系統管理高階使用者管理

關於使用者管理的一些東西，似乎比較雜亂，這裡就寫一些使用者管理中涉及的一些檔案的修改。

1.控制使用者的登入地點

檔案/etc/secruity/access.conf可控制使用者登入地點，為了使用access.conf，必須在檔案/etc/pam.d/login中加入下面行：

account required /lib/security/pam-access.so

access.conf檔案的格式：

permission : users : origins

其中：

permission：可以是「＋」或「－」，表示允許或拒絕。

user：可以是使用者名稱、使用者組名，如果是all則表示所有使用者。

origins：登入地點。local表示本地，all表示所有地點，console表示控制台。另外，origins也可以是某一網路。

後面兩個域中加上 except是「除了」的意思。例如：除了使用者wheel、shutdown、sync禁止所有的控制台登入：

－:all except wheel shutdown sync:console

root賬戶的登入地點不在access.conf檔案中控制，而是由/etc/securetty檔案控制。如果要讓root能從pts/0登入，就在這個檔案中新增一行，內容是0就行，要從pts/1以此類推。或者修改/etc/pam.d/login,把

auth required /lib/security/pam_securetty.so

注釋掉也可以允許root遠端登入。

2. 為普通使用者分配特權

有時候我們不想讓乙個使用者有超級使用者許可權，又想該使用者能執行一些超級使用者才能執行的命令。我們可以指定某個列入/etc/sudoers檔案的普通使用者可以利用sudo來執行一些只有超級使用者才能執行的命令。

/etc/sudoers的配置規則如下：

host_alias：用來建立主機別名[可選]，列表中的主機必須用逗號隔開，如果要設定多個別名，可以用冒號隔開,保留關鍵字all代表所有主機。例如：

host_alias bluesun=grind,glass

這裡用別名bluesun來統稱grind和glass兩台機器，grind和glass分別是這兩台機器的機器名。

user_alias：用來建立使用者別名[可選]，列表中的使用者名稱必須以逗號隔開。其格式同主機別名，保留關鍵字all代表所有命令。

cmnd_alias：用來建立命令別名[可選]，列表中的命令必須用逗號隔開,如果要定義乙個命令無效，可以在該命令前加!號。

使用者命令使用列表：使用者命令使用語法如下：

username host= [run user』s name ] ***mandlist

username指定乙個真正的使用者名稱或定義過的別名，host制定乙個真正的主機名或者定義過的主機別名。***mandlist可以是以逗號分隔的命令列表，也可以是乙個已經定義過的別名。一般情況下，sudo執行的所有命令都是以root身份執行。但是一些特別的程式，比如一些需要安全性比較高的程式不能用root身份執行的，可以指定用」run user』s name」指向的使用者名稱來執行。例如：

grind glass=/sbin/route

這一句說明使用者grind可以在glass這台主機上執行檢視路由表命令。

3. 初始化環境：/etc/skel

當建立乙個新使用者時,如果沒有指定使用者目錄，系統就為其建立乙個登入目錄,這個登入目錄就是用/etc/skel為模板，所有的檔案都和/etc/skel中的檔案相同。系統管理員能夠在/etc/skel中建立檔案，這些檔案可以為使用者提供乙個很好的預設環境。例如，他可以建立乙個/etc/skel/.profile檔案，定義使用者登入後的一些屬性的設定。但是如果對/etc/skel這個資料夾進行改動後，肯定會導致改動前建立的使用者和改動後建立的使用者的一些檔案不一樣，所以只要可能，盡量將全域性配置放入全域性檔案中，比如/etc/profile，以實現系統使用者一些設定的統一。/etc/skel的存在的意義很多，比如一台專門開虛擬主機的伺服器上面就可以只在/etc/skel中放乙個index.html,讓每個新加的使用者不會有系統安裝時預設的那些.bashrc等檔案，又可以確保未放置主頁的使用者的頁面的統一。

4. 檔案目錄的許可權

linux下，每乙個檔案、每乙個目錄都有乙個屬主，並對使用者自己、使用者所在組、其它所有帳號分別定義了讀、寫、執行三種許可權。當使用者grind建立乙個新檔案時test時，我們可以用ls –l filename看這個檔案的屬性如下：

-rw-rw-r--1 grindlinuxlab0 may 10 19:36 test

和檔案許可權有關的分別是：第一部分表示檔案許可權屬性，第三部分表示檔案屬主，第四部分檔案所屬組。

檔案許可權屬性總共十位字元「-rw-rw-r--」，第一位是檔案屬性區分標誌，如果是d的話，表示這是乙個目錄，是l的話表示是連線檔案，-表示是普通檔案，b指塊裝置檔案，c指字元檔案裝置。第二到四位分別表示檔案屬主的讀（r：read）、寫（w:write）、執行（x:execute）屬性，第五到七位是檔案所屬組的讀、寫、執行許可權，第八到第十位則是其它使用者的讀、寫、執行許可權。如果對應的位是相應的字母，就是有這相應許可權，否則為「-」，表示沒有獲得這個許可。具有了寫許可權，同時也就具有對檔案修改和刪除的許可權。如果對目錄有寫許可權，則可以建立、刪除或修改該目錄下的任何檔案或子目錄，甚至在該檔案和子目錄並不屬於你的情況下都可以刪除。必須同時擁有讀和執行許可權才可以使用ls這樣的程式列出目錄內容清單。對目錄有唯讀許可的使用者，還必須同時有執行許可才能用cd命令進入該目錄，只對目錄有執行許可權的使用者，想訪問該目錄下的檔案有讀許可權的檔案，必須知道該檔名才可以訪問。上面列舉的檔案就是屬主可讀寫，本組可讀寫，其它使用者可讀，所有的使用者（包括自己）都不能執行它。

我們的用u、g、o分別來指代屬主（user）、組（group）、其它帳戶（other），就可以方便的設定檔案和目錄的許可權了。當然，我們也可以用a來表示所有的這三項。例如，我們要對上面的test檔案設定許可權，對所有使用者都可以讀和執行，檔案屬主還允許寫許可，那麼我們可以使用如下命令：

chmod a+rx,u+w test

我們知道，在ls -l的輸出中，檔案許可權表示為「-rw-rw-r--」，前一位只和是否為目錄有關，其它九位正好可以分成三段，每段三位，「rw-」、「rw-」和「r--」,「-」代表無效「0」，其它字元代表有效「1」，那麼這個檔案的許可權就是「110」、「110」、「100」，把這個2進製串轉換成對應的8進製數就是6、6、4，也就是說該檔案的許可權為664（三位八進位制數）。我們也可以使用類似這種三位八進位制數來設定檔案授權，如上邊兩個例子，就也可以寫為：

chmod 755test

當然，使用者建立乙個檔案的時候，預設的許可權屬性是可以自己定義的，可以執行umask來實現預設許可權，如執行了umask 022,就把相應的許可權給遮蔽了，2就是寫許可權位，這樣建立了檔案預設許可權屬性就是除了檔案屬主以外的人都不能改寫檔案，確保了檔案的安全性。

系統管理高階使用者管理

Linux 系統管理使用者

Linux系統管理使用者

SAP BASIS系統管理

系統管理高階 使用者管理

Linux 系統管理使用者

Linux系統管理使用者

SAP BASIS系統管理

相關推薦

系統管理高階使用者管理