1.1 把用户添加到组里

1.1.1 把某个用户添加到某个组

# gpasswd -a <user> <group>

或者：

# gpasswd –add <user> <group>

或者：

# gpasswd -M <group>

或者：

# gpasswd –members <group>

1.1.2 把多个用户添加到某个组

# gpasswd -a <user1>,<user2> <group>

或者：

# gpasswd –add <user1>,<user2> <group>

或者：

# gpasswd -M <user1>,<user2> <group>

或者：

# gpasswd –members <user1>,<user2> <group>

2.2 把用户从组里删除

2.2.1 把某个用户从某个组里删除

# gpasswd -d <user> <group>

或者：

# gpasswd –delete <user> <group>

2.2.2 把多个用户添加到某个组

# gpasswd -d <user1>,<user2> <group>

或者：

# gpasswd –delete <user1>,<user2> <group>

2.3 将某个用户设置为组的管理员

# gpasswd -A <user> <group>

或者：

# gpasswd –administrators <user> <group>

内容三：组的密码管理

3.1 给某个组设置密码

# gpasswd <group>

3.2 删除某个组的密码

# gpasswd –r <group>

或者：

# gpasswd –remove-password <group>

内容四：组的登录管理

限制某个组登录

# gpasswd -R <group>

或者：

# gpasswd –restrict <group>

内容五：显示帮助信息

# gpasswd -h

或者：

# gpasswd -help

1.1 profile 全局文件的位置 （影响所有用户）

/etc/profile

1.2 profile 局部文件的位置 （只影响单个用户）

~/.bash_profile

或者：

~/.bash_login

或者：

~/.profile

1.3 profile 文件的作用

在用户登录时设置用户的环境变量，只在用户登录时才会生效

1.4 登录 Linux 时执行 profile 文件的顺序

第一步，执行：

/etc/profile

第二步，按以下顺序一一尝试执行以下 3 个文件中的 1 个，当执行成功后则停止尝试下 1 个文件：

~/.bash_profile
~/.bash_login
~/.profile

第三步：开始调用解释器

（如果是调用 bash 解释器，则继续执行登录 bash 时执行 bashrc 文件的顺序）

内容二：bashrc 文件

2.1 bashrc 全局文件的位置 （影响所有用户）

/etc/bashrc

或者：

/etc/bash.bashrc

2.2 bashrc 局部文件的位置 （只影响单个用户）

~/.bashrc

2.3 bashrc 文件的作用

在用户使用 bash 解释器或登录 bash 解释器时设置用户的环境变量，每次调用 bash 解释器时都会生效

2.4 使用 bash 或登录 bash 时执行 bashrc 文件的顺序

第一步，执行以下 2 个文件中的 1 个：

/etc/bashrc
/etc/bash.bashrc

第二步，执行：

~/.bashrc

1.1 在 audit 的策略里添加要监控的目录或文件

1.1.1 案例一：监控某个目录以及目录下的目录和文件

# vim /etc/audit/rules.d/audit.rules

添加以下内容：

......
-a exit,always -F dir=/tmp -F perm=rwxa

（补充：这里以监控目录 /tmp 里的目录和文件为例）

1.1.2 案例二：监控某个文件

# vim /etc/audit/rules.d/audit.rules

添加以下内容：

......
-a exit,always -S unlink -S unlinkat -S rmdir -S rename -S renameat -F path=/dev/null

（补充：这里以监控目录 /dev/null 文件为例）

1.2 让监控目录或文件的配置生效

# service auditd restart

步骤二：显示 audit 监控记录

# cat /var/log/audit

（
补充：记录里的
1) nametype=CREATE 字段代表创建
2) nametype=NORMAL 字段代表普通
3) nametype=DELETE 字段代表删除
）

或者：

# sudo ausearch -i -k user-modify

（补充：这里以显示文件被修改的记录为例）

# vim /etc/sudoers

或者：

# visudo

添加以下内容：

......
Defaults use_pty

# vim /etc/sudoers

或者：

# visudo

添加以下内容：

......
Defaults logfile="/var/log/sudo.log"

