7月 | 2015 | 思维网络|站长博客|陈配锋

Monthly Archives: 7月 2015

chmod +chown 深入理解用户组

Linux命令——chmod

命令描述

变更文件或目录的权限。在UNIX系统家族里，文件或目录权限的控制分别以读取，写入，执行3种一般权限来区分，另有3种特殊权限可供运用，再搭配拥有者与所属群组管理权限范围。您可以使用chmod指令去变更文件与目录的权限，设置方式采用文字或数字代号皆可。符号连接的权限无法变更，如果您对符号连接修改权限，其改变会作用在被连接的原始文件。

权限范围的表示法如下：

u：User，即文件或目录的拥有者。

g：Group，即文件或目录的所属群组。

o：Other，除了文件或目录拥有者或所属群组之外，其他用户皆属于这个范围。

a：All，即全部的用户，包含拥有者，所属群组以及其他用户。

有关权限代号的部分，列表于下：

r：读取权限，数字代号为”4″。

w：写入权限，数字代号为”2″。

x：执行或切换权限，数字代号为”1″。

-：不具任何权限，数字代号为”0″。

s：特殊?b>功能说明：变更文件或目录的权限。

语法

chmod [-cfRv][–help][–version][<权限范围>+/-/=<权限设置…>][文件或目录…]

chmod [-cfRv][–help][–version][数字代号][文件或目录…]

chmod [-cfRv][–help][–reference=<参考文件或目录>][–version][文件或目录…]

选项说明

-c或–changes 效果类似”-v”参数，但仅回报更改的部分。

-f或–quiet或–silent 不显示错误信息。

-R或–recursive 递归处理，将指定目录下的所有文件及子目录一并处理。　　-

v或–verbose 显示指令执行过程。

–help 在线帮助。

–reference=<参考文件或目录> 把指定文件或目录的权限全部设成和参考文件或目录的权限相同

–version 显示版本信息。　　<权限范围>+<权限设置> 开启权限范围的文件或目录的该项权限设置。　　<权限范围>-<权限设置> 关闭权限范围的文件或目录的该项权限设置。　　<权限范围>=<权限设置> 指定权限范围的文件或目录的该项权限设置。

范例

范例一 ：将档案 file1.txt 设为所有人皆可读取 :　chmod ugo+r file1.txt

将档案 file1.txt 设为所有人皆可读取 : 　　chmod a+r file1.txt

将档案 file1.txt 与 file2.txt 设为该档案拥有者，与其所属同一个群体者可写入，但其他以外的人则不可写入 : 　　chmod ug+w,o-w file1.txt file2.txt

将 ex1.设定为只有该档案拥有者可以执行 : 　　chmod u+x ex1

将目前目录下的所有档案与子目录皆设为任何人可读取 : 　　chmod -R a+r *

当其他用户执行oracle的sqlplus这个程序时，他的身份因这个程序暂时变成oracle　　chmod u+s sqlplus

此外,chmod也可以用数字来表示权限如 chmod 777 file (代表u,g,o都有可读可写可执行权限)

语法为：chmod abc file 　　其中a,b,c各为一个数字，分别表示User、Group、及Other的权限。　　r=4，w=2，x=1 　　若要rwx属性则4+2+1=7；　　若要rw-属性则4+2=6；　　若要r-x属性则4+1=5。　　

范例二：chmod a=rwx file 和 chmod 777 file 效果相同

chmod ug=rwx,o=x file 和 chmod 771 file 效果相同

若用chmod 4755 filename可使此程式具有root的权限　　

范例三：　　如果在cd /media/amasun/java/develop/array之后执行　　chmod 777 ./　　是将本目录(即/media/amasun/java/develop/array)设为任何人可读,写,执行

如果是管理员也就是常说的ROOT用户的话，基本上有可以查看所有文件的权力.

