Linux有用户和用户组的概念,为了区分不同用户和用户组对资源的利用管理''范围'',还需要配合Linux权限管理,下面简单记录下,以下操作全部基于centos6.5。
权限及其操作
权限一般有逻辑权限、物理权限,以及用户root权限的说法。
逻辑权限
随便打开一个文件或文件夹,使用ll命令后可以查看逻辑权限的内容。
# 这个文件的权限为:root用户可读可写,root用户组可读,其他用户可读
-rw-r--r--. 1 root root 0 Oct 16 13:12 messi
那具体前面那一串-rw-r--r--是什么意思,参考如下表格。
| 字符 | 含义 |
|---|---|
| - | 占1位,-代表普通文件类型,d代表目录,l代表符号链接文件,b代表块文件等 |
| 用户权限 | 占2-4位,r代表读权限,w代表写权限,x代表执行权限 |
| 用户组权限 | 占5-7位,权限同上 |
| 其他权限 | 占8-10位,权限同上 |
这就是逻辑权限的概念,对应的命令就是chmod,下面演练一下,具体命令解释在注释中。
给hadoop目录设置用户可读可写可执行,给用户组设置可读可执行,给其他用户设置可读可执行权限。
# 直接用数字
[root@node02 /home]# chmod 755 hadoop
# 指定用户使用u,指定用户组使用g,指定其他使用o,如果是所有都执行则指定a
[root@node02 /home]# chmod u+rwx,g+rx,o+rx hadoop
[root@node02 /home]# ll
total 20
# 修改hadoop目录权限成功
drwxr-xr-x. 2 root root 4096 Oct 16 16:47 hadoop
给hadoop设置不可读写操作权限,再修改为用户,用户组和其他都具有可执行权限。
[root@node02 /home]# chmod 000 hadoop
[root@node02 /home]# ll
total 20
# 修改成功
d---------. 2 root root 4096 Oct 16 16:47 hadoop
[root@node02 /home]# chmod +x hadoop
[root@node02 /home]# ll
total 20
# 修改成功
d--x--x--x. 2 root root 4096 Oct 16 16:47 hadoop
物理权限
物理权限可以修改某个文件或文件夹不可以修改、增加和删除等权限,一般不给根目录/、临时文件夹/tmp、日志文件夹/var,挂载文件夹/dev设置。
添加物理权限语法为 chattr [选项] 文件名或目录名
[root@node02 /home]# chattr --help
Usage: chattr [-RVf] [-+=AacDdeijsSu] [-v version] files..
其中常用选项如下:
| 选项 | 解释 |
|---|---|
| i | 表示不能对文件或文件夹进行修改、增加和删除 |
| a | 表示文件或文件夹只能追加操作,不能修改和删除 |
| R | 递归处理 |
| S | 即时更新文件或目录 |
| s | 保密删除文件或目录 |
| + <属性> | 开始某个物理权限 |
| - <属性> | 关闭某个物理权限 |
查看物理权限语法为 lsattr [选项] 文件或文件夹
-R Recursively list attributes of directories and their contents.
-a List all files in directories, including files that start with ‘.’.
-d List directories like other files, rather than listing their contents.
将hadoop文件夹设置为不可修改、增加和删除操作,然后尝试在文件夹里新建文件。
# 修改物理权限
[root@node02 /home]# chattr +i hadoop
# 查看物理权限,包括隐藏文件
[root@node02 /home]# lsattr -a hadoop
-------------e- hadoop/..
----i--------e- hadoop/.
[root@node02 /home]# cd hadoop
# 在hadoop文件夹下新建文件,提示不允许
[root@node02 /home/hadoop]# touch log.txt
touch: cannot touch `log.txt': Permission denied
修改hadoop文件夹为可追加,再次尝试在文件夹里新建文件。
# 关闭i物理权限
[root@node02 /home]# chattr -i hadoop
# 增加a物理权限,代表可追加
[root@node02 /home]# chattr +a hadoop
# 查看已添加可追加权限
[root@node02 /home]# lsattr -a
-----a-------e- ./hadoop
[root@node02 /home]# cd hadoop
[root@node02 /home/hadoop]# touch log.txt
[root@node02 /home/hadoop]# ll
total 0
# 添加文件成功
-rw-r--r--. 1 root root 0 Oct 16 17:21 log.txt
[root@node02 /home/hadoop]#
普通用户root权限
sudo命令让普通用户也可以拥有root的权限,这样在普通用户下可以执行root用户部分操作,它有如下优点。
(1)可以使用root用户配置的环境
(2)不需要切换root用户也可以执行操作
(3)限制用户执行有限的root权限
(4)可以记录sudo命令,方便后续查看操作日志,排查危险操作
下面是参考博文完成的sudo操作日志记录。
a 修改/etc/rsyslog.conf文件,添加如下内容到文件最后
[root@node02 /var/log]# vim /etc/rsyslog.conf
# 打印sudo操作记录
local2.debug /var/log/sudo.log
b 使用visudo命令编辑/etc/sudoers,添加如下内容到最后
[root@node02 /var/log]# visudo
## 记录sudo日志配置
Defaults logfile=/var/log/sudo.log
Defaults loglinelen=0
Defaults !syslog
c 在/etc/log目录下新建一个sudo.log文件,然后重启rsyslog服务
[root@node02 /var/log]# touch sudo.log
[root@node02 /var/log]# cat sudo.log
[root@node02 /var/log]# service rsyslog restart
Shutting down system logger: [ OK ]
Starting system logger: [ OK ]
d 切换到hadoop用户,执行一个cd操作
[root@node02 /home]# su hadoop
[hadoop@node02 /home]$ sudo cd /root
We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:
#1) Respect the privacy of others.
