用户身份与文件的权限(普通权限、特殊权限、隐藏权限和文件控制列表ACL)
用戶身份
? ? ? ??root用戶是存在于所有類UNIX操作系統(tǒng)中的超級用戶,它擁有最高的系統(tǒng)所有權(quán)。root用戶的用戶身份號碼UID為0,UID相當(dāng)于用戶的身份證號碼一樣,具有唯一性。管理員用戶(超級用戶)UID為0;系統(tǒng)用戶UID為1~999(不同的系統(tǒng)不一樣),Linux系統(tǒng)為了避免因某個服務(wù)程序出現(xiàn)漏洞而被黑客提權(quán)至整個服務(wù)器,默認(rèn)服務(wù)會有獨立的系統(tǒng)用戶負(fù)責(zé)運行,進(jìn)而有效控制被破壞的范圍(windows是單用戶操作系統(tǒng),一旦該用戶被入侵,則有權(quán)限對整個環(huán)境進(jìn)行操作),系統(tǒng)用戶只是用來管理某一項具體的服務(wù),因此不需要登陸該系統(tǒng)服務(wù)器中,其終端解釋器為/sbin/nologin,因此該用戶被入侵時,并不能提權(quán)至整臺服務(wù)器;普通用戶的UID從1000開始(即使前面有閑置的號碼),是由管理員創(chuàng)建的日常工作的用戶。
? ? ? ? 用戶組分為基本用戶組(-g)和擴(kuò)展用戶組(-G)。用戶組身份號碼GID可以把多個用戶加入到同一個組中,從而方便為組中的用戶統(tǒng)一規(guī)劃權(quán)限或指定任務(wù)。創(chuàng)建每個用戶時,將自動創(chuàng)建一個與其同名的基本用戶組,而且這個基本用戶組只有該用戶一個人。如果該用戶被納入其它用戶組,則這個其它用戶組稱之為擴(kuò)展用戶組。一個用戶只能擁有一個基本用戶組,可以擁有多個擴(kuò)展用戶組。 用id命令可以查看:用戶的用戶身份號碼(用戶名);基本用戶組身份號碼(基本用戶組名);擴(kuò)展用戶組身份號碼(擴(kuò)展用戶組名)。在默認(rèn)情況下,基本用戶組名與用戶名一樣,除非自己指定。
? ? ? ? ?useradd命令 ?用于創(chuàng)建新的普通用戶,該命令創(chuàng)建的用戶目錄默認(rèn)會存放在/home目錄中,默認(rèn)的shell解釋器為/bin/bash,而且會默認(rèn)創(chuàng)建一個與其同名的基本用戶組。 ?-d 指定家目錄 ?-u指定用戶的UID ?-g指定一個基本用戶組(必須是存在的組,沒有就要創(chuàng)建) ?-G指定擴(kuò)展用戶組 ? -N不創(chuàng)建與用戶同名的基本用戶組 ?-s指定用戶的shell解釋器 ? useradd -d /home/linux -u 8888 -s /sbin/nologin linuxprobe ?創(chuàng)建了一個名為linuxprobe的用戶 ? # id linuxprobe ?輸出為:uid=8888(linuxprobe) gid=8888(linuxprobe) groups=8888(linuxprobe) ?此時用戶只有基本用戶組(名字為linuxprobe),沒有擴(kuò)展用戶組 ? ?
? ? ? ? ?groupadd命令 ?用于創(chuàng)建組(基本或者擴(kuò)展) ? ?groupadd zsx ? ? 創(chuàng)建一個名為zsx的組
? ? ? ? ?usermod命令 ?修改用戶的屬性 ?用戶的信息保存在/etc/passwd文件中,可以直接用文本編輯器來修改其中的用戶參數(shù)項目,也可以用usermod命令來修改已經(jīng)創(chuàng)建的用戶信息,如用戶的UID、基本/擴(kuò)展用戶組、默認(rèn)終端等。-g 變更基本用戶組 ? -G 變更擴(kuò)展用戶組 ? -s變更默認(rèn)終端? ?-u修改用戶的UID? ? ?usermod -G root linuxprobe 增加擴(kuò)展用戶組root, 則id查看信息為: uid = 8888 (linuxprobe)? gid=8888? (linuxprobe)? groups=8888(linuxprobe),0(root) ? 可見其擴(kuò)展用戶組名為root,擴(kuò)展用戶組身份號碼為0。這里在次變更: usermod -G zsx linuxprobe ?變?yōu)?#xff1a; ?uid=8888(linuxprobe)? gid= 8888 (linuxprobe)??? groups = 8888(linuxprobe) ,1001(zsx)
? ? ? ? passwd命令? ? passwd命令用于修改用戶的密碼,格式:passwd ?用戶名 ?僅僅只有passwd,則為修改自己的密碼。? ?-l 鎖定用戶,禁止其登陸 ? -u解除鎖定,允許其登陸 ? passwd -l luciusvorenus ? ?--stdin 允許通過管道符方式來設(shè)定用戶密碼 ? ? echo "zsx" | passwd --stdin luciusvorenus?