Linux 命令 chown

: Linux/Unix 是多人多工作业系统，所有的档案皆有拥有者。利用 chown 可以将档案的拥有者加以改变。一般来说，这个指令只有是由系统管理者(root)所使用，一般使用者没有权限可以改变别人的档案拥有者，也没有权限可以将自己的档案拥有者改设为别人。只有系统管理者(root)才有这样的权限。

范例：

将档案 file1.txt 的拥有者设为 users群体的使用者 jessie :

chown users:jessie file1.txt

将目前目录下的所有档案与子目录的拥有者皆设为 users 群体的使用者 lamport :

chown -R lamport:users *

功能：更改某个文件或目录的属主和属组。

这个命令也很常用。例如root用户把自己的一个文件拷贝给用户xu，为了让用户xu能够存取这个文件，root用户应该把这个文件的属主设为xu，否则，用户xu无法存取这个文件。

语法：chown [选项] 用户或组文件

说明：chown将指定文件的拥有者改为指定的用户或组。用户可以是用户名或用户I D。组可以是组名或组ID。文件是以空格分开的要改变权限的文件列表，支持通配符。

该命令的各选项含义如下：

-R 递归式地改变指定目录及其下的所有子目录和文件的拥有者。

-v 显示chown命令所做的工作。

chgrp和chown 的都是转移文件属主

但是chown只能在同一个用户组里面转换而chgrp可以转移到不同的用户组

比如搭建git服务器时，用到的命令：

a@server:~$ sudo chown git:git /home/repo //将repo文件属组和属主设为git:git
a@server:~$ sudo chmod 700 /home/repo //将文件repo 设为只能由其属主可读可写可执行。

通过正则表达式在中设置不包含的页面

比如写如下的配置文：
<filter-mapping>
<filter-name>AdminFilter</filter-name>
<url-pattern>/admin/*</url-pattern>
</filter-mapping>
那么admin目录下所有的文件都将在访问前被过滤器拦截，包括login.jsp。

我们可以自己在 Filter 里用正则表达式进行二次过滤，过滤的正则表达式可以通过：

<filter>
	<filter-name>LoginFilter</filter-name>
	<filter-class>com.test.LoginFilter</filter-class>
	<init-param>
		<param-name>UrlRegx</param-name>
		<param-value><!--你的正则表达式--></param-value>
	</init-param>
</filter>

CAS返回更多用户信息

1.修改deployerConfigContext.xml文件

2.修改casServiceValidationSuccess.jsp文件

3.最后修改client端的web.xml文件:

	<!-- ======================== 单点登录开始 ======================== -->
	<!-- 用于单点退出，该过滤器用于实现单点登出功能，可选配置 -->
	<listener>
		<listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
	</listener>
	<filter>
		<filter-name>CAS Single Sign Out Filter</filter-name>
		<filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>CAS Single Sign Out Filter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

	<filter>
		<filter-name>CAS Filter</filter-name>
		<filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
		<init-param>
			<param-name>casServerLoginUrl</param-name>
			<param-value>http://localhost:8080/cas</param-value>
		</init-param>
		<init-param>
			<param-name>serverName</param-name>
			<param-value>http://localhost:8080</param-value>
		</init-param>
	</filter>
	<filter-mapping>
		<filter-name>CAS Filter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

	<!-- 该过滤器负责对Ticket的校验工作，必须启用它 -->
	<filter>
		<filter-name>CAS Validation Filter</filter-name>
		<filter-class>
			org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter
		</filter-class>
		<init-param>
			<param-name>casServerUrlPrefix</param-name>
			<param-value>http://localhost:8080/cas</param-value>
		</init-param>
		<init-param>
			<param-name>serverName</param-name>
			<param-value>http://localhost:8080</param-value>
		</init-param>
		<init-param>
			<param-name>encoding</param-name>
			<param-value>UTF-8</param-value>
		</init-param>
	</filter>
	<filter-mapping>
		<filter-name>CAS Validation Filter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

	<!-- 该过滤器负责实现HttpServletRequest请求的包裹， -->
	<!-- 比如允许开发者通过HttpServletRequest的getRemoteUser()方法获得SSO登录用户的登录名，可选配置。 -->

	<filter>
		<filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
		<filter-class>
			org.jasig.cas.client.util.HttpServletRequestWrapperFilter
		</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

	<!-- 该过滤器使得开发者可以通过org.jasig.cas.client.util.AssertionHolder来获取用户的登录名。 -->
	<!-- 比如AssertionHolder.getAssertion().getPrincipal().getName()。根据客户端获取的方式可以选择使用这两种 -->


	<!-- <filter> <filter-name>CAS Assertion Thread Local Filter</filter-name> 
		<filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class> 
		</filter> <filter-mapping> <filter-name>CAS Assertion Thread Local Filter</filter-name> 
		<url-pattern>/*</url-pattern> </filter-mapping> -->

	<!-- ======================== 单点登录结束 ======================== -->

4.可以用以下jsp代码来验证是否成功获取用户的更多信息:

	<%
	out.write("request.getUserPrincipal()="+request.getUserPrincipal());
	%>
	
	<br/><br/>


<%
//HttpServletRequest request = ServletActionContext.getRequest();
/*获取单点登录服务器传递过来的用户信息*/
AttributePrincipal principal = (AttributePrincipal) request.getUserPrincipal();
if (principal!=null) {
	out.write("principal不为空...");
	Map<String, Object> attributes = principal.getAttributes();
	for (String key : attributes.keySet()) {
		System.out.println(key+"="+attributes.get(key));
	}
}else{
	out.write("principal为空...");
}
%>

取消CAS的HTTPS登陆

1、修改WEB-INF\deployerConfigContext.xml，加入

 p:requireSecure="false"

即

<property name="authenticationHandlers">
			<list>
				<!--
					| This is the authentication handler that authenticates services by means of callback via SSL, thereby validating
					| a server side SSL certificate.
					+-->
				<bean class="org.jasig.cas.authentication.handler.support.HttpBasedServiceCredentialsAuthenticationHandler"
					p:httpClient-ref="httpClient" p:requireSecure="false"/>
				<!--
					| This is the authentication handler declaration that every CAS deployer will need to change before deploying CAS 
					| into production.  The default SimpleTestUsernamePasswordAuthenticationHandler authenticates UsernamePasswordCredentials
					| where the username equals the password.  You will need to replace this with an AuthenticationHandler that implements your
					| local authentication strategy.  You might accomplish this by coding a new such handler and declaring
					| edu.someschool.its.cas.MySpecialHandler here, or you might use one of the handlers provided in the adaptors modules.
					+-->
				<bean
					class="org.jasig.cas.authentication.handler.support.SimpleTestUsernamePasswordAuthenticationHandler" />
			</list>
		</property>

2、修改WEB-INF\spring-configuration\ticketGrantingTicketCookieGenerator.xml，修改p:cookieSecure=”false”

	<bean id="ticketGrantingTicketCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator"
		p:cookieSecure="false"
		p:cookieMaxAge="-1"
		p:cookieName="CASTGC"
		p:cookiePath="/cas" />

3、修改修改WEB-INF\spring-configuration\warnCookieGenerator.xml，修改p:cookieSecure=”false”

	<bean id="warnCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator"
		p:cookieSecure="false"
		p:cookieMaxAge="-1"
		p:cookieName="CASPRIVACY"
		p:cookiePath="/cas" />

经过以上三步，cas server端修改完毕

CAS配合server4.0返回用户更多信息

打开deployerConfigContext.xml

<bean id="attributeRepository" class="org.jasig.services.persondir.support.StubPersonAttributeDao"
            p:backingMap-ref="attrRepoBackingMap" />

将以上代码替换成以下代码:

<bean id="attributeRepository" class="org.jasig.services.persondir.support.jdbc.SingleRowJdbcPersonAttributeDao">
		<!-- 指定使用的数据源，此处dataSource是已配置好的数据源 -->
		<constructor-arg index="0" ref="dataSource" />
		<!-- 从数据库中查询信息的SQL语句，通常只需要修改表名即可 -->
		<constructor-arg index="1" value="select * fromuserinfo where {0}" />
		<property name="queryAttributeMapping">
			<map>
				<!-- 上述查询的参数，将userName替换为表中表示用户名的字段名称 -->
				<entry key="username" value="userName" />
			</map>
		</property>
		<property name="resultAttributeMapping">
			<map>
				<!-- 需要返回给Web应用的其它信息，多个信息时可继续增加entry节点 -->
				<!--key值为数据表中的字段名称，value值为Client端取值时的名称标识 -->
				<entry key="address" value="address" />
			</map>
		</property>
	</bean>

接着在这个文件最后的 bean class=”org.jasig.cas.services.RegexRegisteredService” 标签内加上 p:ignoreAttributes=”true”