步骤二：显示 sudo 日志

2.1 退出后重新登录

（步骤略）

2.2 显示 sudo 日志

# cat /var/log/sudo.log

如果在系统中没有 /etc/cron.deny 配置文件，在 /etc/cron.allow 配置文件中添加要使用 crontab -e 命令的用户

# vim /etc/cron.allow

添加以下内容：

......
zhumingyu

（补充：这里以添加用户 zhumingyu 为例）

如果在系统中没有 /etc/cron.allow 配置文件，在 /etc/cron.allow 配置文件中删除要使用 crontab -e 命令的用户

# vim /etc/cron.allow

删除以下内容：

......
zhumingyu
......

（补充：这里以删除用户 zhumingyu 为例）

# cat /etc/group

（注意：此方法并不能显示出把这些所属组当作主要所属组的用户）

方法二：通过 /etc/passwd 配置文件和 id 命令等显示主要所属组和附属所属组

# for i in `cat /etc/passwd | egrep -v "nologin$|false$|half|sync|shutdown|halt" | awk -F: '{print $1}'`; do id $i; done | sort -k2

（补充：可以通过肉眼比对此命令的输出结果来判断其主要所属组和附属所属组）

# vim /etc/sudoers

或者：

# visudo

添加以下内容：

……
zhumingyu ALL=(ALL) /usr/bin/mysql

（补充：这里以给用户 zhumingyu 添加 /usr/bin/mysql 命令为例）

步骤二：设置用户使用自己的密码实现 sudo 提权

# vim /etc/sudoers

在

......
env_reset
......

这一行下面添加：

......
Defaults env_keep += "http_proxy https_proxy"
......

（补充：这里以允许用户在进行 sudo 提权的同时也能使用 http_proxy、https_proxy 为例）

如果 Umask 的值是 0022：
创建的新目录的默认权限是：777 – 022 = 755
创建的新文件的默认权限是：666 – 022 = 644

内容二：临时设置 Umask

2.1 查看当前 Umask 值

# umask
0022

2.2 临时设置 Umask 值

2.2.1 方法一：使用权限数字设置默认权限值

# umask 0002

2.2.2 方法二：使用权限标志设置默认权限值

# umask -S u=rwx,g=rwx,o=rw

内容三：永久设置 umask

3.1 给某个用户单独永久设置 Umask

3.1.1 切换到要永久设置 Umask 的用户

# su - root

（补充：这里以切换到 root 用户为例）

3.1.2 给某个用户单独添加 Umask 参数

# vim ~/.bashrc 

添加以下内容：

......
umask 022

（补充：这里以将 Umask 设置为 022 为例）

3.1.3 让 Umask 设置生效

# source ~/.bashrc

3.2 全局永久设置 Umask 的方法

3.2.1 在 /etc/login.defs 配置文件里设置默认 Umask 参数

# vim /etc/login.defs

将以下内容：

UMASK ......

修改为：

UMASK           022

（补充：这里以将 Umask 的默认值设置为 022 为例）

3.2.2 在 /etc/profile 配置文件里设置全局 Umask 参数

# vim /etc/profile

将以下内容：

......
if [ $UID -gt 199 ] && [ "`/usr/bin/id -gn`" = "`/usr/bin/id -un`" ]; then
    umask ......
else
    umask ......
fi
......

修改为：

......
if [ $UID -gt 199 ] && [ "`/usr/bin/id -gn`" = "`/usr/bin/id -un`" ]; then
    umask 002
else
    umask 022
fi
......

（补充：这里以将 UID 小于 199 的用户 Umask 设置为 002，UID 大于等于 199 的用户 Umask 设置为 022 为例）

（注意：openSUSE & SLE 的 /etc/profile 配置文件里没有这些内容，所以如果是对 openSUSE & SLE 进行操作时则需要手动创建这些内容）

或者：

# vim /etc/profile

添加以下内容：

......
umask 022

（补充：这里以将所有用户的全局 Umask 设置为 022 为例）

3.2.3 在 /etc/bashrc 配置文件里设置全局 Umask 参数

# vim /etc/bashrc

将以下内容：

......
if [ $UID -gt 199 ] && [ "`/usr/bin/id -gn`" = "`/usr/bin/id -un`" ]; then
    umask ......
else
    umask ......
fi
......

