Linux/Unix用戶權(quán)限下放-創(chuàng)新互聯(lián)

        

網(wǎng)站建設(shè)哪家好，找創(chuàng)新互聯(lián)建站！專注于網(wǎng)頁(yè)設(shè)計(jì)、網(wǎng)站建設(shè)、微信開發(fā)、小程序定制開發(fā)、集團(tuán)企業(yè)網(wǎng)站建設(shè)等服務(wù)項(xiàng)目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了德令哈免費(fèi)建站歡迎大家使用！

        一般來(lái)說(shuō)，root權(quán)限是在系統(tǒng)管理員手中，不能輕易就給了普通用戶，但是有時(shí)普通用戶想做一些高級(jí)一點(diǎn)的操作，又得麻煩系統(tǒng)管理員，比如啊，改個(gè)程序文件重啟個(gè)Apache等等。

        于是就有了root權(quán)限的下放，使得普通用戶能夠執(zhí)行root用戶才能執(zhí)行的命令。

一、有效的UID與真實(shí)的UID。

        當(dāng)系統(tǒng)管理員在shell環(huán)境中運(yùn)行passwd命令時(shí)，shell首先會(huì)創(chuàng)建另一個(gè)shell進(jìn)程。新創(chuàng)建的shell進(jìn)程映像將載入 passwd可執(zhí)行映像并覆蓋自己的映像，passwd進(jìn)程就開始運(yùn)行。當(dāng)一個(gè)進(jìn)程被創(chuàng)建之后，passwd進(jìn)程會(huì)從shell父進(jìn)程中繼承大部分的屬 性。跟今天這個(gè)話題有關(guān)的屬性主要有兩個(gè)。一是進(jìn)程真實(shí)的UID。這個(gè)屬性與程序文件有關(guān)。這個(gè)參數(shù)代表了運(yùn)行這個(gè)進(jìn)程的用戶(而非程序文件)的UID， 通常情況下這個(gè)參數(shù)保存在/etc/passwd中與用戶有關(guān)的記錄中。二是進(jìn)程有效的UID。這個(gè)參數(shù)其實(shí)就表示程序文件的所有者，即誰(shuí)能夠執(zhí)行這個(gè)命 令。通常情況下，進(jìn)程的有效UID與真實(shí)UID是相同的。但是當(dāng)非root用戶運(yùn)行passwd命令時(shí)，他們就會(huì)不同。

二、PASSWD文件的特殊性。

        在了解如何實(shí)現(xiàn)將root帳戶的權(quán)限下放給其他用戶之前，先來(lái)看一下passwd這個(gè)命令文件跟其他文件的不同。如下圖所示，系統(tǒng)管理員可以運(yùn)行圖中所示的命令，來(lái)查看passwd程序文件與其它程序文件(如vi)的不同。

[root@localhost ~]# ls -l /bin/vi /usr/bin/passwd
-rwxr-xr-x. 1 root root 910200 Jan 30  2014 /bin/vi
-rwsr-xr-x. 1 root root  27832 Jan 30  2014 /usr/bin/passwd

        對(duì)比以上兩個(gè)文件的屬性，大家會(huì)發(fā)現(xiàn)在passwd文件里的一個(gè)權(quán)限位上標(biāo)有s這個(gè)特殊的字符。這個(gè)參數(shù)就被稱為屬主身份設(shè)置位，英文簡(jiǎn)稱為 SUID，它可以用來(lái)改變一般用戶的權(quán)限模式。當(dāng)非root用戶執(zhí)行passwd更改自己帳戶的名字時(shí)，真實(shí)的UID就是這個(gè)用戶自己的UID，即運(yùn)行這 個(gè)程序的用戶。但是有效的UID則不是。有效的UID是root用戶，即這個(gè)程序文件的所有者。通常情況下，進(jìn)程或者命令的存取、運(yùn)行權(quán)限不是由真是 UID而是有有效UID決定的，故如果沒有這個(gè)s這個(gè)特殊屬主身份設(shè)置時(shí)，其他用戶將無(wú)法使用這個(gè)命令。而現(xiàn)在其他用戶也可以利用passwd命令來(lái)更改 自己的命令，可見這個(gè)屬主身份設(shè)置位可以改變一般用戶的權(quán)限模式，可以將本來(lái)只有root帳戶才能夠運(yùn)行的進(jìn)程下放給其他用戶運(yùn)行。