jsp中Java的运行环境版本等信息显示

		<table width="100%" cellpadding="5">
			<tr>
				<th width="170">Java的运行环境版本</th>
				<td width="*"><%=System.getProperties().getProperty("java.version")%></td>
			</tr>
			<tr>
				<th>Java的运行环境供应商</th>
				<td><%=System.getProperties().getProperty("java.vendor")%></td>
			</tr>
			<tr>
				<th>Java供应商的URL</th>
				<td><%=System.getProperties().getProperty("java.vendor.url")%></td>
			</tr>
			<tr>
				<th>Java的安装路径</th>
				<td><%=System.getProperties().getProperty("java.home")%></td>
			</tr>
			<tr>
				<th>Java的虚拟机规范版本</th>
				<td><%=System.getProperties().getProperty("java.vm.specification.version")%></td>
			</tr>
			<tr>
				<th>Java的虚拟机规范供应商</th>
				<td><%=System.getProperties().getProperty("java.vm.specification.vendor")%></td>
			</tr>
			<tr>
				<th>Java的虚拟机规范名称</th>
				<td><%=System.getProperties().getProperty("java.vm.specification.name")%></td>
			</tr>
			<tr>
				<th>Java的虚拟机实现版本</th>
				<td><%=System.getProperties().getProperty("java.vm.version")%></td>
			</tr>
			<tr>
				<th>Java的虚拟机实现供应商</th>
				<td><%=System.getProperties().getProperty("java.vm.vendor")%></td>
			</tr>
			<tr>
				<th>Java的虚拟机实现名称</th>
				<td><%=System.getProperties().getProperty("java.vm.name")%></td>
			</tr>
			<tr>
				<th>Java运行时环境规范版本</th>
				<td><%=System.getProperties().getProperty("java.specification.version")%></td>
			</tr>
			<tr>
				<th>Java运行时环境规范供应商</th>
				<td><%=System.getProperties().getProperty("java.specification.vender")%></td>
			</tr>
			<tr>
				<th>Java运行时环境规范名称</th>
				<td><%=System.getProperties().getProperty("java.specification.name")%></td>
			</tr>
			<tr>
				<th>Java的类格式版本号</th>
				<td><%=System.getProperties().getProperty("java.class.version")%></td>
			</tr>
			<tr>
				<th>Java的类路径</th>
				<td><%=System.getProperties().getProperty("java.class.path")%></td>
			</tr>
			<tr>
				<th>加载库时搜索的路径列表</th>
				<td><%=System.getProperties().getProperty("java.library.path")%></td>
			</tr>
			<tr>
				<th>默认的临时文件路径</th>
				<td><%=System.getProperties().getProperty("java.io.tmpdir")%></td>
			</tr>
			<tr>
				<th>一个或多个扩展目录的路径</th>
				<td><%=System.getProperties().getProperty("java.ext.dirs")%></td>
			</tr>
			<tr>
				<th>操作系统的名称</th>
				<td><%=System.getProperties().getProperty("os.name")%></td>
			</tr>
			<tr>
				<th>操作系统的构架</th>
				<td><%=System.getProperties().getProperty("os.arch")%></td>
			</tr>
			<tr>
				<th>操作系统的版本</th>
				<td><%=System.getProperties().getProperty("os.version")%></td>
			</tr>
			<tr>
				<th>文件分隔符</th>
				<td><%=System.getProperties().getProperty("file.separator")%></td>
			</tr>
			<tr>
				<th>路径分隔符</th>
				<td><%=System.getProperties().getProperty("path.separator")%></td>
			</tr>
			<tr>
				<th>行分隔符</th>
				<td><%=System.getProperties().getProperty("line.separator")%></td>
			</tr>
			<tr>
				<th>用户的账户名称</th>
				<td><%=System.getProperties().getProperty("user.name")%></td>
			</tr>
			<tr>
				<th>用户的主目录</th>
				<td><%=System.getProperties().getProperty("user.home")%></td>
			</tr>
			<tr>
				<th>用户的当前工作目录</th>
				<td><%=System.getProperties().getProperty("user.dir")%></td>
			</tr>
		</table>

添加vsftp账号

直接使用命令：

添加ftp账号www，指定/home/www为www的宿主目录，该账户号默认不能登陆系统

useradd -d /home/mytest/ -g ftp -s /sbin/nologin mytest

修改账号密码：

passwd mytest

修改指定目录权限：

chown -R mytest /home/mytest

CentOS yum 安装 vsftpd

vsftpd是一款在Linux发行版中最受推崇的FTP服务器程序。特点是小巧轻快，安全易用，下面直接上干货。

一、安装vsftp

以管理员的身份使用yum命令安装vsftp：

[root@localhost ~]#yum install vsftpd

根据系统yum的不同，可能无法找到软件包源，可以按照这里的方法解决

二、设置vsftp开机自动启动

1、查看开机自动启动服务项目

[root@localhost ~]# chkconfig –list

2、设置vsftpd服务开机自动启动

[root@localhost ~]# chkconfig –level 35 vsftpd on

三、配置环境

1、添加vsftp账号，指定账号权限

■ 添加ftp账号www，指定/home/www为www的宿主目录，该账户号默认不能登陆系统。

[root@localhost ~]# useradd -s /bin/nologin -d /home/www www #nologin的位置通常在/usr/sbin/nologin或/sbin/nologin位置，如果指定错误则无法登陆。

