Linux学习(四) 用户/用户组与文件权限

  Linux是一个多用户、多任务的操作系统。本章将详细讲解文件的所有者、所属组以及其他人可对文件进行的读(r)、写(w)、执行(x)等操作,以及如何在Linux系统中添加、删除、修改用户账户信息。我们还可以使用SUID、SGID与SBIT特殊权限更加灵活地设置系统权限功能,来弥补一般操作权限时所带来的不足。

1. 用户身份与能力

  设计Linux系统的初衷之一就是为了满足多个用户同时工作的需求,因此Linux系统必须具备很好的安全性。在安装操作系统时,要求设置root管理员密码,这个root管理员就是存在于所有类UNIX系统中的超级用户。它拥有最高的系统所有权,能够管理系统的各项功能,如添加/删除用户、启动/关闭服务进程、开启/禁用硬件设备等。虽然以root管理员的身份工作时不会受到系统的限制,但俗语讲“能力越大,责任就越大”,因此一旦使用这个高能的root管理员权限执行了错误的命令可能会直接毁掉整个系统。

  Linux系统中的管理员就是root。这其实是错误的,Linux系统的管理员之所以是root,并不是因为它的名字叫root,而是因为该用户的身份号码即UID(User IDentification)的数值为0。在Linux系统中,UID就相当于我们的身份证号码一样具有唯一性,因此可通过用户的UID值来判断用户身份。在RHEL 7系统中,用户身份有下面这些。

管理员UID为0:系统的管理员用户。

系统用户UID为1~999: Linux系统为了避免因某个服务程序出现漏洞而被黑客提权至整台服务器,默认服务程序会有独立的系统用户负责运行,进而有效控制被破坏范围。

普通用户UID从1000开始:是由管理员创建的用于日常工作的用户。

  需要注意的是,UID是不能冲突的,而且管理员创建的普通用户的UID默认是从1000开始的(即使前面有闲置的号码)。

  为了方便管理属于同一组的用户,Linux系统中还引入了用户组的概念。通过使用用户组号码(GID,Group IDentification),我们可以把多个用户加入到同一个组中,从而方便为组中的用户统一规划权限或指定任务。。

  另外,在Linux系统中创建每个用户时,将自动创建一个与其同名的基本用户组,而且这个基本用户组只有该用户一个人。如果该用户以后被归纳入其他用户组,则这个其他用户组称之为扩展用户组。一个用户只有一个基本用户组,但是可以有多个扩展用户组,从而满足日常的工作需要。

1.1 useradd 命令

  useradd 命令用于创建新的用户,使用该命令创建用户账户时,默认的用户家目录会被存放在/home目录中,默认的Shell解释器为/bin/bash,而且默认会创建一个与该用户同名的基本用户组。这些默认设置可以以下参数自行修改。

命令作用
-d指定用户的家目录(默认为/home/username)
-e账户的到期时间,格式为YYYY-MM-DD.
-u指定该用户的默认UID
-g指定一个初始的用户基本组(必须已存在)
-G指定一个或多个扩展用户组
-N不创建与用户同名的基本用户组
-s指定该用户的默认Shell解释器

  下面我们创建一个普通用户并指定家目录的路径、用户的UID以及Shell解释器。在下面的命令中,请注意/sbin/nologin,它是终端解释器中的一员,与Bash解释器有着天壤之别。一旦用户的解释器被设置为nologin,则代表该用户不能登录到系统中:

[root@duke home]# useradd -d /home/duketest -u 1111 -s /sbin/nologin duke
[root@duke home]# id duke
uid=1111(duke) gid=1111(duke) 组=1111(duke)

查看用户

[root@duke home]# cat /etc/passwd | grep duke
duke:x:1111:1111::/home/duketest:/sbin/nologin

1.2 groupadd 命令

  groupadd命令用于创建用户组,为了能够更加高效地指派系统中各个用户的权限,常常会把几个用户加入到同一个组里面,这样便可以针对一类用户统一安排权限。创建用户组的步骤非常简单,例如使用如下命令创建一个用户组 dukeGroup