修改为：

......
if [ $UID -gt 199 ] && [ "`/usr/bin/id -gn`" = "`/usr/bin/id -un`" ]; then
    umask 002
else
    umask 022
fi
......

（补充：这里以将 UID 小于 199 的用户 Umask 设置为 002，UID 大于等于 199 的用户 Umask 设置为 022 为例）

（注意： openSUSE & SLE 没有 /etc/bashrc 配置文件，所以如果是对 openSUSE & SLE 进行操作时则需要手动创建此文件和这些内容）

或者：

# vim /etc/bashrc

添加以下内容：

......
umask 022

（补充：这里以将所有用户的全局 Umask 设置为 022 为例）

（注意： openSUSE & SLE 没有 /etc/bashrc 配置文件，所以如果是对 openSUSE & SLE 进行操作时则需要手动创建此文件）

3.2.4 让永久设置的 Umask 设置生效

# source /etc/bashrc ; source /etc/profile

（
注意：
1) 当永久设置的 Umask 生效后，用户必须要重新登录后才会刷新 Umask
2) 当 /etc/login.defs 配置文件、/etc/bashrc 配置文件和 /etc/profile 配置文件里设置的 Umask 值不一致时，会以 /etc/profile 文件里设置的为准
3) 当同一个文件里设置了多个 Umask 个值时，会以最后一个值为准
）

1.1 给某一个文件或目录添加一个用户的 acl

# setfacl -m u:zhumingyu:r-x /var

（补充：这里以在 /var 目录上给 zhumingyu 用户设置读和执行的 acl 权限为例）

1.2 给某一个文件或目录添加一个组的 acl

# setfacl -m g:zhumingyu:r-x /var

（补充：这里以在 /var 目录上给 zhumingyu 组设置读和执行的 acl 权限为例）

1.3 递归给某一个目录和目录里的所有内容添加一个 acl

# setfacl -Rm u:zhumingyu:r-x /var

（补充：这里以在 /var 目录上递归给 zhumingyu 组设置读和执行的 acl 权限为例）

案例二：删除某一个文件或目录的 acl

2.1 删除某一个文件或目录一个用户的 acl

# setfacl -x u:zhumingyu /var

（补充：这里以在 /var 目录上删除 zhumingyu 用户的 acl 权限为例）

2.2 删除某一个文件或目录一个组的 acl

# setfacl -x g:zhumingyu /var

（补充：这里以在 /var 目录上删除 zhumingyu 组的 acl 权限为例）

2.3 删除某一个文件或目录的所有 acl

# setfacl -b /var

（补充：这里以在 /var 目录上删除所有 acl 权限为例）

2.4 递归删除某一个文件或目录的 acl

# setfacl -Rx u:zhumingyu:r-x /var

（补充：这里以在 /var 目录上递归删除 zhumingyu 用户的 acl 权限为例）

2.5 递归删除某一个文件或目录的所有 acl

# setfacl -Rb /var

（补充：这里以在 /var 目录上递归删除所有 acl 权限为例）

案例三：显示某一个文件或目录的 acl

# getfacl /var

（补充：这里以显示 /var 目录的 acl 权限为例）

案例四：备份和还原某一个文件或目录的 acl

4.1 备份某一个文件或目录的 acl

# getfacl -R /var > /acl.backup

（补充：这里以备份 /var 目录的 acl 权限为例）

4.2 还原某一给文件或目录的 acl

# setfacl --restore /acl.backup

（补充：这里以还原 /var 目录的 acl 权限为例）

# vim /etc/sudoers

或者：

# visudo

添加以下内容：

……
zhumingyu ALL=(ALL) /usr/bin/mysql

（补充：这里以给用户 zhumingyu 添加 /usr/bin/mysql 命令为例）

步骤二：设置用户使用自己的密码实现 sudo 提权

# vim /etc/sudoers

或者：

# visudo

将以下内容：

......
#Defaults targetpw   # ask for the password of the target user i.e. root
#ALL    ALL=(ALL) ALL   # WARNING! Only use this together with 'Defaults targetpw'!
......

