案例练习,准备:
rht-vmctl reset classroom
rht-vmctl reset server
rht-vmctl reset desktop
######################################################
?案例1:为虚拟机 server 配置以下静态地址参数
– 主机名:server0.example.com
echo server0.example.com > /etc/hostname
– IP地址:172.25.0.11
– 子网掩码:255.255.255.0
– 默认网关:172.25.0.254
nmcli connection modify 'System eth0' ipv4.method manual ipv4.addresses
172.25.0.11/24 172.25.254.254' connection.autoconnect yes
nmcli connection up 'System eth0'
– DNS服务器:172.25.254.254
echo nameserver 172.25.254.254 > /etc/resolv.conf
cat /etc/resolv.con
案例2:指定yum软件源
为 server0 指定可用的 yum 软件源
– YUM软件库的地址为 http://classroom.example.com/rhel7.0/x86_64/dvd
– 将此配置为虚拟机 server0 的默认软件仓库
– 确认可用的仓库列表
yum repolist
– 利用yum仓库安装xeyes
yum -y install xeyes
– 运行指令xeyes查看效果
xeyes
案例3:rwx权限验证,创建用户lisi与zhangsan
useradd lisi
useradd zhangsan
1)以普通用户zhangsan登入
su - zhangsan
a)检查/etc/passwd、/etc/shadow文件的权限
ls -l /etc/passwd /etc/shadow
b)尝试查看/etc/passwd、/etc/shadow文件的开头两行(passwd可以、shadow不可以)
head -n 2 /etc/passwd /etc/shadow
c)检查/root/、/home/lisi/目录的权限
ls -ld /root /home/lisi 与ls -ld / /home 对比,思考有哪些不同!
d)尝试查看/root/、/home/lisi目录下有哪些内容(root不可以、/home/lisi不可以)
ls /root /home/lisi
2)以root用户登入
exit
a)检查/home/zhangsan/目录的权限
ls -ld /home/zhangsan
b)将文件/root/install.log复制到/home/zhangsan/目录下
touch /root/install.log
mv /root/install.log /home/zhangsan
c)在/home/zhangsan/目录下创建一个子目录rootdir
mkdir /home/zhangsan/rootdir
3)再次以普通用户zhangsan登入
a)检查其家目录下install.log文件、rootdir/目录的权限
cd /home/zhangsan
ls -ld install.log rootdir
b)将install.log文件改名为inst.txt,将rootdir/目录改名为rtdir
mv install.log inst.txt
mv rootdir rtdir
c)删除文件inst.txt,删除目录rtdir/
rm -f inst.txt rtdir
案例4:chmod权限设置
1)新建/nsddir/目录,在该目录下新建文件readme.txt
mkdir /nsddir
touch /nsddir/readme.txt
2)使用户zhangsan能够在/nsddir/目录下创建/删除子目录
su - zhangsan #切换用户验证不能在/nsddir/目录下创建/删除子目录
mkdir /nsddir/1
exit
setfacl -m u:zhangsan:rwx /nsddir#为其单独设立权限防止其他用户拥有权限
su - zhangsan#切换验证
mkdir /nsddir/1
3)使用户zhangsan能够修改/nsddir/readme.txt文件的容
su - zhangsan #切换用户
vim /nsddir/readme.txt #验证不能访问
exit
setfacl -m u:zhangsan:rwx /nsddir/readme.txt#单独设置权限
su - zhangsan
vim /nsddir/readme.txt
案例5:目录/文件的默认权限
1)新建目录/opt/dir,查看其权限
mkdir /opt/dir
ls -ld /opt/dir
2)新建文件/opt/a.txt,查看其权限
touch /opt/a.txt
ls -ld /opt/a.txt
总结:在Linux中目录默认的权限rwxr-xr-x
在Linux中文件默认的权限rw-r--r--
案例6:chown归属设置
1)新建/tarena1目录
a)将属主设为gelin01,属组设为tarena组
useradd gelin01
groupadd tarena
chown gelin01:tarena /tarena1
ls -ld /tarena1
b)使用户gelin01对此目录具有rwx权限,其他人对此目录无任何权限
ls -ld /tarena1
chmod o=--- /tarena1
ls -ld /tarena1
2)使用户gelin02能进入、查看/tarena1文件夹
useradd gelin02
