一、虚拟机网络设定
克隆一台node1
在node1上进行网络配置
进入网卡配置目录
# 红帽9网卡配置文件目录,其他版本不一样
[root@localhost ~]# cd /etc/NetworkManager/system-connections/
网卡配置文件
[root@localhost system-connections]# vim ens160.nmconnection
[root@localhost system-connections]# nmcli connection reload
[root@localhost system-connections]# nmcli connection up ens160
二、sshd
更改sshd配置文件,允许超级用户登录
[root@localhost ~]# vim /etc/ssh/sshd_config
PermitRootLogin yes 允许超级用户登录,不更改Xshell连接不上
重启sshd服务
[root@localhost ~]# systemctl restart sshd
纯净实验环境
[root@localhost ~]# rm -rf ~/.ssh/
生成密钥
[root@localhost ~]# ssh-keygen -f /root/.ssh/id_rsa -P ""
-f /root/.ssh/id_rsa -f 指定密钥位置 -P ""指定密码为空
[root@localhost ~]# ssh-keygen -f /root/.ssh/id_rsa -P ""
Generating public/private rsa key pair.
Your identification has been saved in /root/.ssh/id_rsa
Your public key has been saved in /root/.ssh/id_rsa.pub
The key fingerprint is:
SHA256:kEygDZAjI1PYKaiaCMV1bFnKR2bjzq5HS+EA49RX+hk root@localhost.localdomain
The key's randomart image is:
+---[RSA 3072]----+
|oBooo+oo*.. |
|@ =++==B.o |
|+*.o.+*.+ E |
|o . .=.. o |
|+. oS.o |
|+ .+ |
| o.. |
| .o |
| .. |
+----[SHA256]-----+
上锁
# 锁root用户
[root@localhost ~]# ssh-copy-id -i /root/.ssh/id_rsa.pub root@172.25.254.128
[root@localhost ~]# ssh-copy-id -i /root/.ssh/id_rsa.pub root@172.25.254.128
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_rsa.pub"
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@172.25.254.128's password:
Number of key(s) added: 1
Now try logging into the machine, with: "ssh 'root@172.25.254.128'"
and check to make sure that only the key(s) you wanted were added.
root用户被公钥加密成功
三、用户管理
监控动作
[root@localhost ~]# watch -n 1 "tail -n 3 /etc/passwd /etc/group;ls -l /home"
用户建立时的命令
useradd test 创建用户
userdel -r test 删除用户及其相关文件
useradd -M test 不建立用户的家目录
useradd -s /sbin/nologin test -s建立系统账号,非交互式
useradd -d /mnt test 指定用户存放的工作目录,一般为/home
四、权限管理
在Linux系统中,用户对文件或目录的访问权限除了r、w、x三种一般权限外,还有SET UID(SUID)、SET GID(SGID)、Sticky Bit(粘滞位)三种特殊权限,用于对文件或目录进行更加灵活方便的访问控制。
1、SUID 权限的含义:是为了让一般用户在执行某些程序的时候, 在程序的运行期间, 暂时获得该程序文件所属者的权限。
分析:student用户要更改自己的密码
■ student 在执行 passwd 修改自己的密码时, 其修改的密码, 最终是需要保存到 /etc/shadow
这个文件中, 而这个文件的权限是 --------- ,它的拥有者是 root ,也只有 root 可以“ 强制” 存储, 其他用户连看都不行。
■ 可偏偏 student 去执行 passwd (/usr/bin/passwd) ,却可以更新自己的密码。
这就是因为有 s 权限的存在,当 s权限在拥有者的权限位上时, 即如 -rwsr-xr-x 这样时, 称为SUID 。SUID 即 Set UID , UID 指的是拥有者的的 ID, 而这个程序 (/usr/bin/passwd) 的拥有者为(root) 。
注意:
-
suid仅对二进制文件有效。
-
在执行过程中,调用者会暂时获得该文件的所有者权限。
-
该权限只在程序执行的过程中有效。
# find / -perm /4000
■ 0 表示为无的权限
■ 4 代表拥有者的 s 权限位
■ /4000 代表权限至少是4000
2、SGID 权限
SGID 可以用在两个方面:
■ 文件: 如 果 SGID 设置在二进制文件上, 则不论用户是谁,在执行该程序的时候,程序的所属组将会变成该程序文件的所属组。
■ 目录, 如 果 SGID 是设置在 A 目录上, 则在 A 目录内所建立的文件或目录的所属组, 将会是此 A目录的所属组。
一 般来说, SGID 多用在特定的多人团队的项目开发上,在系统中用的很少。
该如何查询整个系统中设置了 SGID 的文件呢 ?
# find / -perm /2000
■ 0 表示为无的权限
■ 2 代表所属组的 s 权限位
■ /2000 代表权限至少是2000
3、Sticky Bit 权限
Sticky Bit (SBit) 当前只针对目录有效, 对文件没有效果。其对目录的作用是:
■ 在 具 有 SBit 的目录下, 用户若在该目录下具有 w 及 x 权限 , 则当用户在该目录下建立文件或目录时, 只有文件拥有者与 root 才有权力删除。
例如:当 student 用户属于 A 目录的组成员或属于 other ,且拥有 wx 权限时, 可以对该目录内任何人建立的目录或文件进行“ 删除/重命名/移动” 等操作。 如果将 A 目录加上了 Sticky Bit 权限, 则 student用户只能针对自己建立的文件或目录进行“ 删除/重命名/移动” 等操作。
4、设置文件和目录的特殊权限
为文件或目录添加三种特殊权限同样可以通过chmod命令来实施,使用“u±s”、“g±s”、“o±t”的字符权限模式分别用于添加和移除SUID、GUID、sticky权限。
若使用数字形式的权限模式,可采用“nnnn”格式的四位八进制数字表示,其中:后面三位是一般权限的数字表示,前面第一位则是特殊权限的标志数字:
0——表示不设置特殊权限
1——表示只设置sticky
2——表示只设置GUID权限
3——表示只设置SGID和sticky权限
4——表示只设置SUID权限
5——表示只设置SUID和sticky权限
6——表示只设置SUID和SGID
7——表示同时设置SUID、GUID、sticky3种权限
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