[root@duke home]# groupadd dukeGroup

查看系统中的用户组

[root@duke home]#  cat /etc/group

1.3 usermod 命令

  usermod命令用于修改用户的属性。Linux系统中的一切都是文件,因此在系统中创建用户也就是修改配置文件的过程。用户的信息保存在/etc/passwd文件中,可以直接用文本编辑器来修改其中的用户参数项目,也可以用usermod命令修改已经创建的用户信息,诸如用户的UID、基本/扩展用户组、默认终端等。usermod命令的参数如下所示。

参数作用
-c填写用户账户的备注信息
-d -m参数-m与参数-d连用,可重新指定用户的家目录并自动把旧的数据转移过去
-e账户的到期时间,格式为YYYY-MM-DD
-g变更所属用户组
-G变更扩展用户组
-L锁定用户禁止其登录系统
-U解锁用户,允许其登录系统
-s变更默认终端
-u修改用户的UID

大家不要被这么多参数吓坏了。我们先来看一下账户 duke 的默认信息:

[root@duke home]# id duke
uid=1111(duke) gid=1111(duke) 组=1111(duke)

  然后将用户 duke 加入到root用户组中,这样扩展组列表中则会出现root用户组的字样,而基本组不会受到影响:

[root@duke home]# usermod -G root duke
[root@duke home]# id duke
uid=1111(duke) gid=1111(duke) 组=1111(duke),0(root)

  再来试试用-u参数修改用户的UID号码值。除此之外,我们还可以用-g参数修改用户的基本组ID,用-G参数修改用户扩展组ID。

[root@duke home]# usermod -u 8888 duke
[root@duke home]# id duke
uid=8888(duke) gid=1111(duke) 组=1111(duke),0(root)

1.4 passwd 命令

  passwd命令用于修改用户密码、过期时间、认证信息等,普通用户只能使用passwd命令修改自身的系统密码,而root管理员则有权限修改其他所有人的密码。
passwd命令中的参数以及作用

参数作用
-l锁定用户,禁止其登录
-u解除锁定,允许用户登录
--stdin允许通过标准输入修改用户密码,如echo "NewPassWord"
-d使该用户可用空密码登录系统
-e强制用户在下次登录时修改密码
-S显示用户的密码是否被锁定,以及密码所采用的加密算法名称

下面演示如何修改用户自己的密码,以及如何修改其他用户的密码(修改他人密码时,需要具有root管理员权限):

# 修改当前用户的密码
[root@duke home]# passwd
更改用户 root 的密码 。
新的 密码:
重新输入新的 密码:
passwd:所有的身份验证令牌已经成功更新。


# 修改其他用户的密码
[root@duke home]# passwd duke
更改用户 duke 的密码 。
新的 密码:
重新输入新的 密码:
passwd:所有的身份验证令牌已经成功更新。

  假设您有位同事正在度假,而且假期很长,那么可以使用passwd命令禁止该用户登录系统,等假期结束回归工作岗位时,再使用该命令允许用户登录系统,而不是将其删除。这样既保证了这段时间内系统的安全,也避免了频繁添加、删除用户带来的麻烦:

[root@duke home]# passwd -l duke 
锁定用户 duke 的密码 。
passwd: 操作成功

[root@duke home]# passwd -S duke
duke LK 2020-03-01 0 99999 7 -1 (密码已被锁定。)

[root@duke home]# passwd -u duke
解锁用户 duke 的密码。
passwd: 操作成功

1.5 userdel命令

  userdel命令用于删除用户,在执行删除操作时,该用户的家目录默认会保留下来,此时可以使用-r参数将其删除。userdel命令的参数以及作用如下所示。

参数作用
-f强制删除用户
-r同时删除用户及用户家目录

下面使用userdel命令将 duke 用户删除,其操作如下:

