周期性计划任务/权限/LDAP看法

在平常的生产环境中因为工做任务繁重因此须要一些应用来配合工程师的工做,而周期性计划就会使工程师们省不少事,从而去忙碌一些其余的工做事情.
cron 周期性计划任务
软件包：cronie,crontabs
系统服务:crond
日志文件： /var/log/crond
系统默认安装,默认自起
查看服务状态#systemctl status crond
crontab命令
编辑任务 crontab -e
删除任务 crontab -r
查看任务 crontab -l
时间顺序:

• (0-59) (0-23)(1-31)(1-12)(0-7)
  分 时 日 月 周
• 表示全部时间
• 表示一端持续的时间
  , 表示若个布连续的时间
  / 表示时间间隔

查询命令所对应的程序在哪?
which

---

基本权限的类型
访问方式(权限)
读取: 容许查看内容 -read r
写入:容许修改内容 -write w
可执行:容许运行和切换 -execuit x
对于文本文件:
r: cat head tail less
w:vim
x:运行
权限适用对象(归属)
全部者:拥有此文件/目录的用户-user u
所属组:拥有此文件/目录的组-group g
其余用户:除全部者,锁数组之外的用户 -other o
[root@server0 ~]# ls -ld /etc/
drwxr-xr-x. 133 root root 8192 10月 30 10:14 /etc/
[root@server0 ~]# ls -l /etc/passwd
-rw-r--r--. 1 root root 2089 10月 30 10:14 /etc/passwd
[root@server0 ~]# ls -l /etc/rc.local
lrwxrwxrwx. 1 root root 13 5月 7 2014 /etc/rc.local -> rc.d/rc.local
权限位 硬链接数 属主 属组 大小 最后修改时间 文件/目录名称

权限位（9位）
文件类型（1） User(属主)（3） Group(属组)（3）    Other(其余人)（3）

文件类型
    - 表明普通文件        d 表明目录      l 表明连接文件        
三位一组分别为 全部者权限，所属组权限，其余帐户权限  

设置基本权限
    chmod (只root能用)
    chmod 归属关系+-=权限类别 文档
        -R 递归将权限应用于全部的子目录与子文件       

    [root@server0 ~]# chmod u-x /nsd01/
    [root@server0 ~]# ls -ld /nsd01/
    drw-r-xr-x. 2 root root 6 10月 30 10:41 /nsd01/
    [root@server0 ~]# chmod g+w /nsd01/
    [root@server0 ~]# ls -ld /nsd01/
    drw-rwxr-x. 2 root root 6 10月 30 10:41 /nsd01/
    [root@server0 ~]# chmod u=rwx,g=rx,o=r /nsd01/
    [root@server0 ~]# ls -ld /nsd01/
    drwxr-xr--. 2 root root 6 10月 30 10:41 /nsd01/

如何判断用户具有权限
1.判断用户所属的身份 是不是全部者 是否在全部组 全部者>所属组 >其余人 匹配及中止
2.看相应权限位的权限划分

目录的r 权限：可以ls 浏览此目录内容
目录的w 权限：可以执行 rm/mv/cp/mkdir/touch/..等更改目录内容的操做
目录的x 权限：可以cd切换到此目录

设置文件归属
使用chown命令
chown [全部者][:[所属组]] 文件或目录
-R 递归将权限应用于全部的子目录与子文件
例：
[root@server0 /]# chown :tedu /nsd02
[root@server0 /]# ls -ld /nsd02
drwxr-xr-x. 2 root tedu 6 10月 30 11:42 /nsd02
[root@server0 /]# useradd dc
[root@server0 /]# chown dc:tedu /nsd02
[root@server0 /]# ls -ld /nsd02
drwxr-xr-x. 2 dc tedu 6 10月 30 11:42 /nsd02
[root@server0 /]# chown student /nsd02
[root@server0 /]# ls -ld /nsd02
drwxr-xr-x. 2 student tedu 6 10月 30 11:42 /nsd02

特殊权限（附加权限）

Set UID
附加在属主的x位上
属主的权限标识会变成s
适用于可执行文件，Set UID 可让使用者具备文件属组的身份及部分权限
(传递全部者身份) 如 手持尚方宝剑
例：
[root@server0 /]# cp /usr/bin/touch /usr/bin/hahach
[root@server0 /]# chmod u+s /usr/bin/hahach
[root@server0 /]# ls -l /usr/bin/hahach
-rwsr-xr-x. 1 root root 62432 10月 30 14:14 /usr/bin/hahach
[root@server0 /]# su - dc
[dc@server0 ~]$ touch a.txt
[dc@server0 ~]$ hahach b.txt
[dc@server0 ~]$ ls -l
total 0
-rw-rw-r--. 1 dc dc 0 Oct 30 14:15 a.txt
-rw-rw-r--. 1 root dc 0 Oct 30 14:15 b.txt

Set GID
附加在属组的x位
属组的权限标识变成为s
适用于可执行文件，功能于Set UID相似
适用于目录，Set GID能够是目录下新增的文档自动设置与父目录相同的属组

