• Category Archives: linux

chmod +chown 深入理解用户组

Linux命令——chmod

命令描述

变更文件或目录的权限。在UNIX系统家族里,文件或目录权限的控制分别以读取,写入,执行3种一般权限来区分,另有3种特殊权限可供运用,再搭配拥有者与所属群组管理权限范围。您可以使用chmod指令去变更文件与目录的权限,设置方式采用文字或数字代号皆可。符号连接的权限无法变更,如果您对符号连接修改权限,其改变会作用在被连接的原始文件。

权限范围的表示法如下:

u:User,即文件或目录的拥有者。

g:Group,即文件或目录的所属群组。

o:Other,除了文件或目录拥有者或所属群组之外,其他用户皆属于这个范围。

a:All,即全部的用户,包含拥有者,所属群组以及其他用户。

有关权限代号的部分,列表于下:

r:读取权限,数字代号为”4″。

w:写入权限,数字代号为”2″。

x:执行或切换权限,数字代号为”1″。

-:不具任何权限,数字代号为”0″。

s:特殊?b>功能说明:变更文件或目录的权限。

语法

chmod [-cfRv][–help][–version][<权限范围>+/-/=<权限设置…>][文件或目录…]

chmod [-cfRv][–help][–version][数字代号][文件或目录…]

chmod [-cfRv][–help][–reference=<参考文件或目录>][–version][文件或目录…]

选项说明

-c或–changes 效果类似”-v”参数,但仅回报更改的部分。

-f或–quiet或–silent 不显示错误信息

-R或–recursive 递归处理,将指定目录下的所有文件及子目录一并处理。   -

v或–verbose 显示指令执行过程。

–help 在线帮助。

–reference=<参考文件或目录> 把指定文件或目录的权限全部设成和参考文件或目录的权限相同

–version 显示版本信息。   <权限范围>+<权限设置> 开启权限范围的文件或目录的该项权限设置。   <权限范围>-<权限设置> 关闭权限范围的文件或目录的该项权限设置。   <权限范围>=<权限设置> 指定权限范围的文件或目录的该项权限设置。

范例

范例一 :将档案 file1.txt 设为所有人皆可读取 : chmod ugo+r file1.txt

将档案 file1.txt 设为所有人皆可读取 :   chmod a+r file1.txt

将档案 file1.txt 与 file2.txt 设为该档案拥有者,与其所属同一个群体者可写入,但其他以外的人则不可写入 :   chmod ug+w,o-w file1.txt file2.txt

将 ex1.设定为只有该档案拥有者可以执行 :   chmod u+x ex1

将目前目录下的所有档案与子目录皆设为任何人可读取 :   chmod -R a+r *

当其他用户执行oracle的sqlplus这个程序时,他的身份因这个程序暂时变成oracle  chmod u+s sqlplus

此外,chmod也可以用数字来表示权限如 chmod 777 file (代表u,g,o都有可读可写可执行权限)

语法为:chmod abc file   其中a,b,c各为一个数字,分别表示User、Group、及Other的权限。   r=4,w=2,x=1   若要rwx属性则4+2+1=7;   若要rw-属性则4+2=6;   若要r-x属性则4+1=5。   

范例二:chmod a=rwx file 和 chmod 777 file 效果相同

chmod ug=rwx,o=x file 和 chmod 771 file 效果相同

若用chmod 4755 filename可使此程式具有root的权限   

范例三:   如果在cd /media/amasun/java/develop/array之后执行  chmod 777 ./  是将本目录(即/media/amasun/java/develop/array)设为任何人可读,写,执行

如果是管理员也就是常说的ROOT用户的话,基本上有可以查看所有文件的权力.

Linux 命令 chown

: Linux/Unix 是多人多工作业系统,所有的档案皆有拥有者。利用 chown 可以将档案的拥有者加以改变。一般来说,这个指令只有是由系统管理者(root)所使用,一般使用者没有权限可以改变别人的档案拥有者,也没有权限可以将自己的档案拥有者改设为别人。只有系统管理者(root)才有这样的权限。

范例:

将档案 file1.txt 的拥有者设为 users群体的使用者 jessie :

chown users:jessie file1.txt

将目前目录下的所有档案与子目录的拥有者皆设为 users 群体的使用者 lamport :

chown -R lamport:users *

功能:更改某个文件或目录的属主和属组。

这个命令也很常用。例如root用户把自己的一个文件拷贝给用户xu,为了让用户xu能够存取这个文件,root用户应该把这个文件的属主设为xu,否则,用户xu无法存取这个文件。

语法:chown [选项] 用户或组 文件

说明:chown将指定文件的拥有者改为指定的用户或组。用户可以是用户名或用户I D。组可以是组名或组ID。文件是以空格分开的要改变权限的文件列表,支持通配符

该命令的各选项含义如下:

-R 递归式地改变指定目录及其下的所有子目录和文件的拥有者。

-v 显示chown命令所做的工作。

chgrp和chown 的都是转移文件属主

但是chown只能在同一个用户组里面转换而chgrp可以转移到不同的用户组

比如搭建git服务器时,用到的命令:

a@server:~$ sudo chown git:git /home/repo  //将repo文件属组和属主 设为git:git
a@server:~$ sudo chmod 700 /home/repo   //将文件repo 设为只能由其属主 可读可写可执行。

添加vsftp账号

直接使用命令:
添加ftp账号www,指定/home/www为www的宿主目录,该账户号默认不能登陆系统
useradd -d /home/mytest/ -g ftp -s /sbin/nologin mytest

 

修改账号密码:
passwd mytest

 

修改指定目录权限:
chown -R mytest /home/mytest

 

CentOS yum 安装 vsftpd

vsftpd是一款在Linux发行版中最受推崇的FTP服务器程序。特点是小巧轻快,安全易用,下面直接上干货。

一、安装vsftp

以管理员的身份使用yum命令安装vsftp:

[root@localhost ~]#yum install vsftpd

根据系统yum的不同,可能无法找到软件包源,可以按照这里的方法解决

二、设置vsftp开机自动启动

1、查看开机自动启动服务项目

[root@localhost ~]# chkconfig –list

2、设置vsftpd服务开机自动启动

[root@localhost ~]# chkconfig –level 35 vsftpd on

三、配置环境

1、添加vsftp账号,指定账号权限

■ 添加ftp账号www,指定/home/www为www的宿主目录,该账户号默认不能登陆系统。

[root@localhost ~]# useradd -s /bin/nologin -d /home/www www  #nologin的位置通常在/usr/sbin/nologin或/sbin/nologin位置,如果指定错误则无法登陆。

■ 修改账号密码。

[root@localhost ~]# passwd www

■ 修改指定目录权限。

[root@localhost ~]# chown -R www /home/www  #-R参数:递归设置/home/www目录及期子目录的所有者为用户www。

2、配置vsftp

编辑vsftp的配置文件/etc/vsftpd/vsftpd.conf,修改配置文件相关配置项,如下:

anonymous_enable=NO  #不允许匿名登陆

ascii_upload_enable=YES #上传时允许ASCII模式

ascii_download_enable=YES #下载时允许ASCII模式

local_enable=YES  #允许本地用户登录ftp服务器,默认是允许,不包含id为500以下用户陆

write_enable=YES  #允许用户具有在ftp服务器文件中具有写的权限

chroot_local_user=YES  ##是否将所有用户锁定在主目录,YES为启用 NO禁用

chroot_list_enable=YES  #是否启动锁定用户的名单,YES为启用 NO禁用

chroot_list_file=/etc/vsftpd/chroot_list  #当chroot_list_enable=YES时,该项有效,禁用的列表名单格式为一行一个用户, 如果名单里面有一个test01的用户, 则test01用户不会锁定在主目录,用户将可以自由切换目录。

举例:

情况一:

现在有 test1 test2 test3 这三个ftp的用户,想让1跟2用户锁定主目录不允许切换到其他目录, 但是允许3用户自由切换那么/etc/vsftpd/chroot_list列表名单如下:

test3

也就说chroot_local_user=YES,并且chroot_list_enable=YES的时候,/etc/vsftpd/chroot_list名单里面添加的是排除锁定主目录的用户名单。

情况二:

如果chroot_local_user=NO并且chroot_list_enable=YES的时候,那么/etc/vsftpd/chroot_list列表名单如下:

test1

test2

情况三:

如果chroot_local_user=YES 并且 chroot_list_enable=NO 的时候那列表名单也就不生效了,因此满足上面的条件时,所有的FTP用户将全部锁定在主目录。

ls_recurse_enable=YES  #启用递归

listen=YES  #使用IPV4时设置为YES

listen_ipv6=NO   #使用IPV6时设置为YES

local_root=/data/ftproot    #指定根目录,如果未指定,用户的宿主目录将作为FTP主目录

use_localtime=YES  # use localtime

seccomp_sandbox=NO     #turn off for seccomp filter ( if you cannot login, add this line )

3、修改shells配置

编辑shell的配置文件/etc/shells,如果文件中没有/sbin/nologin或者usr/sbin/nologin,在文件中追加该上即可。

4、配置防火墙

编辑/etc/sysconfig/iptables文件,在REJECT行之前添加如下命令:

-A INPUT -m state –state NEW -m tcp -p tcp –dport 21 -j ACCEPT  #从上一行中进行复制粘贴后修改端口号为21即可

添加后保存,然后重启防火墙服务。

[root@localhost ~]# service iptables restart  #其它命令:service iptables stop停止防止墙服务

六、启动vsftp并测试登陆

启动vsftp服务

[root@localhost ~]# service vsftpd start #其它命令:service vsftpd restart重启FTP服务、service vsftpd stop停止FTP服务

