linux从入门到精通-从基础学起，逐步提升，探索linux奥秘（十三）–权限设置注意事项和属主属组设置sudo操作

一、linux 权限设置 特殊注意事项

1、使用root用户创建一个文件夹（/oo），权限默认，权限如下：

[root@temphost /]# pwd
/
[root@temphost /]# mkdir oo
[root@temphost /]# ll
drwxr-xr-x 2 root root 4096 10月 14 16:24 oo

2、需要在oo目录下创建文件（oo/xx.txt），需要给777权限：

[root@temphost /]# touch oo/xx.txt
[root@temphost /]# ls -l oo/
总用量 0
-rw-r–r-- 1 root root 0 10月 14 16:28 xx.txt
[root@temphost /]# chmod 777 oo/xx.txt
[root@temphost /]# ll oo/
总用量 0
-rwxrwxrwx 1 root root 0 10月 14 16:28 xx.txt

3、切换到djh用户（不是文档所有者，也不是同组用户，属于other部分）：

4、问题1：djh用户是否可以打开oo/xx.txt文件？【能打开】

5、问题2：djh用户是否可以编辑oo/xx.txt文件？【可以】

6、问题3：djh用户是否可以删除oo/xx.txt文件？【不可以，同样还不允许创建文件/文件夹、移动文件、重命名文件】

[root@temphost /]# su djh
[djh@temphost /]$ pwd
/
[djh@temphost /]$ vim oo/xx.txt
[djh@temphost /]$ rm -f oo/xx.txt
rm: 无法删除"oo/xx.txt": 权限不够
[djh@temphost /]$ cat oo/xx.txt
djh用户修改了此文件（/oo/xx.txt）

[djh@temphost /]$ touch oo/aa.txt
touch: 无法创建"oo/aa.txt": 权限不够
[djh@temphost /]$ mv oo/xx.txt /
mv: 无法将"oo/xx.txt" 移动至"/xx.txt": 权限不够

7、在Linux中，如果要删除一个文件，不是看文件有没有对应的权限，而是看文件所在的目录是否有写权限，如果有才可以删除。

[djh@temphost /]$ su root
密码：
[root@temphost /]# pwd
/
[root@temphost /]# ll oo/
总用量 4
-rwxrwxrwx 1 root root 45 10月 14 16:41 xx.txt
[root@temphost /]# chmod -R 777 oo/
[root@temphost /]# ll
总用量 106
drwxrwxrwx 2 root root 4096 10月 14 16:28 oo
[root@temphost /]# su djh
[djh@temphost /]$ pwd
/
[djh@temphost /]$ touch oo/aa.txt
[djh@temphost /]$ rm -f oo/xx.txt
[djh@temphost /]$ ll oo/
总用量 0
-rw-r–r-- 1 djh root 0 10月 14 17:00 aa.txt

二、linux属主与属组设置

属主：所属的用户（文件的主人）
属组：所属的用户组

前面的那个root就是属主
后面的那个root就是属组

这两项信息在文档创建的时候会使用创建者的信息（用户名、用户所属的主组名称）。

如果有时候去删除某个用户，则该用户对应的文档的属主和属组信息就需要去修改。

1、chown（重点）

1）作用：更改文档的所属用户

2）语法：#chown -R username 文档路径

3）案例：将刚才root用户创建的oo目录，所有者更改为djh
#chown djh oo/

[djh@temphost /]$ pwd
/
[djh@temphost /]$ chown djh oo/
chown: 正在更改"oo/" 的所有者: 不允许的操作
[djh@temphost /]$ su
密码：
[root@temphost /]# pwd
/
[root@temphost /]# chown djh oo/
[root@temphost /]# ll
drwxrwxrwx 2 djh root 4096 10月 14 17:00 oo

2、chgrp（了解）

1）作用：更改文档的所属用户组

2）语法：#chgrp -R groupname 文档的路径

3）案例：将刚才root用户创建的oo目录，所有者更改为djh，并且将所属用户组也改为djh
#chgrp djh oo/

[root@temphost /]# chgrp djh oo/
[root@temphost /]# ll
drwxrwxrwx 2 djh djh 4096 10月 14 17:00 oo

4）思考，如何通过一个命令实现既可以更改所属的用户，也可以修改所属的用户组呢？
答：可以实现的，通过chown命令
语法：#chown -R username:groupname 文档路径

5）案例：要求只使用chown指令，将oo目录的所属用户和用户组改回成root，并且包含其子目录

[root@temphost /]# ls -l /oo
总用量 0
-rw-r–r-- 1 djh root 0 10月 14 17:00 aa.txt
[root@temphost /]# pwd
/
[root@temphost /]# chown root:root oo/
[root@temphost /]# ll /oo
总用量 0
-rw-r–r-- 1 djh root 0 10月 14 17:00 aa.txt
[root@temphost /]# ll
drwxrwxrwx 2 root root 4096 10月 14 17:00 oo

