XXXX/XXXX/XXXX.json文件内容错误,请确认需要参与构建的npm在miniprogramroot目录,如果没有请按照一下方法进行解决,本内容适用于大多数错误。安装node.js环境......
  • 关于STM32Cube_FW_F1_V1.8.0内的example顶层程序设计逻辑 与 RTC_Calendar增补
     Examples内程序结构STM32Cube_FW_F1_V1.8.0\Projects\STM3210E_EVAL\Examples内程序结构分析如下:使用外设XXX向工程添加 stm32f10x_XXX.c修改stm32f10x_conf.h 在stm32f1xx_hal_msp.c中写 外设XXX写初始化程序在stm32f1xx_it.c中写中断服务程序在main.c中写配置程......
  • 以圆类Circle为基础设计球类Sphere
    以点类Point为基类公有派生圆类Circle,并以圆类Circle为基类公有派生球类Sphere,main(void)函数完成对其的测试。Point类结构说明:Point类的数据成员包括:①私有数据成员:X坐标x(double型),Y坐标y(double型)。Point类成员函数包括:①有参构造函数Point(double,double)和拷贝构造函......
  • 要想工作流程更简便,试试开源web表单设计器
    繁杂的工作流程,让您头疼不已?传统的表单制作效率低?内部数据迟迟得不到有效管理?......作为职场人的你,是否经常遇到上述问题。别着急,在如今的快节奏发展时代,传统的表单制作已经满足不了行业和市场的需求了,想要提质增效,不妨试试开源web表单设计器,说不定,它的灵活、简便、易操作优势特点......