修改为：

......
Defaults targetpw   # ask for the password of the target user i.e. root
ALL    ALL=(ALL) ALL   # WARNING! Only use this together with 'Defaults targetpw'!
......

# chown root test.txt

或者：

# chown root: test.txt

案例二：将 test.txt 的所属组设置为 root

# chown :root test.txt

案例三：将 test.txt 的所数主设置为 root，所属组设置为 root

# chown root:root test.txt

1.1 普通权限的介绍

1.1.1 对于文件而言

1) r 代表读权限
2) w 代表写权限
3) x 代表执行权限

1.1.2 对于目录而言

1) r 代表可以看到目录的权限
2) w 代表可以对目录进行增、删、改、查和在里面创建文件和目录的权限
3) x 代表可以进入目录的权限

（注意：对于目录而言，x 权限必须要和 r 权限配合使用，如果只有 x 权限没有 r 权限，则依旧不能进入目录）

1.1.3 用数字代替权限的方法

1) 0 代表 —
2) 1 代表 –x
3) 2 代表 -w-
4) 3 代表 -wx
5) 4 代表 r–
6) 5 代表 r-x
7) 6 代表 rw-
8) 7 代表 rwx

1.2 管理权限案例

1.2.1 给一个文件或目录添加权限的案例

1.2.1.1 案例一

# chmod u+x test.txt

（补充：这里以给 test.txt 文件的所属主添加执行权限为例）

1.2.1.2 案例二

# chmod u+r,g+w test.txt

（补充：这里以给 test.txt 文件的所属主添加执行权限，给文件的所属组添加写权限为例）

1.2.1.3 案例三

# chmod +x test.txt

（补充：这里以给 test.txt 文件的所属主、所属组和其他用户添加执行权限为例）

1.2.1.4 案例四

# chmod a+x test.txt

（补充：这里以给 test.txt 文件的所属主、所属组和其他用户添加执行权限为例）

1.2.2 给一个文件或目录撤销权限的案例

1.2.2.1 案例一

# chmod u-x test.txt

（补充：这里以给 test.txt 文件的所属主撤销执行权限为例）

1.2.2.2 案例二

# chmod u-r,g-w test.txt

（补充：这里以给 test.txt 文件的所属主撤销执行权限，给文件的所属组撤销写权限为例）

1.2.2.3 案例三

# chmod -x test.txt

（补充：这里以给 test.txt 文件的所属主、所属组和其他用户撤销执行权限为例）

1.2.2.4 案例四

# chmod a-x test.txt

（补充：这里以给 test.txt 文件的所属主、所属组和其他用户撤销执行权限为例）

1.2.3 设定某一个文件或目录的权限的案例

1.2.3.1 案例一

# chmod u=rwx test.txt 

（补充：这里以设置 test.txt 文件的所属主拥有读、写和执行的权限为例）

1.2.3.2 案例二

# chmod u=rw- test.txt

（补充：这里以设置 test.txt 文件的所属主拥有读和写的权限，但是没有执行的权限为例）

1.2.3.3 案例三

# chmod u=--- test.txt

或者：

# chmod u= test.txt

（补充：这里以设置 test.txt 文件的所属主没有任何权限为例）

1.2.3.4 案例四

# chmod u=rw,g=, test.txt

（补充：这里以设置 test.txt 文件的所属主拥有读和写的权限，但是没有执行的权限。设置文件的所属组没有任何权限为例）

1.2.3.5 案例五

# chmod u=rw,g=---,0= test.txt

（补充：这里以设置 test.txt 文件的所属主拥有读和写的权限，但是没有执行的权限。设置文件的所属组没有任何权限。设置文件的其他用户没有任何权限为例）

1.2.3.6 案例六

# chmod 755 test.txt

（补充：这里以设置 test.txt 文件的所属主拥有读、写和执行的权限。设置文件的所属组有读和执行的权限。设置文件的其他用户有读和执行的权限为例）