三、linux扩展（1）

1、问题：

reboot、shutdown、init、halt、user管理，在普通用户身份上都是操作不了，但是有些特殊的情况下又需要有执行权限。又不可能让root用户把自己的密码告诉普通用户，这个问题该怎么解决？

2、该问题是可以被解决的，可以使用sudo（switch user do）命令来进行权限设置。Sudo可以让管理员（root）事先定义某些特殊命令谁可以执行。

1）默认sudo中是没有除root之外用户的规则，要想使用则先配置sudo。

2）Sudo配置文件：/etc/sudoers

a. 配置sudo文件请使用“#visudo”，打开之后其使用方法和vim一致

b. 配置普通用户的权限

3）Root表示用户名，如果是用户组，则可以写成“%组名”

ALL：表示允许登录的主机（地址白名单）
(ALL)：表示以谁的身份执行，ALL表示root身份
ALL：表示当前用户可以执行的命令，多个命令可以使用“,”分割

3、案例：

本身djh用户不能添加用户，要求使用sudo配置，将其设置为可以添加用户，并且可以修改密码（但是不能修改root用户密码）。
#visudo

1）注意：在写sudo规则的时候不建议写直接形式的命令，而是写命令的完整路径。
路径，可以使用which命令来查看

2）语法：#which 指令名称
如：which useradd

3）如果在 visudo 中正编辑文件时，需要使用 which 指令，要么打开另一终端使用 which 指令，要么 利用 vim 自动切换命令方式，如：:!which useradd 和 :!which passwd
查询完指令完整路径后，可以复制指令完整路径，然后按回车键返回 vim 编辑模式。

4）在添加好对应的规则之后就可以切换用户，切换到普通用户djh，再去执行：

5）此时要想使用刚才的规则，则以以下命令进行：
#sudo 需要执行的指令

[root@temphost /]# su djh
[djh@temphost /]$ useradd zhangsan
bash: /usr/sbin/useradd: 权限不够
[djh@temphost /]$ sudo useradd zhangsan
[sudo] password for djh:
[djh@temphost /]$ tail -3 /etc/passwd
tcpdump❌72:72:😕:/sbin/nologin
djh❌500:500:djh:/home/djh:/bin/bash
zhangsan❌501:501::/home/zhangsan:/bin/bash

6）在输入sudo指令之后需要输入当前的用户密码进行确认的操作（不是root用户密码），输入之后在接下来5分钟内再次执行sudo指令不需要密码。

7）特别注意：此处按照案例要求，不能让djh用户修改root密码，因此规则还需要调整，不然其可以修改root密码的：

[djh@temphost /]$ sudo usermod -g 503 zhangsan
[sudo] password for djh:
对不起，用户 djh 无权以 root 的身份在 temphost 上执行 /usr/sbin/usermod -g 503 zhangsan。
[djh@temphost /]$ passwd zhangsan
passwd： 只有根用户才能指定用户名称。
[djh@temphost /]$ sudo passwd zhangsan
[sudo] password for djh:
更改用户 zhangsan 的密码 。
新的 密码：
无效的密码： 过于简单化/系统化
无效的密码： 过于简单
重新输入新的 密码：
passwd： 所有的身份验证令牌已经成功更新。
[djh@temphost /]$ sudo passwd root
更改用户 root 的密码 。
新的 密码：
无效的密码： 过短
无效的密码： 过于简单
重新输入新的 密码：
passwd： 所有的身份验证令牌已经成功更新。

8）禁止修改root密码的配置（先允许全部，再拒绝root密码设置）：
/usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd root

4、补充：在普通用户下怎么查看自己具有哪些特殊权限呢？

#sudo -l

5、温馨提示：sudo不是任何Linux分支都有的命令，常见centos与ubuntu都存在sudo命令。

6、实践练习：给普通用户设置一个关机命令执行权限。

login as: root
root@192.168.56.1’s password:
Last login: Mon Oct 14 14:13:36 2024 from 10.0.2.2
[root@temphost ~]# pwd
/root
[root@temphost ~]# su djh
[djh@temphost root]$ su root
密码：
[root@temphost ~]# visudo

#要求djh用户可以在任何主机上以root身份进行添加用户和设置密码（但是不能修改root用户密码）
102 djh ALL=(ALL) /usr/sbin/useradd,/usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd root, /sbin/reboot

[root@temphost ~]# su djh
[djh@temphost root]$ reboot

上一节关联链接请点击：

linux从入门到精通-从基础学起，逐步提升，探索linux奥秘（十二）–权限查看与设置