#2) Think before you type.
#3) With great power comes great responsibility.
[sudo] password for hadoop:
# 提示没有在sudoers添加hadoop sudo权限,需要修改/etc/sudoers文件
hadoop is not in the sudoers file. This incident will be reported.
e 添加hadoop sudo权限
## Allow root to run any commands anywhere
root ALL=(ALL) ALL
# 代表hadoop用户可以执行sudo命令,需要密码
hadoop ALL=(ALL) ALL
# 代表hadoop用户组可以执行sudo命令,需要密码
# %hadoop ALL=(ALL) ALL
# 代表hadoop用户可以执行sudo命令,不需要密码
# hadoop ALL=(ALL) NOPASSWD:ALL
# 代表hadoop用户组可以执行sudo命令,不需要密码
# %hadoop ALL=(ALL) NOPASSWD:ALL
f 重新执行发现成功执行sudo命令
[root@node02 /home]# su hadoop
[hadoop@node02 /home]$ sudo ls /home
[sudo] password for hadoop:
book hadoop messi passwd test
[hadoop@node02 /home]$ cat /var/log/sudo.log
# 第一条就是上面提示的没有添加hadoop到sudoers文件的日志
Oct 16 20:03:42 : hadoop : user NOT in sudoers ; TTY=pts/1 ; PWD=/home ; USER=root ; COMMAND=cd /root
# 正常执行 ls /home命令后的日志
Oct 16 20:19:00 : hadoop : TTY=pts/1 ; PWD=/home ; USER=root ; COMMAND=/bin/ls /home
权限应用实操
实操1:创建两个文件夹hadoop和hive,让文件夹对不同用户组的用户进行开放,用户组名bigdata01,bigdata02。
以下是实现的一种方式,利用权限,用户和组的知识来完成。
a 创建用户组bigdata01和bigdata02
[root@node02 /home]# groupdel bigdata01
[root@node02 /home]# groupdel bigdata02
[root@node02 /]# cat /etc/group
...
# 查看发现创建group成功
bigdata01:x:1000:
bigdata02:x:1001:
b 在/根目录下创建用户根目录bigclub,创建4个用户,让用户家目录在/bigclub目录下。
[root@node02 /]# mkdir bigclub
# 创建四个用户,指定家目录和用户组
[root@node02 /]# useradd -d /bigclub/stu1 -m -g bigdata01 stu1
[root@node02 /]# useradd -d /bigclub/stu2 -m -g bigdata01 stu2
[root@node02 /]# useradd -d /bigclub/stu3 -m -g bigdata02 stu3
[root@node02 /]# useradd -d /bigclub/stu4 -m -g bigdata02 stu4
[root@node02 /]# id stu1
uid=501(stu1) gid=1000(bigdata01) groups=1000(bigdata01)
[root@node02 /]# id stu2
uid=502(stu2) gid=1000(bigdata01) groups=1000(bigdata01)
[root@node02 /]# id stu3
uid=503(stu3) gid=1001(bigdata02) groups=1001(bigdata02)
[root@node02 /]# id stu4
uid=504(stu4) gid=1001(bigdata02) groups=1001(bigdata02)
[root@node02 /]# cd /bigclub
# 查看家目录
[root@node02 /bigclub]# ll
total 16
drwx------. 2 stu1 bigdata01 4096 Oct 16 21:37 stu1
drwx------. 2 stu2 bigdata01 4096 Oct 16 21:37 stu2
drwx------. 2 stu3 bigdata02 4096 Oct 16 21:37 stu3
drwx------. 2 stu4 bigdata02 4096 Oct 16 21:37 stu4
c 创建两个文件夹hadoop和hive,修改用户组,一个为bigdata01,一个为bigdata02,并将文件夹赋予770权限
# 创建文件夹
[root@node02 /tmp]# mkdir hadoop
[root@node02 /tmp]# mkdir hive
[root@node02 /tmp]# ll
total 8
drwxr-xr-x. 2 root root 4096 Oct 16 21:42 hadoop
drwxr-xr-x. 2 root root 4096 Oct 16 21:42 hive
-rw-------. 1 root root 0 Oct 11 17:39 yum.log
# 修改用户组
[root@node02 /tmp]# chown root:bigdata01 hadoop
[root@node02 /tmp]# chown root:bigdata02 hive
[root@node02 /tmp]# ll
total 8
drwxr-xr-x. 2 root bigdata01 4096 Oct 16 21:42 hadoop
drwxr-xr-x. 2 root bigdata02 4096 Oct 16 21:42 hive
-rw-------. 1 root root 0 Oct 11 17:39 yum.log
# 修改文件夹权限为770,这样其他组的成员将无法访问
[root@node02 /tmp]# chmod 770 hadoop
[root@node02 /tmp]# chmod 770 hive
[root@node02 /tmp]# ll
total 8
drwxrwx---. 2 root bigdata01 4096 Oct 16 21:42 hadoop
drwxrwx---. 2 root bigdata02 4096 Oct 16 21:42 hive
-rw-------. 1 root root 0 Oct 11 17:39 yum.log
d 测试,使用stu1进入hadoop是ok的,但是stu1进入hive会被限制,同理stu3进入hive是ok的,但是stu3进入hadoop会被限制。
# 切换stu1
[root@node02 /tmp]# su - stu1
# 可进入hadoop
[stu1@node02 ~]$ cd /tmp/hadoop
[stu1@node02 /tmp/hadoop]$ cd ..