[root@duke ~]# userdel -r duke
[root@duke ~]# id duke
id: duke: no such user

2. 文件权限与归属

  尽管在Linux系统中一切都是文件,但是每个文件的类型不尽相同,因此Linux系统使用了不同的字符来加以区分,常见的字符如下所示。

段落引用
-:普通文件。
d:目录文件。
l:链接文件。
b:块设备文件。
c:字符设备文件。
p:管道文件。

  在Linux系统中,每个文件都有所属的所有者和所有组,并且规定了文件的所有者、所有组以及其他人对文件所拥有的可读(r)、可写(w)、可执行(x)等权限。对于一般文件来说,权限比较容易理解:“可读”表示能够读取文件的实际内容;“可写”表示能够编辑、新增、修改、删除文件的实际内容;“可执行”则表示能够运行一个脚本程序。但是,对于目录文件来说,理解其权限设置来就不那么容易了。

  对目录文件来说,“可读”表示能够读取目录内的文件列表;“可写”表示能够在目录内新增、删除、重命名文件;而“可执行”则表示能够进入该目录。

  文件的读、写、执行权限可以简写为rwx,亦可分别用数字4、2、1来表示,文件所有者,所属组及其他用户权限之间无关联,如下图所示。

image.png

  文件权限的数字法表示基于字符表示(rwx)的权限计算而来。例如,若某个文件的权限为7则代表可读、可写、可执行(4+2+1);若权限为6则代表可读、可写(4+2)。我们来看这样一个例子。现在有这样一个文件,其所有者拥有可读、可写、可执行的权限,其文件所属组拥有可读、可写的权限;而且其他人只有可读的权限。那么,这个文件的权限就是rwxrw-r--,数字法表示即为764。

下面我们利用上文讲解的知识,一起分析下图所示的文件信息。

image.png

  在上图中,包含了文件的类型、访问权限、所有者(属主)、所属组(属组)、占用的磁盘大小、修改时间和文件名称等信息。通过分析可知,该文件的类型为普通文件,所有者权限为可读、可写(rw-),所属组权限为可读(r--),除此以外的其他人也只有可读权限(r--),文件的磁盘占用大小是34298字节,最近一次的修改时间为4月2日的凌晨23分,文件的名称为install.log。

3. 文件的特殊权限

  在复杂多变的生产环境中,单纯设置文件的rwx权限无法满足我们对安全和灵活性的需求,因此便有了SUID、SGID与SBIT的特殊权限位。这是一种对文件权限进行设置的特殊功能,可以与一般权限同时使用,以弥补一般权限不能实现的功能。下面具体解释这3个特殊权限位的功能以及用法。

3.1 SUID

  SUID是一种对二进制程序进行设置的特殊权限,可以让二进制程序的执行者临时拥有属主的权限(仅对拥有执行权限的二进制程序有效)。例如,所有用户都可以执行passwd命令来修改自己的用户密码,而用户密码保存在/etc/shadow文件中。仔细查看这个文件就会发现它的默认权限是000,也就是说除了root管理员以外,所有用户都没有查看或编辑该文件的权限。但是,在使用passwd命令时如果加上SUID特殊权限位,就可让普通用户临时获得程序所有者的身份,把变更的密码信息写入到shadow文件中。这很像我们在古装剧中见到的手持尚方宝剑的钦差大臣,他手持的尚方宝剑代表的是皇上的权威,因此可以惩戒贪官,但这并不意味着他永久成为了皇上。因此这只是一种有条件的、临时的特殊权限授权方法。

  查看passwd命令属性时发现所有者的权限由rwx变成了rws,其中x改变成s就意味着该文件被赋予了SUID权限。另外有读者会好奇,那么如果原本的权限是rw-呢?如果原先权限位上没有x执行权限,那么被赋予特殊权限后将变成大写的S。

[root@duke ~]# ll /etc/shadow
---------- 1 root root 624 3月   1 10:52 /etc/shadow
[root@duke ~]# ll /bin/passwd 
-rwsr-xr-x. 1 root root 27832 6月  10 2014 /bin/passwd

3.2 SGID

SGID主要实现如下两种功能:

让执行者临时拥有属组的权限(对拥有执行权限的二进制程序进行设置);
在某个目录中创建的文件自动继承该目录的用户组(只可以对目录进行设置)。

  SGID的第一种功能是参考SUID而设计的,不同点在于执行程序的用户获取的不再是文件所有者的临时权限,而是获取到文件所属组的权限。举例来说,在早期的Linux系统中,/dev/kmem是一个字符设备文件,用于存储内核程序要访问的数据,权限为:

cr--r----- 1 root system 2, 1 Feb 11 2017 kmem

  大家看出问题了吗?除了root管理员或属于system组成员外,所有用户都没有读取该文件的权限。由于在平时我们需要查看系统的进程状态,为了能够获取到进程的状态信息,可在用于查看系统进程状态的ps命令文件上增加SGID特殊权限位。查看ps命令文件的属性信息:

-r-xr-sr-x 1 bin system 59346 Feb 11 2017 ps

  这样一来,由于ps命令被增加了SGID特殊权限位,所以当用户执行该命令时,也就临时获取到了system用户组的权限,从而可以顺利地读取设备文件了。

  前文提到,每个文件都有其归属的所有者和所属组,当创建或传送一个文件后,这个文件就会自动归属于执行这个操作的用户(即该用户是文件的所有者)。如果现在需要在一个部门内设置共享目录,让部门内的所有人员都能够读取目录中的内容,那么就可以创建部门共享目录后,在该目录上设置SGID特殊权限位。这样,部门内的任何人员在里面创建的任何文件都会归属于该目录的所属组,而不再是自己的基本用户组。此时,我们用到的就是SGID的第二个功能,即在某个目录中创建的文件自动继承该目录的用户组(只可以对目录进行设置)。

[root@localhost /]# cd /tmp
[root@localhost tmp]# mkdir testdir
[root@localhost tmp]# ls -alt testdir/
drwxr-xr-x   2 root root    6 3月  10 22:02 .
[root@localhost tmp]# chmod -Rf 777 testdir/
[root@localhost tmp]# chmod -Rf g+s testdir/
[root@localhost tmp]# ls -alt testd
drwxrwsrwx   2 root root    6 3月  10 22:02 .

  在使用上述命令设置好目录的777权限(确保普通用户可以向其中写入文件),并为该目录设置了SGID特殊权限位后,就可以切换至一个普通用户,然后尝试在该目录中创建文件,并查看新创建的文件是否会继承新创建的文件所在的目录的所属组名称:

[root@localhost tmp]# su - duke
上一次登录:二 3月 10 21:58:01 CST 2020pts/0 上
[duke@localhost ~]$ cd /tmp/testdir/
[duke@localhost testdir]$ echo "test" >  text.txt
[duke@localhost testdir]$ ls -al text.txt 
-rw-rw-r-- 1 duke root 5 3月  10 22:08 text.txt

除了上面提到的SGID的这两个功能,我们再介绍两个与本小节内容相关的命令:chmodchown

  chmod 能够用来设置文件或目录的权限,如果要把一个文件的权限设置成其所有者可读可写可执行、所属组可读可写、其他人没有任何权限,则相应的字符法表示为rwxrw----,其对应的数字法表示为760。通过前面的基础学习和当前的练习实践,现在大家可以感受到使用数字法来设置文件权限的便捷性了吧。

[duke@localhost testdir]$ ls -al text.txt 
-rw-rw-r-- 1 duke root 5 3月  10 22:08 text.txt

[duke@localhost testdir]$ chmod 760 text.txt 
[duke@localhost testdir]$ ls -al text.txt 
-rwxrw---- 1 duke root 5 3月  10 22:08 text.txt

  除了设置文件或目录的权限外,还可以设置文件或目录的所有者和所属组,这里使用的命令为chown,其格式为“chown [参数] 所有者:所属组 文件或目录名称”。

  chmod和chown命令是用于修改文件属性和权限的最常用命令,它们还有一个特别的共性,就是针对目录进行操作时需要加上大写参数-R来表示递归操作,即对目录内所有的文件进行整体操作。