服务成功启动后,用FTP客户端登陆即可(推荐使用Xshell ),ftpadmin管理目录是/www/web。

七、错误处理

1、500 OOPS: cannot change directory:/home/www

该错误原因是在CentOS系统下默认安装了SELinux,没有开启FTP支持,所以访问时都被阻止了,需要手动开启。

[root@localhost ~]# getsebool -a|grep ftp   #查看所有ftp设置

[root@localhost ~]# setsebool ftp_home_dir 1  #setsebool -P ftp_home_dir 1 使用P参数实现重启后ftp_home_dir自动为1

CENTOS如何禁用ROOT本地或远程SSH登录

有些特殊的情况我们需要禁止root在本地或远程使用ssh登录,以增加安全性。

下面详细描述如何禁止root登录。

  • 禁止root本地登录
  • 禁止root远程ssh登录

禁止root本地登录

修改/etc/pam.d/login文件增加下面一行

auth required pam_succeed_if.so user != root quiet

 

禁止root远程ssh登录

修改/etc/ssh/sshd_config文件,将

#PermitRootLogin yes

修改为

PermitRootLogin no

修改时注意前面的#号。

禁止以后,可以使用普通用户登录,登录后若需要root权限,可以使用“su”切换到root用户。或者配置sudo使普通用户使用某些root权限。

这样可以在一定程度上增加系统的安全性。

Centos 建立一个新用户 详细讲解

建立一个新用户

修改用户的个人设置

文件目录的权限设置

两个重要文件:passwd与group

建立一个新用户

建立一个新的用户包括两个步骤,第一步是使用useradd命令完成一个新用户的初始化设置工作;第二步是用passwd为这个新用户设置密码。例如,我们要给系统添加一个用户叫floatboat,密码为fan2001z,那相关的操作是:

useradd floatboat <回车>

这时候系统没有任何显示。接着:

passwd floatboat <回车>

系统显示:

Changing password for user floatboat

New UNIX password:

你输入:

fan2001z<回车>

注意,由于linux并不采用类似windows的密码回显(显示为*号)——为避免你输入密码时被人注意到有多少位——所以,输入的这些字符你是看不见的。

系统显示:

Retype new UNIX password:

你再重新输入一次密码,然后回车确认,这时系统会显示:

passwd:all authentication tokens updated successfully

表示你修改密码成功了。

到这里,新用户的创建工作就算完成了。下面,我们再补充一些有关增加新用户的常识:

1、useradd所做的初始化操作已经包括在/home目录下为floatboat帐号建立一个名为floatboat的主目录。如果你不想使用这个缺省的目录,而希望把他的主目录放在/home/goal里(还放在/home下,只是一种良好的习惯,没有其他什么特别的要求),可以使用useradd的参数-d,命令如下:

useradd -d /home/goal floatboat

2、useradd的初始化操作还包括为用户单独建立一个与用户名同名的组(floatboat组)。这叫用户私有组的机制,与默认组机制相对应。对用户分组一是方便管理,二是可以明确权限。复杂的我们将在以后的深入内容中探讨。我们如果想让此用户加入一个已有的组的话,可以使用-g参数。例如我们想让floatboat加入webusers组,那么可以使用以下命令:

useradd -g webusers floatboat

同样的,我们还可以使用-G参数使他同时加入多个组,例如webusers和ftpusers:

useradd -G ftpusers,webusers floatboat

3、passwd命令为一个用户设置密码,但它实质上是一个修改密码的程序。只有超级用户和用户自己可以修改密码,其它的普通用户没有给他修改密码的 权利。用户密码的组成要尽量的复杂,最好包括字母、数字和特殊符号,而且最好设成6位以上。太短passwd程序不允许,只是单纯的字母或单纯的数 字,passwd也会有意见。你都会看见passwd出现的提示的,不要害怕,仔细看看到底它是怎么说的:)

4、你在增加一个新用户的时候,也可以设置用户登录的shell。缺省的,系统提供了/bin/bash。你如果非要指定的话,可以使用-s参数就可以了。例如

useradd -d /www -s /usr/bin/passwd floatboat

注意,这些参数是可以一块使用的,如上例所示,它表示增加新用户,并把其主目录路径设置在/www,登录的shell为/usr/bin/passwd。关于shell的更详细的说明,请参考下面的修改用户的个人设置相关内容。

5、删除一个用户可以使用userdel命令,直接带用户名做参数就可以了。

修改用户的设置

对现有用户的修改,比较常用的主要是修改密码(使用passwd就好了),修改用户的登录shell,修改用户所属的默认组,设置帐号有效期,修改用户的说明信息等等,偶尔也会用到修改用户主目录。

修改用户的登录shell

使用chsh命令可以修改自己的shell,只有超级用户才能用chsh username为其它用户修改shell设置。注意,指定的shell必须是列入/etc/shells文件中的shell,否则该用户将不能登陆。

