网站建设哪家好,找创新互联建站!专注于网页设计、网站建设、微信开发、小程序定制开发、集团企业网站建设等服务项目。为回馈新老客户创新互联还提供了德令哈免费建站欢迎大家使用!
一般来说,root权限是在系统管理员手中,不能轻易就给了普通用户,但是有时普通用户想做一些高级一点的操作,又得麻烦系统管理员,比如啊,改个程序文件重启个Apache等等。
于是就有了root权限的下放,使得普通用户能够执行root用户才能执行的命令。
一、有效的UID与真实的UID。
当系统管理员在shell环境中运行passwd命令时,shell首先会创建另一个shell进程。新创建的shell进程映像将载入 passwd可执行映像并覆盖自己的映像,passwd进程就开始运行。当一个进程被创建之后,passwd进程会从shell父进程中继承大部分的属 性。跟今天这个话题有关的属性主要有两个。一是进程真实的UID。这个属性与程序文件有关。这个参数代表了运行这个进程的用户(而非程序文件)的UID, 通常情况下这个参数保存在/etc/passwd中与用户有关的记录中。二是进程有效的UID。这个参数其实就表示程序文件的所有者,即谁能够执行这个命 令。通常情况下,进程的有效UID与真实UID是相同的。但是当非root用户运行passwd命令时,他们就会不同。
二、PASSWD文件的特殊性。
在了解如何实现将root帐户的权限下放给其他用户之前,先来看一下passwd这个命令文件跟其他文件的不同。如下图所示,系统管理员可以运行图中所示的命令,来查看passwd程序文件与其它程序文件(如vi)的不同。
[root@localhost ~]# ls -l /bin/vi /usr/bin/passwd
-rwxr-xr-x. 1 root root 910200 Jan 30 2014 /bin/vi
-rwsr-xr-x. 1 root root 27832 Jan 30 2014 /usr/bin/passwd
对比以上两个文件的属性,大家会发现在passwd文件里的一个权限位上标有s这个特殊的字符。这个参数就被称为属主身份设置位,英文简称为 SUID,它可以用来改变一般用户的权限模式。当非root用户执行passwd更改自己帐户的名字时,真实的UID就是这个用户自己的UID,即运行这 个程序的用户。但是有效的UID则不是。有效的UID是root用户,即这个程序文件的所有者。通常情况下,进程或者命令的存取、运行权限不是由真是 UID而是有有效UID决定的,故如果没有这个s这个特殊属主身份设置时,其他用户将无法使用这个命令。而现在其他用户也可以利用passwd命令来更改 自己的命令,可见这个属主身份设置位可以改变一般用户的权限模式,可以将本来只有root帐户才能够运行的进程下放给其他用户运行。
三、临时权限SUID。
将本来只有root帐户才能够运行的进程下放给其他用户运行,有专家就把这种权限的转移叫做临时权限SUID。大部分的Unix系统都有这么一个特 殊的权限设置模式,允许用户更新一些敏感的系统文件。往往在这些文件的用户权限组里面有一个特殊的字母s,就代表一种特殊的模式,即属主身份设置位。利用 这种模式系统工程师可以让进程暂时拥有文件所有者的特权。因此当一个非特权用户执行passwd命令时,进城有效的UID并不是用户真实的UID。 Passwd命令真是利用这个特性让其他非特权用户可以执行这个passwd命令。Passwd命令默认情况下系统就允许其他非特权用户运行。但是其他一 些系统维护命令,如网络配置文件则不是。如果系统工程师要把网络维护的工作分配给他人,就需要借鉴passwd的配置,将网络配置文件的修改权限下放给其 他用户。
四.用户权限下放(sudo 命令权限下放)
在CentOS/Redhat中,root权限的下放可以通过/etc/sudoers 文件来实现。
我们打开这个文件。
这个文件的开头就写明了这个文件的用途:
Sudoers allows particular users to run various commands as the root user, without needing the root password.
在文件的最底部给出了使用的格式。
## Allows people in group wheel to run all commands
# %wheel ALL=(ALL) ALL
## Same thing without a password
# %wheel ALL=(ALL) NOPASSWD: ALL
这里有四个部分,第一个%wheel表示的是用户组,第二个部分ALL是作用对象,也就是在哪个主机上有效, 第三部分是以谁的身份来运行,第四个部分就是要执行的命令了。
举个例子:我们要允许www组的用户拥有重启apache的权利,我们就可以在这个文件底部添加:
%www ALL=(root) /usr/sbin/apachectl -k start
www ALL=(root) /usr/sbin/apachectl -k restart
注意:加上%指定的是用户组,不加%指定的是用户。执行命令这里一定要写完整路径,毕竟每个用户的环境变量都不一样。
然后保存,注意一定要强制保存,加上叹号。
另外有需要云服务器可以了解下创新互联cdcxhl.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。