运维学习第三四天

################

####第五单元####

################

 

 —————————————————————————————————————————————————————————

##################

####1.用户理解####

##################

用户就是系统使用者的身份

在系统中用户存储为若干窜字符+若干个系统配置文件

用户信息涉及到的系统配置文件：

/etc/passwd         ###用户信息

用户：密码：uid：gid：说明：家目录：用户使用的shell

/etc/shadow         ###用户认证信息

用户：密码：最后一次密码修改该时间：最短有效期：最长有效期：警告期：非活跃期：帐号到期日

/etc/group             ###组信息

组名称：组密码：组id：附加组成员

/etc/gshadow ###组认证信息

/home/username ###用户家目录

/etc/skel/.* ###用户骨架文件

 

 

______________________________________________________________________________________________________

 

##################

####2.用户管理####

##################

 

1.用户建立

useradd 参数 用户名字

-u    ##指定用户uid

-g    ##指定用户初始组信息，这个组必须已经存在

-G   ##指定附加组，这个组必须存在

-c    ##用户说明

-d    ##用户家目录

-s    ##用户所使用的shell，/etc/shells记录了用户能使用shell的名字

 

 

 2.用户删除

userdel -r 用户名称 -r表示删除用户信息及用户的系统配置

 

3.组的建立

groupadd -g ##建立组

groupdel 组名字 ##删除组

 

作以上实验的监控命令：

watch -n 1 'tail -n 3 /etc/passwd /etc/group;echo ====;ls -l /home;echo ===;ls -l /mnt'

 

 

4.用户id信息查看

id 参数 用户

-u   ##用户uid

-g   ##用户初始组id

-G  ##用户所有所在组id

-n   ##显示名称而不是id数字

-a   ##显示所有信息

 

5.用户信息更改

usermod 参数 用户

-l    ##更改用户名称

-u   ##更改uid

-g   ##更改gid

-G  ##更改附加组

-aG ##添加附加组

-c   ##更改说明

-d   ##更改家目录指定

-md ##更改家目录指定及家目录名称

-s   ##更改shell

-L   ##冻结帐号（必须先设置密码）echo mima | passwd --stdin westos

-U   ##解锁

 

 

 

 

 

 ____________________________________________________________________________________________________

 

######################

####3.用户权力下放####

######################

1.在系统中超级用户可以下放普通用户不能执行的操作给普通用户

下放权力配置文件：/etc/sudoers

 

2.下放权力的方法

*）超级用户执行visudo进入编辑/etc/sudoers模式

*）格式：

获得权限用户 主机名称=（获得到的用户身份） 命令

test desktop0.example.com=(root) /usr/sbin/useradd

test用户能在desktop0.example.com以超级用户身份执行/usr/sbin/useradd

 

3.执行下放权限命令

sudo  /usr/sbin/useradd  命令           ##如果第一次执行sudo需要输入当前用户密码

在/etc/sudoers中如果设置如下：

test    desktop0.example.com=(root)     NOPASSWD： /usr/sbin/useradd

超级用户调用sudo命令的时候不需要自己密码

 

 

 

 

 ______________________________________________________________________________________________________

############################

####4.用户认证信息的控制####

############################

 

chage  参数 用户

      watch -n 1 tail -n 3 /etc/shadow         ##监控

      echo mima | passwd --stdin westos ##设置密码

 -d      ##用户密码组后一次修改的时间，如果设定成0，用户登陆系统后必须修改自己的密码

-m     ##最短有效期

-M     ##最长有效期

-W    ##警告期

-I      ##用户非活跃天数

-E    ##帐号到期日格式 -E "YYYY-MM-DD"

 

 

___________________________________________________________________________________________________________________

___________________________________________________________________________________________________________________

#########################

###第六单元文件权限####

#########################

 

___________________________________________________________________________________________________________________

####1.文件属性的查看####

 

1> ls -l filename

-|rw-r--r--.|1| root| root|   46 |Oct  1 05:03 |filename

— —————————  —  ————  ————    ——  ————————————  ————————

1    2      3    4      5      6      7             8

 

"-":文件类型

- ##普通文件

d ##目录

c ##字符设备

s ##套接字

p ##管道

b ##快设备

l ##连接

 

2>."rw-r--r--":文件读写权限

rw-|r--|r--

 *   $   @

 

*所有人的权限

$所有组的权限

@其他人的权限

 

3>."1":

对文件：文件内容被系统记录的次数

对目录：目录中文件属性的字节数

 

4>."root":文件所有人

 

5>."root":文件所有组

 

6>."46":文件内容的大小

 

7>."Oct  1 05:03":文件最后一次被修改的时间

 

8>."filename":文件名字

__________________________________________________________________________________________________________________

 