内容二：特殊权限的管理

2.1 特殊权限 SUID

2.1.1 SUID 介绍

1) SUID：全名 Set UID
2) SUID 的作用：让没有此文件执行权限的用户，可以执行这个文件
3) SUID 的权限数字 4000

2.1.2 SUID 权限的添加的案例

2.1.2.1 添加 SUID 权限的案例

# chmod u+s test.txt

（补充：这里以给 test.txt 文件添加 SUID 权限为例）

或者：

# chmod 4644 test.txt

（补充：这里以设置 test.txt 文件的所属主拥有读和写的权限。设置文件的所属组有读的权限。设置文件的其他用户有读的权限。并添加 SUID 权限为例）

2.1.2.2 显示 SUID 权限的添加情况的案例

2.1.2.2.1 显示有 SUID 权限，但是所属主没有执行权限的文件的案例

# ls -l test.txt 
-rwSr--r-- 1 root root 0 12月  8 05:27 test.txt

（补充：这里以对 test.txt 文件进行操作为例）

2.1.2.2.2 显示有 SUID 权限，并且所属主有执行权限的文件的案例

# ls -l test.txt 
-rwsr--r-- 1 root root 0 12月  8 05:27 test.txt

（补充：这里以对 test.txt 文件进行操作为例）

2.2 特殊权限 SGID

2.2.1 SGID 介绍

1) SGID：全名 Set GID
2) SGID 的作用：在此目录下创建的文件，将都和此目录的所属组一样
3) SGID 的权限数字 2000

2.2.2 SGID 权限的添加的案例

2.2.2.1 添加 SGID 权限的案例

# chmod g+s test

（补充：这里以给 test.txt 文件添加 SGID 权限为例）

或者：

# chmod 2644 test

（补充：这里以设置 test.txt 文件的所属主拥有读和写的权限。设置文件的所属组有读的权限。设置文件的其他用户有读的权限。并添加 SGID 权限为例）

2.2.2.2 显示 SGID 权限的添加情况的案例

2.2.2.2.1 显示有 SGID 权限，但是所属组没有执行权限的目录的案例

# ls -l test
-rw-r-Sr-- 1 root root 0 12月  8 05:27 test

（补充：这里以对 test.txt 文件进行操作为例）

2.2.2.2.2 显示有 SGID 权限，并且所属组有执行权限的目录的案例

# ls -l test
-rw-r-sr-- 1 root root 0 12月  8 05:27 test

（补充：这里以对 test.txt 文件进行操作为例）

2.3 特殊权限 SBIT

2.3.1 SBIT 介绍

1) SBIT：全名 Sticky Bit
2) SBIT 的作用：在此目录下创建的文件，只有创建此文件的用户和 root 用户可以删除
3) SBIT 的权限数字 1000

2.3.2 SBIT 权限的添加的案例

2.3.2.1 添加 SBIT 权限的案例

# chmod o+t test

（补充：这里以给 test.txt 文件添加 SBID 权限为例）

或者：

# chmod 1644 test

（补充：这里以设置 test.txt 文件的所属主拥有读和写的权限。设置文件的所属组有读的权限。设置文件的其他用户有读的权限。并添加 SBID 权限为例）

2.3.2.2 显示 SBIT 权限的添加情况的案例

2.3.2.2.1 显示有 SBIT 权限，但是所属主没有执行权限的目录的案例

# ls -l test
-rw-r--r-T 1 root root 0 12月  8 05:27 test

（补充：这里以对 test.txt 文件进行操作为例）

2.3.2.2.2 显示有 SBIT 权限，并且所属主有执行权限的目录的案例

# ls -l test
-rw-r--r-t 1 root root 0 12月  8 05:27 test

（补充：这里以对 test.txt 文件进行操作为例）

sudo 命令可以让非 root 用户，在不知道 root 的密码的情况之下以 root 的身份执行某一些命令
但是要实现这一目标需要提前修改 sodu 的配置文件