[root@localhost testdir]# ls -l text.txt 
-rwxrw---- 1 duke root 5 3月  10 22:08 text.txt
[root@localhost testdir]# chown root:duke text.txt 
[root@localhost testdir]# ls -l text.txt 
-rwxrw---- 1 root duke 5 3月  10 22:08 text.txt

3.3 SBIT

  现在,大学里的很多老师都要求学生将作业上传到服务器的特定共享目录中,但总是有几个“破坏分子”喜欢删除其他同学的作业,这时就要设置SBIT(Sticky Bit)特殊权限位了(也可以称之为特殊权限位之粘滞位)。SBIT特殊权限位可确保用户只能删除自己的文件,而不能删除其他用户的文件。换句话说,当对某个目录设置了SBIT粘滞位权限后,那么该目录中的文件就只能被其所有者执行删除操作了。

  RHEL 7系统中的/tmp作为一个共享文件的目录,默认已经设置了SBIT特殊权限位,因此除非是该目录的所有者,否则无法删除这里面的文件。

  与前面所讲的SUID和SGID权限显示方法不同,当目录被设置SBIT特殊权限位后,文件的其他人权限部分的x执行权限就会被替换成t或者T,原本有x执行权限则会写成t,原本没有x执行权限则会被写成T。

[root@localhost testdir]# su - duke
上一次登录:二 3月 10 22:06:48 CST 2020pts/0 上
[duke@localhost ~]$ ls -ald /tmp
drwxrwxrwt. 21 root root 4096 3月  10 22:02 /tmp
[duke@localhost ~]$ cd /tmp
[duke@localhost tmp]$ echo "hello word" > test
[duke@localhost tmp]$ chmod 777 test
[duke@localhost tmp]$ ls -al test
-rwxrwxrwx 1 duke duke 11 3月  10 22:33 test

  其实,文件能否被删除并不取决于自身的权限,而是看其所在目录是否有写入权限(其原理会在下个章节讲到)。为了避免现在很多读者不放心,所以上面的命令还是赋予了这个test文件最大的777权限(rwxrwxrwx)。我们切换到另外一个普通用户,然后尝试删除这个其他人创建的文件就会发现,即便读、写、执行权限全开,但是由于SBIT特殊权限位的缘故,依然无法删除该文件:

[duke@localhost tmp]$ su - zack
[zack@localhost ~]$ ls -al /tmp/test
-rwxrwxrwx 1 duke duke 11 3月  10 22:33 /tmp/test
[zack@localhost ~]$ rm -rf /tmp/test
rm: 无法删除"/tmp/test": 不允许的操作

当然,要是也想对其他目录来设置SBIT特殊权限位,用chmod命令就可以了。对应的参数o+t代表设置SBIT粘滞位权限:

[root@localhost ~]# cd ~
[root@localhost ~]# mkdir linux
[root@localhost ~]# chmod -R o+t linux/

[root@localhost ~]# ls -ald linux/
drwxr-xr-t 2 root root 6 3月  10 22:45 linux/

4. 文件的隐藏属性

  Linux系统中的文件除了具备一般权限和特殊权限之外,还有一种隐藏权限,即被隐藏起来的权限,默认情况下不能直接被用户发觉。有用户曾经在生产环境和RHCE考试题目中碰到过明明权限充足但却无法删除某个文件的情况,或者仅能在日志文件中追加内容而不能修改或删除内容,这在一定程度上阻止了黑客篡改系统日志的图谋,因此这种“奇怪”的文件也保障了Linux系统的安全性。

4.1 chattr命令

  chattr命令用于设置文件的隐藏权限,格式为“chattr [参数] 文件”。如果想要把某个隐藏功能添加到文件上,则需要在命令后面追加“+参数”,如果想要把某个隐藏功能移出文件,则需要追加“-参数”。chattr命令中可供选择的隐藏权限参数非常丰富。