####2.文件所有人所有组的管理####

 

chown  username file|dir ##更改文件的所有人

chown  username:groupname file|dir ##更改所有人所有组

chown -R username dir ##更改目录本身及里面所有内容的所有人

chgrp -R groupname dir ##更改目录本身及里面所有内容的所有组

 

监控命令

watch -n 1 ls -lR /mnt

___________________________________________________________________________________________________________________

 

####3.文件普通权限####

rw-|r--|r--

 u   g   o

u：文件所有人对文件可以读写

g：文件组成员对文件可读

o：其他人对文件可读

u优先匹配，g次优先，o当u，g不匹配时匹配

 

1.r

对文件：可以查看文件中的字符

对目录：可以查看目录中文件的信息

 

2.w

对文件：可以更改文件内字符

对目录：可以在目录中添加删除文件

 

3.x

对文件：可以运行文件内记录的程序动作

对目录：可以进入目录中

 

4.字符方式修改该文件权限

chmod [-R] <u|g|o><+|-|=><r|w|x> file|dir

 

chmod u-x file1 ##file1拥有者去掉x权限

chmod g+w file1 ##file1拥有组添加w权限

chmod u-x,g+w file1 ##file1拥有者去掉x权，file1拥有组添加w权限

chmod ugo-r file2 ##file2的用户组其他人去掉r权限

chmod ug+x,o-r file3 ##file3用户和组添加x权限，其他人去掉r权限

 

5.数字方式修改该文件权限

在linux中

r=4

w=2

x=1

文件权限数字表示方式

rw-|r--|r--

 u   g   o

u=rw-=4+2+0=6

g=r--=4+0+0=4

o=r--=4+0+0=4

所以文件权限表示为644

 

chmod 修改后权限值 file

chmod 777 file

 

7=rwx

6=rw-

5=r-x

4=r--

3=-wx

2=-w-

1=--x

0=---

 

 

___________________________________________________________________________________________________________________

####4.系统默认权限的设定####

 

从系统存在角度来说，开放权力越大，系统存在意义越高

从系统安全角度来说，开放权力越少，系统安全性越高

所以系统设定新建文件或目录会去掉一些权限

设定方式

umask ##查看系统保留权限默认为022

umask 077 ##修改该系统保留权限为077，此设定为临时设定，只当前shell中生效

 

永久设定方式：

vim /etc/bashrc ##shell

 70     if [ $UID -gt 199 ] && [ "`id -gn`" = "`id -un`" ]; then

 71        umask 002 ##普通用户umask

 72     else

 73        umask 077    ##超级用户umask                                                                      

 74     fi

 

vim /etc/profile ##系统

 59 if [ $UID -gt 199 ] && [ "`id -gn`" = "`id -un`" ]; then

 60     umask 002 ##普通用户umask

 61 else

 62     umask 077       ##超级用户umask                                                                                         

 63 fi

 

以上两个文件umask设定值必须保持一致

source /etc/bashrc

source /etc/profile

让设定立即生效

 

__________________________________________________________________________________________________________________ 

####5.特殊权限####

1.suid ##冒险位

之针对二进制可执行文件，

文件内记录的程序产生的进程的所有人为文件所有人

和进程发起人身份无关

 

设定方式：

chmod u+s file

suid=4

chmod 4xxx file

 

2.sgid ##强制位

对文件：只针对二进制可执行文件，

任何人运行二进制文件

程序时程序产生的进程的所有组都是文件的所有组

和程序发起人组的身份无关

对目录：当目录有sgid权限后，目录中新建的所有文件的所有组

都自动归属到目录的所有组之中，和文件建立者所在的组无关

 

设定方式：

 

chmod g+s file|dir

sgid=2

chmod 2xxx file|dir

3.sticky ##粘制位

t权限：

只针对与目录,当一个目录上有t权限，那么目录中的文件只能被文件拥有者删除删除

 

设定方式：

chmod o+t direcotry

t=1

chmod 1777 direcotry

 

______________________________________________________________________________________________________________________________________________________________________________________________________________________________________

################

####第七单元####

################

 

####1.进程定义####

进程就是cpu未完成的工作

 

####2.ps命令####

ps

a ##关于当前环境的所有进程

x ##与当前环境无关的所有进程

f ##显示进程从属关系

e ##显示进程调用环境工具的详细信息

l ##长列表显示进程的详细信息

u ##显示进程的用户信息

 

ps ax -o %cpu,%mem,user,group,comm,nice,pid ##指定显示进程的某些信息

%cpu ##显示进程cpu负载

%mem ##显示进程内存负载

user ##进程用户

group ##进程组

comm ##进程名称

nice ##进程优先级

pid ##进程的id

 

ps ax -o %cpu,comm --sort <+|-%cpu > <+|-%mem> ##按照进程信息排序

+ ##正序

- ##倒序

%cpu ##cpu负载排序

%mem ##内存负载

 

