用户配置文件操作详解

selinux详解及配置⽂件selinux详解selinux 的全称是Security Enhance Linux，就是安全加强的Linux。

在Selinux之前root账号能够任意的访问所有⽂档和服务；如果某个⽂件设为777，那么任何⽤户都可以访问甚⾄删除。

这种⽅式称为DAC（主动访问机制），很不安全。

DAC⾃主访问控制：⽤户根据⾃⼰的⽂件权限来决定对⽂件的操作，也就是依据⽂件的own，group，other/r,w,x 权限进⾏限制。

Root有最⾼权限⽆法限制。

r，w，x权限划分太粗糙。

⽆法针对不同的进程实现限制。

Selinux则是基于MAC（强制访问机制），简单的说，就是程序和访问对象上都有⼀个安全标签（即selinux上下⽂）进⾏区分，只有对应的标签才能允许访问，否则即使权限是777，也是不能访问的。

在selinux中，访问控制属性叫做安全上下⽂，所有客体（⽂件、进程间通讯通道、套接字、⽹络主机等）和主体（进程）都有与其关联的安全上下⽂，⼀个安全上下⽂由三部分组成：⽤户（u）、⾓⾊（r）、和类型（t）标识符。

但我们最关注的是第三部分当程序访问资源时，主体程序必须要通过selinux策略内的规则放⾏后，就可以与⽬标资源进⾏安全上下⽂的⽐对，若⽐对失败则⽆法存取⽬标，若⽐对成功则可以开始存取⽬标，最终能否存取⽬标还要与⽂件系统的rwx权限的设定有关，所以启⽤了selinux后出现权限不符的情况时，你就得⼀步⼀步分析可能出现的问题了。

1.selinux状态查看与配置：selinux的配置⽂件位置：/etc/selinux/config,它还有个链接在/etc/sysconfig/selinux.使⽤config⽂件来配置selinux（通过配置⽂件修改selinux的状态属于永久修改，要重启系统才⽣效）[root@localhost ~]# ls /etc/sysconfig/selinux -llrwxrwxrwx. 1 root root 17 Jan 10 19:48 /etc/sysconfig/selinux -> ../selinux/config（1）配置⽂件[root@make_blog ~]# cat /etc/sysconfig/selinux# This file controls the state of SELinux on the system.# SELINUX= can take one of these three values:# enforcing - SELinux security policy is enforced.# permissive - SELinux prints warnings instead of enforcing.# disabled - No SELinux policy is loaded.SELINUX=disabled# SELINUXTYPE= can take one of three two values:# targeted - Targeted processes are protected,# minimum - Modification of targeted policy. Only selected processes are protected.# mls - Multi Level Security protection.SELINUXTYPE=targetedselinux=enforcing#此项定义selinux状态#enforcing-是强制模式系统，它受selinux保护。

详解 Desktop.ini 配置设置文件㈠、INI文件是什么Desktop.ini是什么呢？首先，他是一种特殊的.ini文件。

那么.ini文件是什么呢？配置设置文件！所以，Desktop.ini是一种特殊的，用来自定义文件夹相关信息的配置文件。

默认情况下，他由系统创建，存在于该文件夹下，并具有系统、隐藏属性。

.INI文件是一种具有特定格式的纯文本文件。

Windows利用扩展名为.INI的文件保存Windows 及其应用程序的初始化信息。

Windows 及其应用程序每次启动时，都会从相应的.INI文件中读取初始化设置信息，并据此进行配置。

Windows注册表是帮助Windows控制硬件、软件、用户环境和Windows界面的一套数据文件，注册表包含在Windows目录下两个文件system.dat和user.dat里，还有它们的备份system.da0和user.da0。

通过Windows目录下的regedit.exe程序可以存取注册表数据库。

在以前，在windows的更早版本（在Win95以前），这些功能是靠win.ini，system.ini和其他和应用程序有关联的.ini文件来实现的.在windows操作系统家族中，system.ini和win.ini这两个文件包含了操作系统所有的控制功能和应用程序的信息，system.ini管理计算机硬件而win.ini管理桌面和应用程序。