? ? ? ? userdel命令 刪除用戶 ? userdel linuxprobe 刪除該用戶,但是家目錄/home/linuxprobe會保留下來,可添加-r參數(shù),連同家目錄一起刪除 ? ?-f 強(qiáng)制刪除用戶
文件權(quán)限與歸屬
? ? ? ? -為普通文件(一般文件、文本文件);d為目錄文件;l為軟鏈接文件;b為塊設(shè)備文件;c為字符設(shè)備文件(設(shè)備文件為硬件映射形成的文件,如硬盤等);p為管道文件;s為socket文件。
? ? ? ? 文件的所有者(所屬主)、所屬組和其它用戶對該文件所擁有的可讀(r,4)、可寫(w,2)和可執(zhí)行(x,1)等權(quán)限。對目錄文件來說,可讀表示能夠讀取目錄內(nèi)的文件列表;可寫表示能夠在目錄內(nèi)新增、刪除和重命名 文件;可執(zhí)行表示能夠進(jìn)入該目錄。 文件的權(quán)限表示:rwxrw-r-- ?用數(shù)字表示則為: 764? ? ?-rwxr--r--. 1 root root 206 Sep 29 21:24 ex.sh? ? 該文件為普通文件,所屬主(所有者)為root用戶,擁有7權(quán)限;所屬組為root,擁有4權(quán)限;其他用戶擁有權(quán)限4。所屬主前面的數(shù)字1代表該文件的硬鏈接數(shù)(即實際指針的文件個數(shù),軟鏈接不算)為1個。該文件的磁盤占用大小為206個字節(jié),最后一次修改的時間為9月29日的21:24分,文件的名稱為ex.sh。
SUID特殊權(quán)限位(u+s)
? ? ? ? SUID、SGID和SBIT的特殊權(quán)限位,是一種對文件進(jìn)行設(shè)置的特殊功能,可以與一般權(quán)限同時使用,以彌補一般權(quán)限不能實現(xiàn)的功能。SUID擁有權(quán)限4,SGID擁有權(quán)限2,SBIT擁有權(quán)限1。rwsrwSrw-用數(shù)字表示為:其一般權(quán)限為rwxrw-rw-,即為766,載加上特殊權(quán)限,則為6766。第一個6為4+2。SUDI特殊權(quán)限位僅對擁有執(zhí)行權(quán)限的二進(jìn)制程序有效,即當(dāng)用戶執(zhí)行該二進(jìn)制程序時,可以臨時擁有該二進(jìn)制程序所屬主(所有者)的身份。對于/etc/passwd ?-rw-r--r--. 1 root root 1926 Sep 29 21:50 /etc/passwd? ? ?除了root管理員之外,其余所有用戶都只能讀取該文件信息,不能修改;對于/etc/shadow(保存了用戶的密碼)
----------. 1 root root 1990 Sep 29 18:48 /etc/shadow ?除了root用戶外,其余任何用戶都不能讀取、修改該文件; 對于passwd命令文件:-rwsr-xr-x. 1 root root 27832 Jan 29 ?2014 /bin/passwd ?該文件是二進(jìn)制程序文件,所有用戶都可以執(zhí)行該文件,因此任何一個用戶執(zhí)行該文件時,都會臨時獲得該文件所屬主的身份,即root身份,進(jìn)一步利用該身份可以取修改/etc/shadow和/etc/passwd文件的信息了(把變更的密碼信息寫到/etc/shadow文件中)。 rwx變?yōu)閞ws ?rw-變?yōu)閞wS ?后面一樣 rwt ?rwT
SGID特殊權(quán)限位(g+s)