 

####3.进程优先级####

1.进程的优先级范围

-20～19

 

2.优先级查看

ps ax -o pid,nice,comm

 

3.指定某个优先级开启进程

nice -n 优先级数字 进程名称

nice -n -5 vim & ##开启vim并且指定程序优先级为-5

 

4.改变进程优先级

reince -n 优先级数字 进程pid

renice -n -5 1806 ##改变1806进程的优先级为-5

root@desktop0 ~]# ps a -o pid,nice,comm

  PID  NI COMMAND

  614   0 Xorg

 1128   0 agetty

 1625   0 bash

 1785   0 vim

 1806  -5 vim

 1824  -5 vim

 1835   0 ps

 

####4.环境中进程的前后台调用####

jobs ##查看被打入环境后台的进程

ctrl+z ##把占用终端的进程打入后台

fg ##把后台进程调回前台

bg ##把后台暂停的进程运行

comm & ##让命令直接在后台运行

 

 

####5.进程信号####

1.常用信号等级

1 ##进程重新加载配置

2 ##删除进程在内存中的数据

3 ##删除鼠标在内存中的数据

9 ##强行结束单个进程(不能被阻塞)

15 ##正常关闭进程  （可能会被阻塞）

18 ##运行暂停的进程

19 ##暂停某个进程  （不能被阻塞）

20 ##把进程打入后台 （可以被阻塞）

man 7 signal ##查看信号详细信息

 

kill -信号 进程pid

killall -信号 进程名字

pkill -u student -信号

 

SIGHUP     终止进程     终端线路挂断

SIGINT     终止进程     中断进程

SIGQUIT   建立CORE文件终止进程，并且生成core文件

SIGILL   建立CORE文件       非法指令

SIGTRAP   建立CORE文件       跟踪自陷

SIGBUS   建立CORE文件       总线错误

SIGSEGV   建立CORE文件       段非法错误

SIGFPE   建立CORE文件       浮点异常

SIGIOT   建立CORE文件       执行I/O自陷

SIGKILL   终止进程     杀死进程

SIGPIPE   终止进程     向一个没有读进程的管道写数据

SIGALARM   终止进程     计时器到时

SIGTERM   终止进程     软件终止信号

SIGSTOP   停止进程     非终端来的停止信号

SIGTSTP   停止进程     终端来的停止信号

SIGCONT   忽略信号     继续执行一个停止的进程

SIGURG   忽略信号     I/O紧急信号

SIGIO     忽略信号     描述符上可以进行I/O

SIGCHLD   忽略信号     当子进程停止或退出时通知父进程

SIGTTOU   停止进程     后台进程写终端

SIGTTIN   停止进程     后台进程读终端

SIGXGPU   终止进程     CPU时限超时

SIGXFSZ   终止进程     文件长度过长

SIGWINCH   忽略信号     窗口大小发生变化

SIGPROF   终止进程     统计分布图用计时器到时

SIGUSR1   终止进程     用户定义信号1

SIGUSR2   终止进程     用户定义信号2

SIGVTALRM 终止进程     虚拟计时器到时

 

1) SIGHUP

本信号在用户终端连接(正常或非正常)结束时发出, 通常是在终端的控

制进程结束时, 通知同一session内的各个作业, 这时它们与控制终端

不再关联.

2) SIGINT

程序终止(interrupt)信号, 在用户键入INTR字符(通常是Ctrl-C)时发出

3)

SIGQUIT 和SIGINT类似, 但由QUIT字符(通常是Ctrl-)来控制. 进程在因收到

SIGQUIT退出时会产生core文件, 在这个意义上类似于一个程序错误信

号.

4)

SIGILL 执行了非法指令. 通常是因为可执行文件本身出现错误, 或者试图执行

数据段. 堆栈溢出时也有可能产生这个信号.

5)

SIGTRAP 由断点指令或其它trap指令产生. 由debugger使用.

6)

SIGABRT 程序自己发现错误并调用abort时产生.

6)

SIGIOT 在PDP-11上由iot指令产生, 在其它机器上和SIGABRT一样.

7)

SIGBUS 非法地址, 包括内存地址对齐(alignment)出错. eg: 访问一个四个字长

的整数, 但其地址不是4的倍数.

8)

SIGFPE 在发生致命的算术运算错误时发出. 不仅包括浮点运算错误, 还包括溢

出及除数为0等其它所有的算术的错误.

9)

SIGKILL 用来立即结束程序的运行. 本信号不能被阻塞, 处理和忽略.