setfacl -m u:gelin02:rx /tarena1
getfacl /tarena1
su - gelin02
ls -ld /tarena1
cd /tarena1
3)新建/tarena2目录
mkdir /tarena2
a)将属组设为tarena
ls -ld /tarena2
chown :tarena /tarena2
ls -ld /tarena2
b)使tarena组的任何用户都能在此目录下创建、删除文件
gpasswd -a gelin02 tarena
su - gelin02
touch /tarena2/1
chmod g+w /tarena2
ls -ld /tarena2
gpasswd -a gelin02 tarena
su - gelin02
touch /tarena2/1
4)新建/tarena/public目录
mkdir -p /tarena/public
a)使任何用户对此目录都有写入权限
chmod o+w /tarena/public
ls -ld /tarena/public
b)以用户zhangsan登入,在此目录下创建子目录zhsdir、文件zhsfile
su - zhangsan
cd /tarena/public
mkdir zhsdir
touch zhsfile
ls
c)以用户lisi登入,将zhsdir改名为lsdir、删除文件zhsfile
su - lisi
cd /tarena/public
mv zhsdir lsdir
rm -f zhsfile
ls
案例7:setfacl基本操作
1)创建一个目录 /public/
mkdir /public
2)查看目录 /public/ 的ACL策略
getfacl /public
3)为目录 /public/ 设置ACL策略
a)使用户zhangsan有读取、写入、执行,验证效果
su - zhangsan
vim /public/1
exit
setfacl -m u:zhangsan:rwx /public
getfacl /public
su - zhangsan
vim /public/1
b)使用户lisi无任何权限,验证效果
su - lisi
cd /public
ls
exit
setfacl -m u:lisi:--- /public
getfacl /public
su - lisi
cd /public
ls /public
4)为用户zhangsan的家目录设置ACL策略
a)使用户lisi有读取、写入、执行,验证效果
su - lisi
vim /home/zhangsan/1
exit
setfacl -m u:lisi:rwx /home/zhangsan
getfacl /home/zhangsan
su - lisi
vim /home/zhangsan/1
5)删除用户zhangsan家目录上设置的所有ACL策略
getfacl /home/zhangsan
setfacl -b /home/zhangsan
getfacl /home/zhangsan
案例8:权限设置
1、创建文件夹/data/test,设置目录的访问权限,使所有者和所属组具备读写执行的权限;其他人无任何权限。
mkdir -p /data/test
ls -ld /data/test
2、递归修改文件夹/data/test的归属使所有者为zhangsan,所属组为tarena。
chown -R zhangsan:tarena /data/test
ls -ld /data/test
3、请实现在test目录下,新建的所有子文件或目录的所属组都会是tarena。
chmod g+s /data/test
ls -ld /data/test
mkdir /data/test/1
touch /data/test/2
ls -l /data/test
4、为lisi创建ACL访问权限,使得lisi可以查看/etc/shadow文件
setfacl -m u:lisi:rx /etc/shadow
su - lisi
ls -ld /etc/shadow
案例9:绑定到LDAP验证服务
– 使用系统 classroom.example.com 提供的LDAP服务
安装一个客户端软件sssd 与LDAP服务器沟通的软件
yum -y install sssd
安装图形软件authconfig-gtk配置sssd工具
yum -y install authconfig-gtk
运行图形软件authconfig-gtk进行配置
authconfig-gtk
– 验证服务的基本DN是:dc=example,dc=com
用户账户数据库:LDAP
LDAP搜索基础DN:dc=example,dc=com
– 账户信息和验证信息都是由 LDAP 提供的
LDAP服务器: classroom.example.com
– 连接要使用证书加密,证书可以在下面的链接下载:
http://classroom.example.com/pub/example-ca.crt
钩选:用TLS加密连接
指定证书加密:
http://classroom.example.com/pub/example-ca.crt
认证方法:LDAP密码
– 确认本地可以识别ldapuser0用户
id ldapuser0
案例10:访问NFS共享
– 查看classroom.example.com的NFS共享
showmount -e classroom.example.com
– 将classroom.example.com的NFS共享目录,挂载到本地/home/guests
mkdir /home/guests
mount classroom:/home/guests /home/guestsNSD1710-exec03
原文:http://blog.51cto.com/12055902/2044568