一般,比较常见的shells文件包括下面这些shell:

/bin/bash2

/bin/bash

/bin/sh

/bin/ash

/bin/bsh

/bin/tcsh

/bin/csh

而网管们还喜欢在里面加上/usr/bin/passwd,这是为了不然用户通过控制台或telnet登录系统,却可以使用修改帐户密码(比如在FTP里用)。以及/bin/false,也就是不让这个用户登录的意思喽^&^,连FTP也不能用。

你也可以使用usermod命令修改shell信息,如下所示:

usermod -s /bin/bash floatboat

其中/bin/bash和floatboat应取相应的shell路径文件名及用户名。

还有一种情况,就是你为用户设置了一个空的shell(就是””),也就是说,这个用户没有shell。呵呵,绝对没有在我还未曾见过,因为这种用户登录后,系统还是会给它一个shell用的。不信你试试:

usermod -s “” floatboat

这种用户根据系统的不同,会有一个sh或bash进行操作,我也没有看出功能上和其它普通用户登录有什么不同。

修改用户所属的默认组

这个功能也可以通过usermod命令来实现,使用-g参数,例如把floatboat的默认组改为nobody,可以使用如下命令:

usermod -g nobody floatboat

nobody在类UNIX系统中一般都意味着没有任何权限。

设置帐号有效期

如果使用了影子口令,则可以使用如下命令来修改一个帐号的有效期:

usermod -e MM/DD/YY username

例如把用户floatboat的有效期定为2001年12月31日:

usermod -e 12/31/01 floatboat

如果把该用户的有效期设为已经过去的时间,就可以暂时禁止该用户登录系统。

修改用户的说明信息

修改用户的说明信息,最简单的方法莫过于直接修改/etc/passwd文件,找到对应的用户记录行,例如下列行:

floatboat:x:503:503::/home/floatboat:/bin/bash

你可以直接在第四个冒号和第五个冒号之间插入该用户的说明就可以了。其实,很多用户设置都可以在这修改,比如该行最后一部分/bin/bash就是用户登录shell的设置。关于这个/etc/passwd文件,我们后面将进一步的深入探讨。

修改用户主目录

修改用户的主目录主要使用usermod命令的-d参数,例如:

usermod -d /www floatboat

这一行将floatboat的主目录改到/www。如果想将现有主目录的主要内容转移到新的目录,应该使用-m开关,如下所示:

usermod -d -m /www floatboat

文件目录的权限

linux下,每一个文件、每一个目录都有一个属主,并针对用户自己、用户所在组、其它所有帐号(组)分别设定读、写、执行三种权限。例如,我(假定是webusers组的floatboat帐户的拥有者)使用如下命令建立一个新的文件

touch mytestfile

然后我们使用ls -l mytestfile这一命令来查看这个文件的权限状态(关于ls命令,可以查阅本站的命令查询),可以得到如下的屏幕输出显示:

-rw-rw-r– 1 floatboat webusers 0 Feb 6 21:37 mytestfile

输出由空格分为9个部分,我们比较关心第一、三、四个字段,分别表示文件权限属性、文件所有者帐户、文件所属组。

◆使用chown命令修改文件的主人

当你新建立一个文件的时候,文件的所有者当然就是你了。这一事实只有超级用户(比如说root)才可以通过chown命令改变(例如chown otheruser mytestfile,把mytestfile文件的属主改为otheruser)。普通用户不能把自己的文件“送”给别人,不然你把有特殊目的的程序给 了root怎么办?:)

chown命令的用法比较简单。这里我先假设你现在拥有超级用户权限,那么你就可以使用如下命令将一个文件“送给”floatboat了:

chown floatboat /home/floatboat/thefileisrootcreate.txt(假定该文件是由root创建的)

修改一个目录的所有者也是类似的:

chown floatboat /home/newboat

当然,如果这个目录还有子目录及文件需要同时送给floatboat,chown也是支持-R参数的:

chown -R floatboat /home/newboat

如果你同时想修改文件/目录所属的组的话,你可以使用以下命令方便的达到目的:

chown -R floatboat.ftpusers /home/newboat

这样,不但文件主人得到了修改,文件所属的组也变成了ftpusers

◆修改文件的组属性

文件所属组你倒是可以改变,前提是:

1、你的超级用户。

2、你同时属于两个或两个以上的组。

两个条件你至少具备一个,你才能够把文件所属旧组变为新组。使用如下的命令将当前目录下所有html文件所属的组改为httpd:

chgrp httpd *.html

和chown命令一样,chgrp也可以使用-R参数对一个目录内的所有文件和子目录进行递归的修改组属性。

<提示>:你可以使用不带参数的groups命令查看自己属于哪个组。

文件权限的设定是我们这一小节讨论的核心,我们主要介绍chmod命令的两种用法。

◆使用访问字符串设置文件目录权限

正如前面所说的,每一个文件、目录都针对用户自己、用户所在组、其它所有帐号(组)分别有读、写、执行三种权限及其组合。当一个普通用户新建一个文件 的时候,它默认的访问权限显示就如我们刚才所举例子的第一个字段所示。总共十位字符“-rw-rw-r–”,第一位是目录区分标志,如果是d的话,表示 这是一个目录。第二到四位分别表示文件所有者的读(r:read)、写(w:write)、执行(x:execute)属性,第五到七位是文件所属组的 读、写、执行权限,第八到第十位则是其它用户的读、写、执行权限。如果对应的位是相应的字母,就是有这相应权限,否则为“-”,表示没有获得这个许可。象 刚才例子中的文件就是自己可读写,本组可读写,其它用户可读,所有的用户(包括自己)都不能执行它。

我们的用u、g、o分别来指代用户(user)、组(group)、其它帐户(other),就可以方便的设置文件和目录的权限了。当然,我们也可以用a来表示所有的这三项。

例如,我们要对所有perl的脚本文件设定权限,对所有用户都可以读和执行,文件所有者还允许写许可,那么我们可以使用如下命令:

chmod a+rx,u+w *.pl

注意:如果要使用多个访问字符串,它们之间要用逗号隔开,各个许可字符串之间不允许有空格。正如上例所示。

如果要修改目录中所有文件和子目录的权限属性,可以使用chmod提供的-R参数来递归修改。例如,下列命令将/www/site1目录及其下面的子目录的权限属性设定为所有者和组可读、写、执行,其它用户不可访问:

chmod -R a+rwx,o-rwd /www/site1

注意,不要轻易使用-R选项,这可能会带来安全隐患。

使用字符串方便了理解,单输入那么多字母还是有点累,如果你对8进制有些概念的话,可以使用下面介绍的方法来做权限设置。

◆使用八进制数设置文件目录权限

我们知道,在ls -l的输出中,文件权限表示为“-rw-rw-r–”,前一位只和是否为目录有关,其它九位正好可以分成三段,每段三位,“rw-”、“rw-”和 “r–”,“-”代表无效“0”,其它字符代表有效“1”,那么这个文件的权限就是“110”、“110”、“100”,把这个2进制串转换成对应的8 进制数就是6、6、4,也就是说该文件的权限为664(三位八进制数)。我们也可以使用类似这种三位八进制数来设定文件授权,如上边两个例子,就也可以写 为:

chmod 755 *.pl

chmod -R 770 /www/site1

是不是很简洁?关键在于你能根据你需要设定的权限正确的选择八进制数(利用八进制数的二进制表示可以非常轻易的做到这一点)。

◆读、写、执行的权限说明

1、所谓写的权限,也就是对文件修改和删除的权限。如果目录的写权限也对你开放了,则可以创建、删除或修改该目录下的任何文件或自目录——即使该文件和子目录并不属于你。

2、对目录有只读许可的用户,不能用cd命令进入该目录;还必须同时有执行许可才可以进入该目录。

3、必须同时拥有读和执行权限才可以使用ls这样的程序列出目录内容清单。

4、只对目录有执行权限的用户,想访问该目录下的文件有读权限的文件,必须知道该文件名才可以访问。

两个重要文件:passwd与group

在linux的安全机制里,/etc/passwd与/etc/group这两个文件占着非常重要的地位。它们控制着linux的用户和组一些重要设置。

◆/etc/passwd文件说明

下面是一个RHlinux里普通的passwd文件的例子:

root:x:0:0:root:/root:/bin/bash

bin:x:1:1:bin:/bin:

daemon:x:2:2:daemon:/sbin:

……

operator:x:11:0perator:/root:

games:x:12:100:games:/usr/games:

gopher:x:13:30:gopher:/usr/lib/gopher-data:

ftp:x:14:50:FTP User:/home/ftp:

nobody:x:99:99:Nobody:/:

xfs:x:43:43:X Font Server:/etc/X11/fs:/bin/false

named:x:25:25:Named:/var/named:/bin/false

postgres:x:26:26ostgreSQL Server:/var/lib/pgsql:/bin/bash

lanf:x:500:500::/home/hujm:/bin/bash

mysql:x:101:101:MySQL server:/var/lib/mysql:/bin/bash

imnotroot:x:0:0::/home/imnotroot:/bin/bash

在这个文件里只有一个普通帐号lanf。其它都是系统或系统服务的进程需要的帐号,包括我们非常熟悉的root这个超级用户。在passwd的文件里,每一行被冒号(“:”)分成7个部分,分别是:

[用户名]:[密码]:[UID]:[GID]:[身份描述]:[主目录]:[登录shell]

其中:

⒈[用户名]是passwd文件里各记录行唯一的有”唯一性”要求的域。也就是说每一行的第一个区域的内容都不能相同,其它区域就无所谓了。

⒉[密码]区域在以前,保存着一个经过不可逆的哈希算法进行DES加密的13位字符,但不包括单引号和冒号。这13位字符中,前两位是密钥,在加密的 时候随机生成的。由于这个字符串不包括单引号,所以以前有一种不修改密码又禁止用户登录的方式就是在密码前面加一个单引号。值得注意的是,现在由于使用了 shadow口令,在密码区域只有一个x字符。

⒊[UID]虽然是系统用来标志文件归属,确定各种权限的标志,但这个区域的内容并不要求唯一的。比较常见而又与安全问题相关的一个例子是有多个 UID和GID均为0的用户帐号。注意到在该文件最后一行还有一个UID和GID为0的用户imnotroot,虽然它声称自己不是root,但是它却有 和root完全相同的权限,因为系统并非根据[用户名],而是根据UID和GID来分用户的权力的。所以,这种情况无疑为系统埋下了安全的炸弹。但是,当 imnorroot做锁定屏幕等操作的时候,如果它的密码和root的不一样,它将无法解锁,因为系统只是查到第一个UID为0的用户(自然是root) 后,就不在往下查找了——它当UID也是唯一的。

⒋[GID]用户默认的组ID,这个ID可以在文件/etc/group里查到对应的组名。

⒌[身份描述]:就是用户的身份说明,默认的是无任何说明,可人工添加。

⒍[主目录]:用户的主目录,可以使用前面介绍的命令修改。

⒎[登录shell]:用户登录时系统提供的shell,请参考前面的有关内容。

<注意>:[UID]和[GID]小于500的一般都是系统自己保留,不做普通用户和组的标识的,所以新增加的用户和组一般都是UID和GID大于500的。

◆/etc/group文件说明

下面是RH的一个group文件的例子:

root:x:0:root,hujm,hjm

bin:x:1:root,bin,daemon

daemon:x:2:root,bin,daemon

sys:x:3:root,bin,adm

adm:x:4:root,adm,daemon

tty:x:5:

disk:x:6:root

lp:x:7:daemon,lp

mem:x:8:

kmem:x:9:

wheel:x:10:root

mail:x:12:mail

news:x:13:news

uucp:x:14:uucp

……

hujm:x:503:root,mynoshell,hjm

mysql:x:101:

mynoshell:x:505:

ftpusers:x:506:

它总共分四个部分:

[组名]:[密码域]:[GID]:[组员列表]

意思非常明显,需要说明一下的是,由于组一般都不用密码保护,所以虽然看起来密码域有个X字符,其实那只表示使用了SHADOW(对应文件为 gshadow)。组员列表用逗号分隔各个帐号。另外,一个组的组员如果默认登录组就是它的话,那么在组员列表里将不显示这个组员的帐号,例如用如下命令 增加的用户:

useradd -g ftpusers floatboat

在/etc/group文件里ftpusers的组员列表将不显示这个组员(真是失败),而只是在passwd文件中的GID被设置为506。而使用如下命令:

usermod -G ftpusers,mysql,webusers floatboat

就可以看见相关的组后边加上了floatboat帐号。当然,你可以直接用vi来直接编辑这个文件。

group文件和passwd文件是通过GID联系在一起的,这有点象关系数据库。根据passwd文件中一个帐户的GID,可以在group文件中 找到对应的组名。如果采用了用户私有组机制的话,那么一般新增一个帐号,就会有对应的一个与帐号同名的组增加到group文件中。虽然这时passwd文 件中具有唯一性的[用户名]字段和group文件中具有唯一性的[组名]字段一样,并不代表着它们是通过这两个字段形成一一对应的关系的。千万别忘记,系 统对数字(UID,GID)更加敏感^_^。

再有一点应该注意,你统计一个组的组成员的时候,千万别只记得看组成员列表哦,还应该查找默认登录组也是这个组的用户——它们可不一定在列表里。

〈提示〉新组的增加可以使用groupadd newgroupname

linux 中更改用户权限和用户组的命令chmod,chgrp实例

linux 中更改用户权限和用户组的命令实例;

增加权限给当前用户 chmod +wx filename

chmod -R 777 /upload

用户组 chgrp -R foldname zdz

chown -R  所有者用户名.组名 文件夹名称
例如:chown -R  zdz.nginx KooBox

命令详解直接搜索就很多了,这里不多说了。

================================

语法:chmod [who] [+ | – | =] [mode] 文件名

命令中各选项的含义为

u 表示“用户(user)”,即文件或目录的所有者。
g 表示“同组(group)用户”,即与文件属主有相同组ID的所有用户。
o 表示“其他(others)用户”。
a 表示“所有(all)用户”。它是系统默认值。
操作符号可以是:
+ 添加某个权限。
– 取消某个权限。
= 赋予给定权限并取消其他所有权限(如果有的话)。
设置mode所表示的权限可用下述字母的任意组合:
r 可读。
w 可写。
x 可执行。
X 只有目标文件对某些用户是可执行的或该目标文件是目录时才追加x 属性。
s 在文件执行时把进程的属主或组ID置为该文件的文件属主。方式“u+s”设置文件的用户ID位,“g+s”设置组ID位。
t 保存程序的文本到交换设备上。
u 与文件属主拥有一样的权限。
g 与和文件属主同组的用户拥有一样的权限。
o 与其他用户拥有一样的权限。

