日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 云知道 > >

技巧:Linux賦予普通用戶特殊權(quán)限

云知道

在Linux系統(tǒng)中,管理員往往不止一人,若每位管理員都用root身份進(jìn)行管理工作,根本無(wú)法弄清楚誰(shuí)該做什么 。所以最好的方式是:管理員創(chuàng)建一些普通用戶,分配一部分系統(tǒng)管理工作給他們 。
我們不可以使用su讓他們直接變成root,因?yàn)檫@些用戶都必須知道root的密碼,這種方法很不安全,而且也不符合我們的分工需求 。一般的做法是利用權(quán)限的設(shè)置,依工作性質(zhì)分類,讓特殊身份的用戶成為同一個(gè)工作組,并設(shè)置工作組權(quán)限 。例如:要wwwadm這位用戶負(fù)責(zé)管理網(wǎng)站數(shù)據(jù),一般Apache Web Server的進(jìn)程httpd的所有者是www,您可以設(shè)置用戶wwwadm與www為同一工作組,并設(shè)置Apache默認(rèn)存放網(wǎng)頁(yè)目錄 /usr/local/httpd/htdocs的工作組權(quán)限為可讀、可寫(xiě)、可執(zhí)行,這樣屬于此工作組的每位用戶就可以進(jìn)行網(wǎng)頁(yè)的管理了 。
但這并不是最好的解決辦法,例如管理員想授予一個(gè)普通用戶關(guān)機(jī)的權(quán)限,這時(shí)使用上述的辦法就不是很理想 。這時(shí)您也許會(huì)想,我只讓這個(gè)用戶可以以 root身份執(zhí)行shutdown命令就行了 。完全沒(méi)錯(cuò),可惜在通常的Linux系統(tǒng)中無(wú)法實(shí)現(xiàn)這一功能,不過(guò)已經(jīng)有了工具可以實(shí)現(xiàn)這樣的功能—— sudo 。
sudo通過(guò)維護(hù)一個(gè)特權(quán)到用戶名映射的數(shù)據(jù)庫(kù)將特權(quán)分配給不同的用戶,這些特權(quán)可由數(shù)據(jù)庫(kù)中所列的一些不同的命令來(lái)識(shí)別 。為了獲得某一特權(quán)項(xiàng),有資格的用戶只需簡(jiǎn)單地在命令行輸入sudo與命令名之后,按照提示再次輸入口令(用戶自己的口令,不是root用戶口令) 。例如,sudo允許普通用戶格式化磁盤(pán),但是卻沒(méi)有賦予其他的root用戶特權(quán) 。
1、sudo工具由文件/etc/sudoers進(jìn)行配置,該文件包含所有可以訪問(wèn)sudo工具的用戶列表并定義了他們的特權(quán) 。一個(gè)典型的/etc/sudoers條目如下:
代碼:
liming ALL=(ALL) ALL
這個(gè)條目使得用戶liming作為超級(jí)用戶訪問(wèn)所有應(yīng)用程序,如用戶liming需要作為超級(jí)用戶運(yùn)行命令,他只需簡(jiǎn)單地在命令前加上前綴sudo 。因此,要以root用戶的身份執(zhí)行命令format,liming可以輸入如下命令:
代碼:
# sudo /usr/sbin/useradd sam
注意:命令要寫(xiě)絕對(duì)路徑,/usr/sbin默認(rèn)不在普通用戶的搜索路徑中,或者加入此路徑:PATH=$PATH:/usr/sbin;export PATH 。另外,不同系統(tǒng)命令的路徑不盡相同,可以使用命令“whereis 命令名來(lái)查找其路徑 。
這時(shí)會(huì)顯示下面的輸出結(jié)果:
代碼:
We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these two things:
#1) Respect the privacy of others.
#2) Think before you type.
【技巧:Linux賦予普通用戶特殊權(quán)限】Password:
如果liming正確地輸入了口令,命令useradd將會(huì)以root用戶身份執(zhí)行 。
注意:配置文件/etc/sudoers必須使用命令 Visudo來(lái)編輯 。
只要把相應(yīng)的用戶名、主機(jī)名和許可的命令列表以標(biāo)準(zhǔn)的格式加入到文件/etc/sudoers,并保存就可以生效,再看一個(gè)例子 。
2、例子:管理員需要允許gem用戶在主機(jī)sun上執(zhí)行reboot和shutdown命令,在/etc/sudoers中加入:
代碼:
gem sun=/usr/sbin/reboot,/usr/sbin/shutdown
注意:命令一定要使用絕對(duì)路徑,以避免其他目錄的同名命令被執(zhí)行,從而造成安全隱患 。
然后保存退出,gem用戶想執(zhí)行reboot命令時(shí),只要在提示符下運(yùn)行下列命令:
代碼:
$ sudo /usr/sbin/reboot
輸入正確的密碼,就可以重啟服務(wù)器了 。
如果您想對(duì)一組用戶進(jìn)行定義,可以在組名前加上%,對(duì)其進(jìn)行設(shè)置,如:
代碼:
%cuug ALL=(ALL) ALL
3、另外,還可以利用別名來(lái)簡(jiǎn)化配置文件 。別名類似組的概念,有用戶別名、主機(jī)別名和命令別名 。多個(gè)用戶可以首先用一個(gè)別名來(lái)定義,然后在規(guī)定他們可以執(zhí)行什么命令的時(shí)候使用別名就可以了,這個(gè)配置對(duì)所有用戶都生效 。主機(jī)別名和命令別名也是如此 。注意使用前先要在/etc/sudoers中定義: User_Alias, Host_Alias, Cmnd_Alias項(xiàng),在其后面加入相應(yīng)的名稱,也以逗號(hào)分隔開(kāi)就可以了,舉例如下:

推薦閱讀