参数作用
i无法对文件进行修改;若对目录设置了该参数,则仅能修改其中的子文件内容而不能新建或删除文件
a仅允许补充(追加)内容,无法覆盖/删除内容(Append Only)
S文件内容在变更后立即同步到硬盘(sync)
s彻底从硬盘中删除,不可恢复(用0填充原文件所在硬盘区域)
A不再修改这个文件或目录的最后访问时间(atime)
b不再修改文件或目录的存取时间
D检查压缩文件中的错误
d使用dump命令备份时忽略本文件/目录
c默认将文件或目录进行压缩
u当删除该文件后依然保留其在硬盘中的数据,方便日后恢复
t让文件系统支持尾部合并(tail-merging)
x可以直接访问压缩文件中的内容

接下来我们再次新建一个普通文件,并为其设置不允许删除与覆盖(+a参数)权限,然后再尝试将这个文件删除:

[root@localhost ~]# echo "hello" >  text
[root@localhost ~]# chattr +a text 
[root@localhost ~]# rm -rf text 
rm: 无法删除"text": 不允许的操作

4.2 lsattr命令

  lsattr命令用于显示文件的隐藏权限,格式为“lsattr [参数] 文件”。在Linux系统中,文件的隐藏权限必须使用lsattr命令来查看,平时使用的ls之类的命令则看不出端倪:

[root@localhost ~]# lsattr text 
-----a---------- text

一旦使用lsattr命令后,文件上被赋予的隐藏权限马上就会原形毕露。此时可以按照显示的隐藏权限的类型(字母),使用chattr命令将其去掉:

[root@localhost ~]# chattr -a text 
[root@localhost ~]# rm -rf text 

5. 文件访问控制列表

  不知道大家是否发现,前文讲解的一般权限、特殊权限、隐藏权限其实有一个共性—权限是针对某一类用户设置的。如果希望对某个指定的用户进行单独的权限控制,就需要用到文件的访问控制列表(ACL)了。通俗来讲,基于普通文件或目录设置ACL其实就是针对指定的用户或用户组设置文件或目录的操作权限。另外,如果针对某个目录设置了ACL,则目录中的文件会继承其ACL;若针对文件设置了ACL,则文件不再继承其所在目录的ACL。

  为了更直观地看到ACL对文件权限控制的强大效果,我们先切换到普通用户,然后尝试进入root管理员的家目录中。在没有针对普通用户对root管理员的家目录设置ACL之前,其执行结果如下所示:

[root@localhost ~]# su - duke
[duke@localhost ~]$ cd /root
-bash: cd: /root: Permission denied

5.1 setfacl命令

  setfacl命令用于管理文件的ACL规则,格式为“setfacl [参数] 文件名称”。文件的ACL提供的是在所有者、所属组、其他人的读/写/执行权限之外的特殊权限控制,使用setfacl命令可以针对单一用户或用户组、单一文件或目录来进行读/写/执行权限的控制。其中,针对目录文件需要使用-R递归参数;针对普通文件则使用-m参数;如果想要删除某个文件的ACL,则可以使用-b参数。下面来设置用户在/root目录上的权限:

[root@localhost ~]# setfacl -Rm u:duke:rwx /root
[root@localhost ~]# su - duke

  是不是觉得效果很酷呢?但是现在有这样一个小问题—怎么去查看文件上有那些ACL呢?常用的ls命令是看不到ACL表信息的,但是却可以看到文件的权限最后一个点(.)变成了加号(+),这就意味着该文件已经设置了ACL了。现在大家是不是感觉学得越多,越不敢说自己精通Linux系统了吧?就这么一个不起眼的点(.),竟然还表示这么一种重要的权限。

[duke@localhost root]$ ls -ld /root
dr-xrwx---+ 5 root root 4096 Mar 12 09:15 /root

5.2 getfacl命令

  getfacl命令用于显示文件上设置的ACL信息,格式为“getfacl 文件名称”。Linux系统中的命令就是这么又可爱又好记。想要设置ACL,用的是setfacl命令;要想查看ACL,则用的是getfacl命令。下面使用getfacl命令显示在root管理员家目录上设置的所有ACL信息。