内容二：修改 sudo 配置文件的方法

# visudo

（注意：此方法可以在保存退出时检查 sudo 文件有没有语法错误）

或者：

# sudoedit /etc/sudoers

（注意：此方法可以在保存退出时检查 sudo 文件有没有语法错误）

或者：

# vi /etc/sudoers

（注意：此方法不能在保存退出时检查 sudo 文件有没有语法错误）

或者：

# vi /etc/sudoers

（注意：此方法不能在保存退出时检查 sudo 文件有没有语法错误）

内容三：修改 sudo 配置文件的案例

3.1 案例一：让 zhumingyu 用户可以通过 sudo 获取所有 root 权限

# vi /etc/sudoers

添加以下内容：

......
zhumingyu ALL=(ALL) 　　ALL  
......

（说明：在 “root ALL=(ALL) 　　ALL” 这一行后面仿照着加入一行就行了）

3.2 案例二：让 zhumingyu 用户可以通过 sudo 获取所有 root 权限，并且免密码

# vi /etc/sudoers

添加以下内容：

......
zhumingyu ALL=(ALL) 　　NOPASSWD: ALL  
......

（说明：在 “root ALL=(ALL) 　　ALL” 这一行后面仿照着加入一行就行了）

3.3 案例三：让 zhumingyu 用户可以通过 sudo 获取 firewalld 命令的 root 权限，并且免密码

# vi /etc/sudoers

添加以下内容：

......
zhumingyu ALL=(ALL) 　　NOPASSWD: firewalld
......

（说明：在 “root ALL=(ALL) 　　ALL” 这一行后面仿照着加入一行就行了）

3.4 案例四：让 zhumingyu 用户可以通过 sudo 获取 firewalld 和 chmod 命令的 root 权限，并且免密码

# vi /etc/sudoers

添加以下内容：

......
zhumingyu ALL=(ALL) 　　NOPASSWD: firewalld,chmod
......

（说明：在 “root ALL=(ALL) 　　ALL” 这一行后面仿照着加入一行就行了）

3.5 案例五：让 zhumingyu 用户可以通过 sudo 获取 passwd 命令的 root 权限，并且免密码，但是不能修改 root 的密码

# vi /etc/sudoers

添加以下内容：

......
zhumingyu ALL=(ALL) 　　NOPASSWD: !/usr/bin/passwd root
......

（说明：在 “root ALL=(ALL) 　　ALL” 这一行后面仿照着加入一行就行了）

3.6 案例六：让 zhumingyu 用户可以通过 sudo 获取 passwd 命令的 root 权限，并且免密码，但是不能修改以 a 开头命名用户的密码

# vi /etc/sudoers

添加以下内容：

......
zhumingyu ALL=(ALL) 　　NOPASSWD: !/usr/bin/passwd a.*
......

（说明：在 “root ALL=(ALL) 　　ALL” 这一行后面仿照着加入一行就行了）

3.7 案例七：让 zhumingyu 组里的所有用户通过 sudo 获取 passwd 命令的 root 权限，并且免密码

3.7.1 让 zhumingyu 组里的所有用户通过 sudo 获取 passwd 命令的 root 权限，并且免密码

# vi /etc/sudoers

添加以下内容：

......
%zhumingyu ALL=(ALL) 　　 NOPASSWD: /usr/bin/passwd 
......

（补充：% 代表这是一个组而不是一个用户）

（说明：在 “%wheel 　　 ALL=(ALL) 　　 NOPASSWD: ALL” 这一行后面仿照着加入一行就行了）

3.7.2 将相关用户添加到 zhumingyu 组里

# usermod -a -G zhumingyu <user>