? ? ? ? SGID特殊權(quán)限位實現(xiàn)兩種功能:1.讓執(zhí)行者臨時擁有屬組的權(quán)限(身份)(僅對擁有執(zhí)行權(quán)限的二進(jìn)制程序有效);2.對目錄文件進(jìn)行設(shè)置時,在該目錄文件中創(chuàng)建的文件自動繼承該目錄的用戶組(只可以對目錄設(shè)置)。對于/dev/kmem文件(早期的linux系統(tǒng)才會有):cr--r----- 1 root system 2, 1 Feb 11 2017 kmem ?該文件為字符設(shè)備文件,只有root用戶和system組內(nèi)的用戶才可以讀取該文件,其余用戶不能訪問。ps命令文件: ? ?-rwxr-sr-x. 1 bin system 100120 Feb 27 ?2014 /usr/bin/ps ?該文件為二進(jìn)制程序,當(dāng)任何一個用戶執(zhí)行該文件時,可以臨時獲得所屬組的身份(system),從而可以讀取kmem文件中的信息,獲得系統(tǒng)中所有進(jìn)程的狀態(tài)信息。利用SGID特殊權(quán)限位,可以為一個部門內(nèi)部所有用戶設(shè)置一個共享目錄,即首先將所有用戶劃分為一個組,然后設(shè)置這個目錄的用戶組就為該部門成員所在的那個組:# mkdir /tmp/haha ? ? ? drwxrwxr-x. 2 root root 6? Mar ?5 15:46 haha? 可以看出該目錄文件的用戶組為root,則root組內(nèi)的用戶都可以該目錄讀、寫和執(zhí)行。賦予該目錄SGID特殊權(quán)限位: chmod g+s /tmp/haha ? 則:drwxrwsr-x. 2 root root 6 Mar ?5 15:46 haha ?則root組內(nèi)任何一個用戶在該目錄內(nèi)部創(chuàng)建文件時,創(chuàng)建的文件的所屬組都為root,從而該文件能夠被組內(nèi)所有用戶訪問,即實現(xiàn)了組內(nèi)用戶的共享目錄。 ? 注意:在對目錄設(shè)置SGID權(quán)限之前目錄內(nèi)的所有文件的所屬組在設(shè)置SGID權(quán)限后不會發(fā)生變化。比如:chown root:bin /tmp/haha ? 此后,創(chuàng)建的文件的所屬組為bin ?之前的文件依然為root ? ?在默認(rèn)情況下,一個用戶創(chuàng)建的文件的所屬主為該用戶,所屬組為該用戶的基本用戶組。一個用戶的基本用戶組只有該用戶一個成員,且默認(rèn)情況下組名與用戶名相同。 ?當(dāng)創(chuàng)建或傳送一個文件,這個文件的所屬主就為執(zhí)行這個操作的用戶。
chmod和chown命令
? ? ? ? chmod命令用于設(shè)置一個文件的權(quán)限位,包括一般權(quán)限和特殊權(quán)限。對于文件zs,所有者可讀可寫可執(zhí)行,對于所屬組可讀可寫,對于其它用戶沒有任何權(quán)限,即rwxrw----,其對應(yīng)的數(shù)字為760,則:chmod 760 zs ?要設(shè)置為:rwsrw----,則: chmod 4760 zs chown命令用于設(shè)置文件的所有者和所屬組。其格式為:chown ?所有者:所屬組 文件或目錄名稱? ?chown bin:root zs ?設(shè)置zs文件的所有者為bin,所屬組為root ?