为了使在这个目录下新增的文件或目录的所属组和父目录相同(只针对将来生成的文件)

例：
[root@server0 /]# ls -l /test/1.txt 
-rw-r--r--. 1 root root 0 10月 30 14:37 /test/1.txt
[root@server0 /]# chown :tedu /test/
[root@server0 /]# chmod g+s /test/
[root@server0 /]# ls -ld /test
drwxr-sr-x. 2 root tedu 18 10月 30 14:37 /test
[root@server0 /]# mkdir /test/testone
[root@server0 /]# ls -l /test/
-rw-r--r--. 1 root root 0 10月 30 14:37 1.txt
drwxr-sr-x. 2 root tedu 6 10月 30 14:39 testone

Sticky Bit
附加在其余人的x位
其余人的权限标识变成为t
适用于开放w 权限的目录，能够阻止用户滥用w 写入权限
（禁止操道别人的文档）
例：
[root@server0 /]# chmod u+w,g+w,o+w /public/
[root@server0 /]# chmod o+t /public/
[root@server0 /]# ls -ld /public/
drwxrwxrwt. 2 root root 6 10月 30 14:43 /public/

[zhangsan@server0 /]$ ls -l /public/
-rw-rw-r--. 1 dc       dc       0 Oct 30 14:53 dc.txt
-rw-rw-r--. 1 test     test     0 Oct 30 14:52 test.txt
-rw-rw-r--. 1 zhangsan zhangsan 0 Oct 30 14:52 zhangsan.txt
[zhangsan@server0 /]$ rm -rf /public/test.txt 
rm: cannot remove ‘/public/test.txt’: Operation not permitted

ACL 访问控制列表
做用
文档归属的局限性
任何人只属于三种角色：属主，属组，其余人
没法实现更精细的控制
acl访问策略
能狗对个别用户，个别组设置独立的权限
大多挂载EXT3/4（存储小文件），XFS（存储大文件）文件系统已支持
命令
getfacl 文档 #查看ACL策略
setfacl [-R] -m u：用户名：权限类别 文档
setfacl [-R] -m g：组名 ：权限类别 文档
setfacl [-R] -x u:用户名 文档 #删除指定ACL策略
setfacl [-R] -b 文档 #清空ACL策略

例：
    [dc@server0 ~]$ cd /NB/
    bash: cd: /NB/: Permission denied

    [root@server0 /]# ls -ld /NB/
    drwxrwx---. 2 root cw 6 10月 30 15:27 /NB/
    [root@server0 /]# setfacl -m u:dc:rx /NB/
    [root@server0 /]# ls -ld /NB/
    drwxrwx---+ 2 root cw 6 10月 30 15:27 /NB/
    [root@server0 /]# getfacl /NB/
    getfacl: Removing leading '/' from absolute path names
    # file: NB/
    # owner: root
    # group: cw
    user::rwx
    user:dc:r-x
    group::rwx
    mask::rwx
    other::---

    [dc@server0 ~]$ cd /NB/
    [dc@server0 NB]$

====================================================================
使用LDAP认证

传统用户名密码：本地建立，用于本地登录 /etc/passwd
网络用户：在LDAP服务器上建立，能够登录域中每一台机器

轻量级目录访问协议
    由服务器来集中存储并向客户端提供的信息，存储方式相似于DNS分层结果
    提供的信息包括：用户名，密码，通讯录，主机名映射记录

服务器

客户端：指定服务端LDAP位置

    1.安装客户端软件
        软件包：sssd(与服务端沟通软件)

            authconfig-gtk:图形配置sssd工具

    2.运行图形配置工具
        [root@server0 ~]# authconfig-gtk 
        用户帐户数据库：LDAP
        LDAP搜索基础DN：dc=example,dc=com
        LDAP服务器：cla***oom.example.com

        勾选：用TLS加密链接
            指定证书加密： 
                http://172.25.254.254/pub/example-ca.crt
        认证方法：LDAP密码     

    3.启动sssd服务，并设置为开机自启
        [root@server0 ~]# systemctl restart sssd
        [root@server0 ~]# systemctl enable sssd
    4.验证
        [root@server0 ~]# grep 'ldapuser0' /etc/passwd
        [root@server0 ~]# id ldapuser0
        uid=1700(ldapuser0) gid=1700(ldapuser0) 组=1700(ldapuser0)

家目录漫游

• Network File System,网络文件系统
    – 由NFS服务器将指定的文件夹共享给客户机
    – 客户机将此共享目录 mount 到本地目录,访问此共享
    资源就像访问本地目录同样方便
    – 相似于 EXT四、XFS等类型,只不过资源在网上

• 查看NFS资源
    [root@server0 ~]# showmount -e 172.25.254.254

• 进行挂载,将服务端NFS共享内容挂载到本地目录
    [root@server0 ~]# mkdir /home/guests

    # mount  172.25.254.254:/home/guests/    /home/guests

    [root@server0 ~]# ls /home/guests
    [root@server0 ~]# su - ldapuser0