[duke@localhost root]$ getfacl /root
getfacl: Removing leading '/' from absolute path names
# file: root
# owner: root
# group: root
user::r-x
user:duke:rwx
group::r-x
mask::rwx
other::---

6 su命令与sudo服务

  不要用root管理员去做所有事情。因为一旦执行了错误的命令,可能会直接导致系统崩溃,尽管Linux系统为了安全性考虑,使得许多系统命令和服务只能被root管理员来使用,但是这也让普通用户受到了更多的权限束缚,从而导致无法顺利完成特定的工作任务。

  su 命令可以解决切换用户身份的需求,使得当前用户在不退出登录的情况下,顺畅地切换到其他用户,比如从root管理员切换至普通用户:

[root@localhost ~]# id 
uid=0(root) gid=0(root) 组=0(root)
[root@localhost ~]# su - duke
[duke@localhost ~]$ id
uid=1000(duke) gid=1000(duke) groups=1000(duke)

  细心的读者一定会发现,上面的su命令与用户名之间有一个减号(-),这意味着完全切换到新的用户,即把环境变量信息也变更为新用户的相应信息,而不是保留原始的信息。强烈建议在切换用户身份时添加这个减号(-)。

  另外,当从root管理员切换到普通用户时是不需要密码验证的,而从普通用户切换成root管理员就需要进行密码验证了;这也是一个必要的安全检查:

[duke@localhost ~]$ su - root
Password: 

  尽管像上面这样使用su命令后,普通用户可以完全切换到root管理员身份来完成相应工作,但这将暴露root管理员的密码,从而增大了系统密码被黑客获取的几率;这并不是最安全的方案。

  接下来将介绍如何使用sudo命令把特定命令的执行权限赋予给指定用户,这样既可保证普通用户能够完成特定的工作,也可以避免泄露root管理员密码。我们要做的就是合理配置sudo服务,以便兼顾系统的安全性和用户的便捷性。sudo服务的配置原则也很简单—在保证普通用户完成相应工作的前提下,尽可能少地赋予额外的权限。

  sudo命令用于给普通用户提供额外的权限来完成原本root管理员才能完成的任务,格式为“sudo [参数] 命令名称”。sudo服务中可用的参数以及相应的作用如下:

参数作用
-h列出帮助信息
-l列出当前用户可执行的命令
-u用户名或UID值 以指定的用户身份执行命令
-k清空密码的有效时间,下次执行sudo时需要再次进行密码验证
-b在后台执行指定的命令
-p更改询问密码的提示语

总结来说,sudo命令具有如下功能:

限制用户执行指定的命令:
记录用户执行的每一条命令;
配置文件(/etc/sudoers)提供集中的用户管理、权限与主机等参数;
验证密码的后5分钟内(默认值)无须再让用户再次验证密码。

  当然,如果担心直接修改配置文件会出现问题,则可以使用sudo命令提供的visudo命令来配置用户权限。这条命令在配置用户权限时将禁止多个用户同时修改sudoers配置文件,还可以对配置文件内的参数进行语法检查,并在发现参数错误时进行报错。

只有root管理员才可以使用visudo命令编辑sudo服务的配置文件。
使用visudo命令配置sudo命令的配置文件时,其操作方法与Vim编辑器中用到的方法一致,因此在编写完成后记得在末行模式下保存并退出。在sudo命令的配置文件中,按照下面的格式将第99行(大约)填写上指定的信息:

谁可以使用 允许使用的主机=(以谁的身份) 可执行命令的列表

[root@localhost ~]# visudo
………………省略部分文件内容………………
## Allow root to run any commands anywhere
root    ALL=(ALL)       ALL
duke    ALL=(ALL)       ALL 
………………省略部分文件内容………………

在填写完毕后记得要先保存再退出,然后切换至指定的普通用户身份,此时就可以用sudo -l命令查看到所有可执行的命令了:

[root@localhost ~]# su - duke
上一次登录:四 3月 12 09:53:11 CST 2020pts/0 上
[duke@localhost ~]$ sudo -l
[sudo] password for duke: 
Matching Defaults entries for duke on localhost:
    !visiblepw, always_set_home, match_group_by_gid, env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG
    LC_ADDRESS LC_CTYPE", env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE",
    env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin

User duke may run the following commands on localhost:
    (ALL) ALL

  接下来是见证奇迹的时刻!作为一名普通用户,是肯定不能看到root管理员的家目录(/root)中的文件信息的,但是,只需要在想执行的命令前面加上sudo命令就可以了:

[duke@localhost ~]$ ls /root
ls: cannot open directory /root: Permission denied
[duke@localhost ~]$ sudo ls /root
anaconda-ks.cfg  CheckHosts.sh	chkhost.sh  chkscore.sh  duke.md  Example.sh  Guess.sh	ipadds.txt  readme.txt	test2.sh  test3.sh  test.sh  users.txt

  效果立竿见影!但是考虑到生产环境中不允许某个普通用户拥有整个系统中所有命令的最高执行权(这也不符合前文提到的权限赋予原则,即尽可能少地赋予权限),因此ALL参数就有些不合适了。因此只能赋予普通用户具体的命令以满足工作需求,这也受到了必要的权限约束。如果需要让某个用户只能使用root管理员的身份执行指定的命令,切记一定要给出该命令的绝对路径,否则系统会识别不出来。我们可以先使用whereis命令找出命令所对应的保存路径,然后把配置文件第99行的用户权限参数修改成对应的路径即可:

[duke@localhost ~]$ logout   
[root@localhost ~]# whereis cat
cat: /usr/bin/cat /usr/share/man/man1/cat.1.gz
[root@localhost ~]# visudo
………………省略部分文件内容………………
## Allow root to run any commands anywhere
root    ALL=(ALL)       ALL
duke    ALL=(ALL)       /usr/bin/cat
………………省略部分文件内容………………

  在编辑好后依然是先保存再退出。再次切换到指定的普通用户,然后尝试正常查看某个文件的内容,此时系统提示没有权限。这时再使用sudo命令就可以顺利地查看文件内容了:

[root@localhost ~]# su - duke
[duke@localhost ~]$ cat /etc/shadow
cat: /etc/shadow: Permission denied
[duke@localhost ~]$ sudo cat /etc/shadow
[sudo] password for duke: 
root:$6$4ylHmQhc$5KMgYIccxAx4iypPJsG5quzQ53eZCSDcYfDL5wm.7e8UyPBZrN11x/AdFsUZMZ9m4lWrk4ucgHCeC.hh7sdzq0:18322:0:99999:7:::
bin:*:17632:0:99999:7:::
daemon:*:17632:0:99999:7:::
………………省略部分文件内容………………

大家千万不要以为到这里就结束了。不知大家是否发觉在每次执行sudo命令后都会要求验证一下密码。虽然这个密码就是当前登录用户的密码,但是每次执行sudo命令都要输入一次密码其实也挺麻烦的,这时可以添加NOPASSWD参数,使得用户执行sudo命令时不再需要密码验证:

[root@localhost ~]# visudo
………………省略部分文件内容………………
## Allow root to run any commands anywhere
root    ALL=(ALL)       ALL
duke    ALL=NOPASSWD:   /usr/sbin/poweroff
………………省略部分文件内容………………

这样,当切换到普通用户后再执行命令时,就不用再频繁地验证密码了,我们在日常工作中也就痛快至极了。

[duke@localhost ~]$ poweroff
User root is logged in on sshd.
Please retry operation after closing inhibitors and logging out other users.
Alternatively, ignore inhibitors and users with 'systemctl poweroff -i'.
[duke@localhost ~]$ sudo  poweroff

Copyright: 采用 知识共享署名4.0 国际许可协议进行许可

Links: https://dukec.cn/archives/linux学习四用户用户组与文件权限

Buy me a cup of coffee ☕.