? ? ? ? SUID特殊權(quán)限位的設(shè)置: chmod ?u+s 文件名稱(僅對可執(zhí)行的二進(jìn)制程序文件有效)
? ? ? ? SGID特殊權(quán)限位的設(shè)置: chmod ?g+s 文件名稱(僅對可執(zhí)行的二進(jìn)制程序文件有效)
? ? ? ? ? ? ? ? ? ? ? ?chmod ?g+s 目錄名稱(僅對目錄文件有效)
? ? ? ? SBIT特殊權(quán)限位的設(shè)置: chmod ?o+t 目錄名稱
共性:chmod與chown命令在對目錄文件進(jìn)行操作時,加上-R參數(shù)表示遞歸操作,即對目錄內(nèi)所有的文件進(jìn)行整體操作。不加-R參數(shù),只是對目錄進(jìn)行設(shè)置。
u 代表所屬主 ?g代表所屬組 ?o代表其它用戶 a代表全部用戶, 如 chmod u+x ex.sh 表示對ex.sh文件的所屬主增加執(zhí)行權(quán)限(x)。 ?r w x s t 也可以用字母指明,可以不用數(shù)字 ? chmod +x file 和 chmod a+x file等價。
SBIT特殊權(quán)限位(o+t) ?僅對目錄設(shè)置
? ? ? ? 對于一個共享目錄,在設(shè)置了SGID特殊權(quán)限位后,該目錄及目錄內(nèi)部創(chuàng)建的所有文件的用戶組都為該部門成員。為了防止一個人的文件被其他用戶刪除,則可以設(shè)置SBIT特殊權(quán)限位。SBIT特殊權(quán)限位可以確保用戶只能刪除自己的文件,不能刪除他人的文件(root用戶除外),即只能被文件的所有者執(zhí)行刪除操作。?如RHEL7系統(tǒng)中的/tmp為一個共享目錄,默認(rèn)已經(jīng)設(shè)置好了SBIT特殊權(quán)限位:?drwxrwxrwt. 61 root root 4096 Oct ?6 22:35 /tmp? ? ?則,在該目錄中創(chuàng)建的文件只能夠被該文件的所有者和root用戶刪除,其余人都沒有權(quán)限刪除。 即使該文件的權(quán)限最大(777),且目錄允許進(jìn)行讀、寫和執(zhí)行,但還是無法刪除該文件。
? ? ? ? 另外需要注意,一個文件能否被刪除不取決于自身的權(quán)限,而取決于其所在目錄是否有寫入權(quán)限。如 /tmp/haha目錄: drwxr-sr-x. 2 root root 16 Mar ?5 16:18 haha ?可見對與該文件,只有root用戶有寫入權(quán)限,即新增、重命名和刪除目錄內(nèi)的文件,其它任何用戶都不能在該目錄內(nèi)部創(chuàng)建、刪除或者重命名文件,只能進(jìn)入該目錄和讀取該目錄內(nèi)部的文件列表。 ?chmod 775 haha ? 則:drwxrwsr-x. 2 root root 6 Mar ?5 16:43 haha ? 則此時root組內(nèi)成員增加了寫權(quán)限,而賬戶zsx為root組內(nèi)成員,此時zsx用戶可以在目錄內(nèi)部新增、重命名和刪除文件。 ? 綜上,對文件的刪除、新增和重命名并不取決于文件本身,而是取決于文件所在的目錄。? ? ?chmod o+t /tmp/zsx
文件的隱藏權(quán)限
? ? ? ? 文件被隱藏起來的權(quán)限,默認(rèn)情況下不能被用戶察覺。
? ? ? ? chattr命令用于設(shè)置(增加或刪除)文件的隱藏權(quán)限: chattr +參數(shù) filename 增加隱藏權(quán)限 ?chattr -參數(shù)? filename 刪除隱藏權(quán)限 ? ?i 無法對文件進(jìn)行修改(本身無法刪除,內(nèi)容無法修改),對于目錄文件,僅能修改其中的子文件內(nèi)容,不能新建或刪除文件。 ?a 僅允許補充(追加)內(nèi)容,不能覆蓋/刪除內(nèi)容,也不能刪除該文件或?qū)ξ募孛?? ? chattr +a zs 此時zs文件所在的目錄即使開放了用戶可以刪除文件的權(quán)限,但是該文件依然不能刪除,因為設(shè)置了隱藏權(quán)限。 移出: chattr -a zs? ? ? lsattr filename 用于查看文件的隱藏權(quán)限 ?ls命令是無法查看文件的隱藏權(quán)限的。
文件訪問控制列表ACL
? ? ? ? 用于對某個指定的用戶(u)或用戶組(g)進(jìn)行單獨的權(quán)限設(shè)置,基于普通文件或者目錄文件設(shè)置ACL其實就是針對指定的用戶或用戶組設(shè)置文件或目錄的操作權(quán)限。如果針對目錄設(shè)置了ACL且采用了-R參數(shù),則目錄中的文件會繼承其ACL;若針對文件設(shè)置了ACL,則文件不再繼承其所在目錄的ACL。
? ? ? ? setfacl命令 用于設(shè)置文件的ACL(文件訪問控制列表),對于普通文件采用-m參數(shù)即可;對于目錄文件若采用-m參數(shù),則僅僅只是對目錄文件進(jìn)行ACL的設(shè)置,對目錄內(nèi)的其余文件沒有影響(注意,必須清晰目錄權(quán)限與目錄內(nèi)部文件的權(quán)限之間的區(qū)別與聯(lián)系,嚴(yán)格遵守),若采用-Rm參數(shù),則對目錄和目錄內(nèi)部所有文件都設(shè)置ACL,即對于某個特定的用戶或用戶組有哪些權(quán)限,如果目錄內(nèi)部已經(jīng)有文件設(shè)置了ACL,則該文件不再繼承目錄的ACL。setfacl -b filename 用于刪除對文件已經(jīng)設(shè)置好了的ACL。下面示例:
setfacl -m u:zsx:rx /root?