三、臨時(shí)權(quán)限SUID。

        將本來(lái)只有root帳戶才能夠運(yùn)行的進(jìn)程下放給其他用戶運(yùn)行，有專家就把這種權(quán)限的轉(zhuǎn)移叫做臨時(shí)權(quán)限SUID。大部分的Unix系統(tǒng)都有這么一個(gè)特 殊的權(quán)限設(shè)置模式，允許用戶更新一些敏感的系統(tǒng)文件。往往在這些文件的用戶權(quán)限組里面有一個(gè)特殊的字母s，就代表一種特殊的模式，即屬主身份設(shè)置位。利用 這種模式系統(tǒng)工程師可以讓進(jìn)程暫時(shí)擁有文件所有者的特權(quán)。因此當(dāng)一個(gè)非特權(quán)用戶執(zhí)行passwd命令時(shí)，進(jìn)城有效的UID并不是用戶真實(shí)的UID。 Passwd命令真是利用這個(gè)特性讓其他非特權(quán)用戶可以執(zhí)行這個(gè)passwd命令。Passwd命令默認(rèn)情況下系統(tǒng)就允許其他非特權(quán)用戶運(yùn)行。但是其他一 些系統(tǒng)維護(hù)命令，如網(wǎng)絡(luò)配置文件則不是。如果系統(tǒng)工程師要把網(wǎng)絡(luò)維護(hù)的工作分配給他人，就需要借鑒passwd的配置，將網(wǎng)絡(luò)配置文件的修改權(quán)限下放給其 他用戶。

四.用戶權(quán)限下放（sudo 命令權(quán)限下放）

        在CentOS/Redhat中，root權(quán)限的下放可以通過(guò)/etc/sudoers 文件來(lái)實(shí)現(xiàn)。

        我們打開這個(gè)文件。

        這個(gè)文件的開頭就寫明了這個(gè)文件的用途：

Sudoers allows particular users to run various commands as the root user, without needing the root password.

在文件的最底部給出了使用的格式。

## Allows people in group wheel to run all commands
# %wheel ALL=(ALL) ALL

## Same thing without a password
# %wheel ALL=(ALL) NOPASSWD: ALL

        這里有四個(gè)部分，第一個(gè)%wheel表示的是用戶組，第二個(gè)部分ALL是作用對(duì)象，也就是在哪個(gè)主機(jī)上有效， 第三部分是以誰(shuí)的身份來(lái)運(yùn)行，第四個(gè)部分就是要執(zhí)行的命令了。

        舉個(gè)例子：我們要允許www組的用戶擁有重啟apache的權(quán)利，我們就可以在這個(gè)文件底部添加：

%www ALL=(root) /usr/sbin/apachectl -k start

www ALL=(root) /usr/sbin/apachectl -k restart

        注意：加上%指定的是用戶組，不加%指定的是用戶。執(zhí)行命令這里一定要寫完整路徑，畢竟每個(gè)用戶的環(huán)境變量都不一樣。

        然后保存，注意一定要強(qiáng)制保存，加上嘆號(hào)。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

本文名稱：Linux/Unix用戶權(quán)限下放-創(chuàng)新互聯(lián)
轉(zhuǎn)載源于：http://www.muchs.cn/article20/depsco.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供標(biāo)簽優(yōu)化、營(yíng)銷型網(wǎng)站建設(shè)、外貿(mào)網(wǎng)站建設(shè)、定制網(wǎng)站、網(wǎng)站維護(hù)、網(wǎng)站改版

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)