# 无法进入hive
[stu1@node02 /tmp]$ cd hive
-bash: cd: hive: Permission denied
[stu1@node02 /tmp]$ su root
Password:
# 切换stu3
[root@node02 /tmp]# su stu3
# 可进入hive
[stu3@node02 /tmp]$ cd hive
[stu3@node02 /tmp/hive]$ cd ..
# 不可进入hadoop
[stu3@node02 /tmp]$ cd hadoop
bash: cd: hadoop: Permission denied
这样就完成了实操1的功能。
实操2:在上面案例基础上,在hadoop文件夹下使用stu1创建两个文件,一个可以被stu2读取和修改,另外一个可以被读取但是不能修改。
[root@node02 /tmp]# su stu1
[stu1@node02 /tmp]$ ll
total 8
drwxrwx---. 2 root bigdata01 4096 Oct 16 21:42 hadoop
drwxrwx---. 2 root bigdata02 4096 Oct 16 21:42 hive
-rw-------. 1 root root 0 Oct 11 17:39 yum.log
[stu1@node02 /tmp]$ cd hadoop/
[stu1@node02 /tmp/hadoop]$ ll
total 0
# stu1用户下创建两个文件
[stu1@node02 /tmp/hadoop]$ touch file1.txt
[stu1@node02 /tmp/hadoop]$ touch file2.txt
# 分别给两个文件留下stu1签名
[stu1@node02 /tmp/hadoop]$ echo "stu1 come here and sign" >> file1.txt
[stu1@node02 /tmp/hadoop]$ echo "stu1 come here and sign" >> file2.txt
[stu1@node02 /tmp/hadoop]$ cat file1.txt
stu1 come here and sign
[stu1@node02 /tmp/hadoop]$ cat file2.txt
stu1 come here and sign
[stu1@node02 /tmp/hadoop]$ ll
total 8
-rw-r--r--. 1 stu1 bigdata01 24 Oct 16 21:53 file1.txt
-rw-r--r--. 1 stu1 bigdata01 24 Oct 16 21:53 file2.txt
# 修改file1.txt权限为组内可读可写
[stu1@node02 /tmp/hadoop]$ chmod 760 file1.txt
# 修改file2.txt权限为组内只读
[stu1@node02 /tmp/hadoop]$ chmod 740 file2.txt
[stu1@node02 /tmp/hadoop]$ ll
total 8
-rwxrw----. 1 stu1 bigdata01 24 Oct 16 21:53 file1.txt
-rwxr-----. 1 stu1 bigdata01 24 Oct 16 21:53 file2.txt
[stu1@node02 /tmp/hadoop]$ su root
Password:
[root@node02 /tmp/hadoop]# su stu2
[stu2@node02 /tmp/hadoop]$ ll
total 8
-rwxrw----. 1 stu1 bigdata01 24 Oct 16 21:53 file1.txt
-rwxr-----. 1 stu1 bigdata01 24 Oct 16 21:53 file2.txt
# stu2用户尝试对file1.txt进行修改成功
[stu2@node02 /tmp/hadoop]$ echo "stu2 come here and sign" >> file1.txt
# stu2用户尝试对file2.txt进行修改失败
[stu2@node02 /tmp/hadoop]$ echo "stu2 come here and sign" >> file2.txt
# 不允许
bash: file2.txt: Permission denied
# file1留下了stu2的签名
[stu2@node02 /tmp/hadoop]$ cat file1.txt
stu1 come here and sign
stu2 come here and sign
# file2依然只有stu1的签名
[stu2@node02 /tmp/hadoop]$ cat file2.txt
stu1 come here and sign
以上为linux下权限的相关知识,供参考。
参考博文:
(1)https://www.cnblogs.com/garfieldcgf/p/8323489.html
(2) https://www.cnblogs.com/okokabcd/p/8724263.html
(3) https://www.cnblogs.com/52py/p/9598237.html 记录sudo日志配置
(4) https://blog.csdn.net/sinat_36118270/article/details/62899093 在sudoers里设置普通用户