setfacl -Rm u:zsx:rwx /root/work/ ? ? ?對/root/work目錄設(shè)置ACL u指定用戶 g指定用戶組?
getfacl guess.sh ? ? ? ? guess.h文件是該目錄內(nèi)部的文件,可見該文件繼承了目錄的ACL
# file: guess.sh ? 文件名
# owner: root ? ? 所屬主
# group: root ? ?所屬組
user::rw- ? ?
user:zsx:rwx
group::r--
mask::rwx ? 有效權(quán)限
other::r--
注意:zsx用戶要能進(jìn)入到/root/work目錄,還必須對/root目錄也要設(shè)置ACL(上面第一條),若只是
對/root/work目錄進(jìn)行設(shè)置,仍然進(jìn)入不了該目錄。
getfacl /root/
# file: root/
# owner: root
# group: root
user::r-x
user:zsx:r-x
group::r-x
mask::r-x ??
other::---
getfacl /root/Desktop/
# file: root/Desktop/
# owner: root
# group: root
user::rwx
group::r-x
other::r-x ? 可見目錄Desktop/并沒有繼承目錄/root的ACL,因為上面沒有使用-R參數(shù)
setfacl -b /root/
getfacl /root/
# file: root/
# owner: root
# group: root
user::r-x
group::r-x
other::--- ? 可見已經(jīng)刪除了ACL
setfacl -m g:wheel:rwx work/ ? 針對wheel用戶組設(shè)置權(quán)限
getfacl work/
# file: work/
# owner: root
# group: root
user::rwx
group::r-x
group:wheel:rwx
mask::rwx
other::r-x
? ? getfacl命令 可以查看文件的所屬主、所屬組、各種權(quán)限和ACL權(quán)限。如查看/root目錄:
getfacl /root/
# file: root/
# owner: root
# group: root
user::r-x ?所屬主權(quán)限
group::r-x ?所屬組權(quán)限
other::--- ? 其它用戶權(quán)限
如查看/root/work/:
getfacl work/
# file: work/
# owner: root
# group: root
user::rwx
group::r-x
group:wheel:rwx?
mask::rwx ? ?有效權(quán)限 ?
other::r-x
dr-xr-x---+ 17 root root 4096 Mar ?5 15:12 /root 采用ls命令可以查看文件是否設(shè)置了ACL,.號會變?yōu)?#43;號。但是這也不是絕對的,如果文件的ACL是繼承了目錄的,那么用ls命令查看其屬性依然為.號,因此查看一個文件是否設(shè)置ACL,最準(zhǔn)確的方法是使用getfacl命令。注意:某個用戶或用戶組的權(quán)限并不是只根據(jù)ACL配置來決定的,它是由該用戶或用戶組基本權(quán)限與配置的ACL權(quán)
限的“與”運算決定的,即other:r-x 與 wheel:rwx = wheel:r-x ?即實質(zhì)上wheel組內(nèi)的用戶對該目錄(上面的/root/work/目錄)只有讀和執(zhí)行權(quán)限。對于有效權(quán)限mask:用戶或組所設(shè)置的權(quán)限必須要存在于mask的權(quán)限設(shè)置范圍內(nèi)才會生效,否則無效。設(shè)置mask
的方法: setfacl -m m:w ?filenanme ?即設(shè)置文件filename的有效權(quán)限mask為w(寫)。
su命令與sudo服務(wù)(visudo)
? ? ? ? su命令可以解決切換用戶身份的要求。 su與su -是有區(qū)別的,前者只是切換了身份,但Shell環(huán)境仍然是原來用戶的Shell(環(huán)境不變);而后者連用戶和Shell環(huán)境一起切換成新用戶身份了。只有切換了Shell環(huán)境才不會出現(xiàn)PATH環(huán)境變量錯誤。
? ? ? ? sudo命令可以把特定命令的執(zhí)行權(quán)限賦予給指定用戶,這樣既可以保證普通用戶完成特定的工作,又可以避免密碼的泄漏。sudo服務(wù)的配置原則:在保證普通用戶完成工作的前提下,應(yīng)當(dāng)盡量少賦予額外的權(quán)限。格式:sudo ?命令名稱 ?