10)

SIGUSR1 留给用户使用

11)

SIGSEGV 试图访问未分配给自己的内存, 或试图往没有写权限的内存地址写数据.

12)

SIGUSR2 留给用户使用

13)

SIGPIPE Broken pipe

14)

SIGALRM 时钟定时信号, 计算的是实际的时间或时钟时间. alarm函数使用该

信号.

15)

SIGTERM 程序结束(terminate)信号, 与SIGKILL不同的是该信号可以被阻塞和

处理. 通常用来要求程序自己正常退出. shell命令kill缺省产生这

个信号.

17)

SIGCHLD 子进程结束时, 父进程会收到这个信号.

18)

SIGCONT 让一个停止(stopped)的进程继续执行. 本信号不能被阻塞. 可以用

一个handler来让程序在由stopped状态变为继续执行时完成特定的

工作. 例如, 重新显示提示符

19)

SIGSTOP 停止(stopped)进程的执行. 注意它和terminate以及interrupt的区别:

该进程还未结束, 只是暂停执行. 本信号不能被阻塞, 处理或忽略.

20)

SIGTSTP 停止进程的运行, 但该信号可以被处理和忽略. 用户键入SUSP字符时

(通常是Ctrl-Z)发出这个信号

21)

SIGTTIN 当后台作业要从用户终端读数据时, 该作业中的所有进程会收到SIGTTIN

信号. 缺省时这些进程会停止执行.

22)

SIGTTOU 类似于SIGTTIN, 但在写终端(或修改终端模式)时收到.

23)

SIGURG 有"紧急"数据或out-of-band数据到达socket时产生.

24)

SIGXCPU 超过CPU时间资源限制. 这个限制可以由getrlimit/setrlimit来读取/

改变

25)

SIGXFSZ 超过文件大小资源限制.

26)

SIGVTALRM 虚拟时钟信号. 类似于SIGALRM, 但是计算的是该进程占用的CPU时间.

27)

SIGPROF 类似于SIGALRM/SIGVTALRM, 但包括该进程用的CPU时间以及系统调用的

时间.

28)

SIGWINCH 窗口大小改变时发出.

29)

SIGIO 文件描述符准备就绪, 可以开始进行输入/输出操作.

30)

SIGPWR Power failure

 

有 两个信号可以停止进程:SIGTERM和SIGKILL。 SIGTERM比较友好，进程能捕捉这个信号，根据您的需要来关闭程序。在关闭程序之前，您可以结束打开的记录文件和完成正在做的任务。在某些情况下，假 如进程正在进行作业而且不能中断，那么进程可以忽略这个SIGTERM信号。

 

对于SIGKILL信号，进程是不能忽略的。这是一个 “我不管您在做什么,立刻停止”的信号。假如您发送SIGKILL信号给进程，Linux就将进程停止在那里

 

####6.用户登陆审记####

 

1

w ##查看使用系统的当前用户有那些

w -f ##-f查看使用地点

 

2

last ##查看用户登陆成功历史

3.

lastb ##查看用户登陆未成功历史

 

 

 

####7.top命令####

top ##监控系统负载工具

______________________________________________________________________________________________________________________________________________________________________________________________________________________________________

#################################

####第八单元.系统服务的控制####

#################################

 

1.systemd

系统初始化程序，系统开始的第一个进程，pid为1

 

2.systemctl 命令

systemctl list-units       ##列出当前系统服务的状态

systemctl list-unit-files  ##列出服务的开机状态

systemctl status sshd   ##查看指定服务的状态

systemctl stop sshd      ##关闭指定服务

systemctl start sshd      ##开启指定服务

systemctl restart sshd    ##从新启动服务

systemctl enable sshd    ##设定指定服务开机开启

systemctl disable sshd    ##设定指定服务开机关闭

systemctl reload sshd     ##使指定服务从新加载配置

systemctl list-dependencies sshd ##查看指定服务的倚赖关系

systemctl mask sshd      ##冻结指定服务

systemctl unmask sshd     ##启用服务

systemctl set-default multi-user.target ##开机不开启图形

systemctl set-default graphical.target ##开机启动图形

setterm ##文本界面设定color

 

3.服务状态

systemctl status 服务名称

 

loaded ##系统服务已经初始化完成，加载过配置

active（running） ##正有一个或多个程序正在系统中执行，

# vsftpd 就是這種模式

 

atcive（exited） ##僅執行一次就正常結束的服務，

# 目前並沒有任何程序在系統中執行

 

atcive（waiting） ##正在執行當中，

# 不過還再等待其他的事件才能繼續處理

 

inactive ##服务关闭

enbaled ##服务开机启动

disabled ##服务开机不自启

static ##服务开机启动项不可被管理

failed ##系统配置错误