■ 修改账号密码。

[root@localhost ~]# passwd www

■ 修改指定目录权限。

[root@localhost ~]# chown -R www /home/www #-R参数：递归设置/home/www目录及期子目录的所有者为用户www。

2、配置vsftp

编辑vsftp的配置文件/etc/vsftpd/vsftpd.conf，修改配置文件相关配置项，如下：

anonymous_enable=NO #不允许匿名登陆

ascii_upload_enable=YES #上传时允许ASCII模式

ascii_download_enable=YES #下载时允许ASCII模式

local_enable=YES #允许本地用户登录ftp服务器，默认是允许，不包含id为500以下用户陆

write_enable=YES #允许用户具有在ftp服务器文件中具有写的权限

chroot_local_user=YES ##是否将所有用户锁定在主目录，YES为启用 NO禁用

chroot_list_enable=YES #是否启动锁定用户的名单，YES为启用 NO禁用

chroot_list_file=/etc/vsftpd/chroot_list #当chroot_list_enable=YES时，该项有效，禁用的列表名单格式为一行一个用户，如果名单里面有一个test01的用户, 则test01用户不会锁定在主目录，用户将可以自由切换目录。

举例:

情况一：

现在有 test1 test2 test3 这三个ftp的用户，想让1跟2用户锁定主目录不允许切换到其他目录，但是允许3用户自由切换那么/etc/vsftpd/chroot_list列表名单如下:

test3

也就说chroot_local_user=YES，并且chroot_list_enable=YES的时候，/etc/vsftpd/chroot_list名单里面添加的是排除锁定主目录的用户名单。

情况二：

如果chroot_local_user=NO并且chroot_list_enable=YES的时候，那么/etc/vsftpd/chroot_list列表名单如下:

test1

test2

情况三:

如果chroot_local_user=YES 并且 chroot_list_enable=NO 的时候那列表名单也就不生效了，因此满足上面的条件时，所有的FTP用户将全部锁定在主目录。

ls_recurse_enable=YES #启用递归

listen=YES #使用IPV4时设置为YES

listen_ipv6=NO #使用IPV6时设置为YES

local_root=/data/ftproot #指定根目录，如果未指定，用户的宿主目录将作为FTP主目录

use_localtime=YES # use localtime

seccomp_sandbox=NO #turn off for seccomp filter ( if you cannot login, add this line )

3、修改shells配置

编辑shell的配置文件/etc/shells，如果文件中没有/sbin/nologin或者usr/sbin/nologin，在文件中追加该上即可。

4、配置防火墙

编辑/etc/sysconfig/iptables文件，在REJECT行之前添加如下命令：

-A INPUT -m state –state NEW -m tcp -p tcp –dport 21 -j ACCEPT #从上一行中进行复制粘贴后修改端口号为21即可

添加后保存，然后重启防火墙服务。

[root@localhost ~]# service iptables restart #其它命令：service iptables stop停止防止墙服务

六、启动vsftp并测试登陆

启动vsftp服务

[root@localhost ~]# service vsftpd start #其它命令：service vsftpd restart重启FTP服务、service vsftpd stop停止FTP服务

服务成功启动后，用FTP客户端登陆即可（推荐使用Xshell ），ftpadmin管理目录是/www/web。

七、错误处理

1、500 OOPS: cannot change directory:/home/www

该错误原因是在CentOS系统下默认安装了SELinux，没有开启FTP支持，所以访问时都被阻止了，需要手动开启。

[root@localhost ~]# getsebool -a|grep ftp #查看所有ftp设置

[root@localhost ~]# setsebool ftp_home_dir 1 #setsebool -P ftp_home_dir 1 使用P参数实现重启后ftp_home_dir自动为1

一	二	三	四	五	六	日
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30	31

思维网络|站长博客|陈配锋

这是一个思维完全开放的世界,站长的人生经历,经验分享,知识共享.

Monthly Archives: 7月 2015

Linux命令——chmod

命令描述

语法

选项说明

范例