? ? ? ? sudo命令具有如下功能:限制用戶執(zhí)行指定的命令;記錄用戶執(zhí)行的每一條命令;配置文件/etc/sudoers提供集中的用戶管理、權(quán)限與主機(jī)等參數(shù);驗證密碼的后5分鐘內(nèi)(默認(rèn)值)無需再讓用戶再次驗證密碼。
? ? ? ? 對于/etc/sudoers文件:-r--r-----. 1 root root 4000 Jan 15 ?2014 /etc/sudoers ?可以看出,只有只有管理員用戶才可以對該配置文件進(jìn)行修改,管理員和root組用戶可以對該文件查看。 ? ? ? ?sudo命令文件:---s--x--x. 1 root root 130712 Feb 26 ?2014 /usr/bin/sudo 該文件具有SUID特殊權(quán)限位,即任何用戶利用sudo命令都可以臨時獲得root管理員的身份,從而可以讀取和修改配置文件/etc/sudoers。如果擔(dān)心直接修改配置文件/etc/sudoers會出現(xiàn)問題,也可以使用sudo命令提供的visudo命令來配置用戶權(quán)
限,該命令在配置用戶權(quán)限時將禁止多個用戶同時修改sudoers配置文件,還可以對配置文件內(nèi)參數(shù)進(jìn)行語法檢查,并在發(fā)現(xiàn)參數(shù)錯誤時進(jìn)行報錯。只有root管理員才可以使用visudo命令編輯sudo服務(wù)的配置文件。visudo命令配置sudo命令的配置文件/etc/sudoers時,其操作方法與Vim編輯器中用到的方法相同。綜上,sudo命令文件的服務(wù)配置文件為/etc/sudoers,可以直接進(jìn)行編輯,也可以使用visudo命令進(jìn)入編輯。
? ? sudo -h 列出幫助信息 ? ?sudo -l列出當(dāng)前用戶可以執(zhí)行的命令? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??? ? ?? # visudo
? ? (大約第99行:)
? ? root ? ? ? ? ? ? ? ALL=(ALL) ? ? ? ? ALL ? ? ? //可以再下面接著添加(配置)某個用戶的限制命令
誰可以使用 ?允許使用的主機(jī)=(以誰的身份) 可以執(zhí)行的命令(必須用絕對路徑)
? ?luciusvorenus ? ? ?ALL=(ALL) ? ? ? /usr/bin/ls? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 允許使用的主機(jī): 外部網(wǎng)絡(luò)或者內(nèi)部網(wǎng)絡(luò)登陸進(jìn)入系統(tǒng),當(dāng)采用ALL時,無論是本地還是遠(yuǎn)程登陸的主機(jī)都可以允許使用規(guī)定的服務(wù)。
以誰的身份:ALL代表可以以任何用戶的身份,相當(dāng)于root。 (ALL)=(root)
如果有多個命令,則命令之間用逗號進(jìn)行間隔。在進(jìn)行了以上配置以后,luciusvorenus用戶使用:sudo ls命令就相當(dāng)于root用戶使用ls命令了,可以查看/root目錄內(nèi)的內(nèi)容等(初次使用sudo需要luciusvorenus用戶的密碼,默認(rèn)時間為5分鐘,5分鐘內(nèi)無需再讓用戶再次驗證密碼),如下:
# ls /root
ls: cannot open directory /root: Permission denied
# sudo ls /root
[sudo] password for luciusvorenus:?
anaconda-ks.cfg ?Desktop ?Documents ?Downloads?? ?gongxiang ?initial-setup-ks.cfg ?Music?? ?Pictures ?
Public ?Templates ?Videos ?work? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 為了避免用戶在輸入 sudo 命令 時頻繁的驗證用戶的密碼,可以將上面那一行內(nèi)容改為如下內(nèi)容:
luciusvorenus ? ? ?ALL=(ALL) ? ?NOPASSWD: ? ?/usr/bin/ls
?
總結(jié)
以上是生活随笔為你收集整理的用户身份与文件的权限(普通权限、特殊权限、隐藏权限和文件控制列表ACL)的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 英雄联盟被举报了在哪查询被谁举报的
- 下一篇: 存储结构与磁盘划分