实例

修改文件可读写属性的方法
例如:把index.html 文件修改为可写可读可执行:
chmod 777 index.html

要修改目录下所有文件属性可写可读可执行:
chmod 777 *.*

把文件夹名称与后缀名用*来代替就可以了。
比如:修改所有htm文件的属性:
chmod 777 *.htm

修改文件夹属性的方法
把目录 /images/small 修改为可写可读可执行
chmod 777 /images/small

修改目录下所有的文件夹属性
chmod 777 *

把文件夹名称用*来代替就可以了

要修改文件夹内所有的文件和文件夹及子文件夹属性为可写可读可执行

chmod -R 777 /upload

总结linux下目录和文件的权限区别

文件:读文件内容(r)、写数据到文件(w)、作为命令执行文件(x)。
目录:读包含在目录中的文件名称(r)、写信息到目录中去(增加和删除索引点的连结)、搜索目录(能用该目录名称作为路径名去访问它所包含的文件和子目录)
具体说就是:
(1)有只读权限的用户不能用cd进入该目录:还必须有执行权限才能进入。
(2)有执行权限的用户只有在知道文件名,并拥有读权利的情况下才可以访问目录下的文件。
(3)必须有读和执行权限才可以ls列出目录清单,或使用cd命令进入目录。
(4)有目录的写权限,可以创建、删除或修改目录下的任何文件或子目录,即使使该文件或子目录属于其他用户也是如此。

查看目录权限

查看文件权限的语句:
在终端输入:
ls -l xxx.xxx (xxx.xxx是文件名)
那么就会出现相类似的信息,主要都是这些:
-rw-rw-r–
一共有10位数
其中: 最前面那个 – 代表的是类型
中间那三个 rw- 代表的是所有者(user)
然后那三个 rw- 代表的是组群(group)
最后那三个 r– 代表的是其他人(other)
然后我再解释一下后面那9位数:
r 表示文件可以被读(read)
w 表示文件可以被写(write)
x 表示文件可以被执行(如果它是程序的话)
– 表示相应的权限还没有被授予
现在该说说修改文件权限了
在终端输入:
chmod o w xxx.xxx
表示给其他人授予写xxx.xxx这个文件的权限
chmod go-rw xxx.xxx
表示删除xxx.xxx中组群和其他人的读和写的权限
其中:
u 代表所有者(user)
g 代表所有者所在的组群(group)
o 代表其他人,但不是u和g (other)
a 代表全部的人,也就是包括u,g和o
r 表示文件可以被读(read)
w 表示文件可以被写(write)
x 表示文件可以被执行(如果它是程序的话)
其中:rwx也可以用数字来代替
r ————4
w ———–2
x ————1
– ————0
行动:
表示添加权限
– 表示删除权限
= 表示使之成为唯一的权限
当大家都明白了上面的东西之后,那么我们常见的以下的一些权限就很容易都明白了:
-rw——- (600) 只有所有者才有读和写的权限
-rw-r–r– (644) 只有所有者才有读和写的权限,组群和其他人只有读的权限
-rwx—— (700) 只有所有者才有读,写,执行的权限
-rwxr-xr-x (755) 只有所有者才有读,写,执行的权限,组群和其他人只有读和执行的权限
-rwx–x–x (711) 只有所有者才有读,写,执行的权限,组群和其他人只有执行的权限
-rw-rw-rw- (666) 每个人都有读写的权限
-rwxrwxrwx (777) 每个人都有读写和执行的权限

Ubuntu下配置Tomcat以指定(非root)身份运行

通常情况下,在配置Tomcat生产环境时,通常会配置Tomcat以特定的身份运行(非root),这样有利于提高安全性,防止网站被黑后的进一步权限提升。

本文依赖的环境:

Ubuntu(其实大部分同样适用于CentOS)JVM(安装并已配置好环境变量)gcc、make等编译工具JAVA_HOME=/usr/lib/jvm/jdk1.7.0_55CATALINA_HOME=/usr/local/apache-tomcat-7.0.53运行Tomcat的用户名为tomcat

