主要讲两个用户管理的案例:
1:
限制用户su为root,只允许某个组的的用户su
# groupadd sugroup 首先添加我们的用户组
# chmod 4550 /bin/su 改变命令的权限
# chgrp sugroup /bin/su 改变命令的所属组
# ls -l /bin/su 查看命令的权限
-r-sr-x--- 1 root sugroup 18360 Jan 15 2010 /bin/su
设定后,只有sugroup组中的用户可以使用su切换为root
# useradd helen
# passwd helen
# usermod -G sugroup helen 将我们允许的用户添加改组中
2:
我们想让某个用户管理我的Apache服务器,给用户赋予权限:
我们需要拥有以下权利;
Apache
1、编辑Apache配置文件
2、使用Apache启动脚本
3、更新网页
实现1可以有三种方法:
a、设置用户为配置文件的所有者, 然后利用chmod改变权限
b:改变该文件的所属组,然后将用户添加到该组,授予新组w的权限
c:visudo 用户 本机地址 = /bin/vi /etc/httpd/conf/httpd.conf
c比较灵活,而且符合授权精细化原则。所以我们主要使用c
首先利用root用户 visudo 的配置。
添加 用户 本机地址 = /bin/vi /etc/httpd/conf/httpd.conf
然后切换到该用户,利用sudo /bin/vi /etc/httpd/conf/httpd.conf 即可编辑该文件,只能编辑给予配置的文件
2:
/etc/rc.d/init.d/httpd
只允许用户使用这几个权限start reload fullstatus configtest
我们就可以在后边继续利用“,”分割然后累加权限即可
3:
grep DocumentRoot /etc/httpd/conf/httpd.conf
只要对/var/www/html有写权限即可
权限管理的精细化,非常必要。服务启动越少越好,用户权限越小越好。