首先需要到Apache Tomcat官网下载最新版Tomcat

Apache Tomcat:http://tomcat.apache.org

下载好安装包,解压到/home/apache-tomcat-7.0.67下

# 进入Tomcat安装目录下的bin目录
cd /home/apache-tomcat-7.0.67/bin

# 解压commons-daemon-native.tar.gz
tar zxvf commons-daemon-native.tar.gz

cd commons-daemon-1.0.15-native-src/unix

# 这里需要gcc、make等编译工具,如果没有指定JAVA_HOME环境变量,则需要 --with-java= 参数指定jdk目录
./configure

# 上一步成功后,make
make

# make后,会在当前文件夹下生成一个名为 jsvc 的文件,将其复制到$CATALINA_HOME/bin目录
cp jsvc ../../

# 添加一个用来运行Tomcat的用户
useradd tomcat -M -d / -s /usr/sbin/nologin

# 回到$CATALINA_HOME/bin目录下
cd ../../

# 接下来便是修改$CATALINA_HOME/bin目录下的 daemon.sh 文件
# 设置其中的TOMCAT_USER=tomcat,JAVA_HOME=/usr/java/jdk1.7.0_79

# 如果$CATALINA_HOME/bin下的*.sh文件没有运行权限,则为其添加运行权限
chmod +x *.sh

# 设置$CATALINE_HOME文件夹及其所有子文件Owner为tomcat
chown -R tomcat:tomcat /home/apache-tomcat-7.0.67

# 启动Tomcat
daemon.sh start

设置Tomcat为Service

# 创建 $CATALINA_HOME/bin/daemon.sh 的一个链接到 /etc/init.d/ 下,service名为tomcat7
ln -s /home/apache-tomcat-7.0.67/bin/daemon.sh /etc/init.d/tomcat7

# 启动Tomcat
/etc/init.d/tomcat7 start
# 或者
service tomcat7 start

设置Tomcat开机自启动 (前提是已经设置Tomcat为Service)

# 设置开机自启动
update-rc.d tomcat7 defaults

# 取消开机自启动
update-rc.d tomcat7 remove

CentOS设置服务开机启动的方法

CentOS设置服务开机启动的两种方法

1、利用 chkconfig 来配置启动级别
在CentOS或者RedHat其他系统下,如果是后面安装的服务,如httpd、mysqld、postfix等,安装后系统默认不会自动启动的。就算手动执行 /etc/init.d/mysqld start 启动了服务,只要服务器重启后,系统仍然不会自动启动服务。 在这个时候,我们就需要在安装后做个设置,让系统自动启动这些服务,避免不必要的损失和麻烦。 其实命令很简单的,使用chkconfig即可。
[天涯PHP博客]-[http://blog.phpha.com]
比如要将mysqld设置为开机自动启动:

chkconfig mysqld on

要取消掉某个服务自动启动,只需要将最后的参数 “on” 变更为 “off” 即可。

比如要取消 postfix 的自动启动:

chkconfig postfix off

值得注意的是,如果这个服务尚未被添加到 chkconfig 列表中,则现需要使用 –-add 参数将其添加进去:

chkconfig–-add postfix

如果要查询当前所有自动启动的服务,可以输入:

chkconfig-–list

如果只想看指定的服务,只需要在 “–-list” 之后加上服务名就好了,比如查看httpd服务是否为自动启动:

chkconfig–-listhttpd
httpd 0:off 1:off 2:off 3:off 4:off 5:off 6:off

此时0~6均为off,则说明httpd服务不会在系统启动的时候自动启动。我们输入:

chkconfig httpd on

则此时为:

httpd0:off1:off2:on3:on4:on5:on6:off

这个时候2~5都是on,就表明会自动启动了。

 

2、修改 /etc/rc.d/rc.local 这个文件:
例如将 apache、mysql、samba、svn 等这些服务的开机自启动问题一起搞定:

[天涯PHP博客]-[http://blog.phpha.com]
vi/etc/rc.d/rc.local
#添加以下命令
/usr/sbin/apachectl start
/etc/rc.d/init.d/mysqld start
/etc/rc.d/init.d/smb start
/usr/local/subversion/bin/svnserve-d

 

CENTOS 6.0 iptables 开放端口80 3306 22端口

#/sbin/iptables -I INPUT -p tcp --dport 80 -j ACCEPT
 #/sbin/iptables -I INPUT -p tcp --dport 22 -j ACCEPT

 

#/sbin/iptables -I INPUT -p tcp --dport 3306 -j ACCEPT

 

然后保存: #/etc/rc.d/init.d/iptables save

查看打开的端口:

# /etc/init.d/iptables status

——————————————————-

补充说明:

#关闭防火墙

/etc/init.d/iptables stop

service iptables stop # 停止服务

 

#查看防火墙信息

/etc/init.d/iptables status
#开放端口:8080

/sbin/iptables -I INPUT -p tcp –dport 8080 -j ACCEPT

 

#重启防火墙以便改动生效:(或者直接重启系统)

/etc/init.d/iptables restart

 

#将更改进行保存

/etc/rc.d/init.d/iptables save

 

另外直接在/etc/sysconfig/iptables中增加一行:

-A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 8080 -j ACCEPT

#永久关闭防火墙 chkconfig –level 35 iptables off #此方法源自网络,未实验,安全考虑拒绝使用此方法

close