所有驱动、字体、设置和参数会保存在.ini文件中，任何新程序都会被记录在.ini文件中。

这些记录会在程序代码中被引用。

因为受win.ini和system.ini文件大小的限制，程序员添加辅助的.INI文件以用来控制更多的应用程序。

举例来说，微软的Excel有一个office excel.ini文件，它包含着选项、设置、缺省参数和其他关系到Excel运行正常的信息。

在system.ini和win.ini中只需要指出excel.ini的路径和文件名即可。

vsftpd配置⽂件参数详解名称vsftpd.conf - vsftpd的配置⽂件描述vsftpd.conf可⽤于控制vsftpd⾏为的各个⽅⾯。

默认情况下，vsftpd在/etc/vsftpd.conf位置查找此⽂件。

但是，您可以通过为vsftpd指定命令⾏参数来覆盖它。

命令⾏参数是vsftpd的配置⽂件的路径名。

此⾏为很有⽤，因为您可能希望使⽤⾼级inetd（格式vsftpd.conf的格式⾮常简单。

每⼀⾏都是注释或指令。

注释⾏以＃开头并被忽略。

指令⾏的格式为：选项=值重要的是要注意在选项，=和值之间放置任何空格是错误的。

每个设置都有⼀个默认编译，可以在配置⽂件中修改。

布尔选项：下⾯是布尔选项列表。

布尔选项的值可以设置为 YES 或 NO。

allow_anon_ssl仅在ssl_enable 处于活动状态时适⽤。

如果设置为YES，则允许匿名⽤户使⽤安全SSL连接。

默认值：NOanon_mkdir_write_enable如果设置为YES，则允许匿名⽤户在特定条件下创建新⽬录。

为此，必须激活选项 write_enable，并且匿名ftp⽤户必须具有⽗⽬录的写权限。

默认值：NOanon_other_write_enable如果设置为YES，则允许匿名⽤户执⾏除上载和创建⽬录之外的写⼊操作，例如删除和重命名。

通常不建议这样做，但包括完整性。

默认值：NOanon_upload_enable如果设置为YES，则允许匿名⽤户在特定条件下上载⽂件。

为此，必须激活选项 write_enable，并且匿名ftp⽤户必须具有所需上载位置的写⼊权限。

虚拟⽤户上传也需要此设置; 默认情况下，虚拟⽤户使⽤匿名（即最⼤限制）权限处理。

默认值：NOanon_world_readable_only启⽤后，将只允许匿名⽤户下载世界可读的⽂件。

这是认识到ftp⽤户可能拥有⽂件，尤其是在上传的情况下。

默认值：YESanonymous_enable控制是否允许匿名登录。

⼿⼯配置rsyslog配置⽂件详解⼿⼯配置如果您⽆法通过脚本⽣成配置⽂件，这份指导将帮助您通过简单的复制、粘贴⼿动完成配置。

假定您已拥有root或sudo权限，是在通⽤的Linux平台使⽤5.8.0或更⾼版本的rsyslog，rsyslog能接收本地系统⽇志，并通过5140端⼝与外界连接。

1 配置系统环境粘贴以下脚本并运⾏，并且保证 /var/spool/rsyslog ⽬录已存在，如果是Ubuntu系统，还需要对⽬录进⾏权限设置。

sudo mkdir -v /var/spool/rsyslogif [ "$(grep Ubuntu /etc/issue)" != "" ]; thensudo chown -R syslog:adm /var/spool/rsyslogfi2 更新rsyslog配置⽂件。

打开rsyslog配置⽂件，它通常在 /etc/ ⽬录下sudo vim /etc/rsyslog.d/rizhiyi.conf将下列内容粘贴在这个配置⽂件中#real tran log$ModLoad imfile #装载imfile模块$InputFilePollInterval 3 #检查⽇志⽂件间隔（秒）$WorkDirectory /var/spool/rsyslog #定义⼯作⽬录。

例如队列⽂件存储存储⽂件夹。

$InputFileName FILEPATH #读取⽇志⽂件$InputFileTag APPNAME #⽇志写⼊⽇志附加标签字符串不要添加特殊符号$InputFileStateFile stat_APPNAME #定义记录偏移量数据⽂件名不要添加特殊符号$InputFileSeverity info #⽇志等级$InputFilePersistStateInterval 20000 #回写偏移量数据到⽂件间隔时间（秒）$RepeatedMsgReduction off #关闭重复消息控制$InputRunFileMonitor #This activates the current monitor. It has no parameters. If you forget this directive, no file monitoring will take place.#https:///docs/fastuse/tag/ 设置标签(rsyslog)$template RizhiyiFormat_APPNAME,"<%pri%>%protocol-version% %timestamp:::date-rfc3339% %HOSTNAME% %app-name% %procid% %msgid% [06f69fae723038bbc5d75d29564051ea@32473 tag=\"TAG\"] %msg%\n #<85> 0 2014-09-14T16:52:59.814155+08:00macbook my_app - - [91595477-c8e4-42b8-b1f9-696465b422ff@32473 tag="file_upload"tag="my_tag"]if $programname == 'APPNAME' then @@:5140;RizhiyiFormat_APPNAMEif $programname == 'APPNAME' then ~---------------------------------------------------------------对应的单台测试机的配置如下---------------------------------------------------------------------------------------并替换FILEPATH: 需要上传的⽇志⽂件的绝对路径，必须包含⽇志⽂件名。

vsftpd配置⽂件详解1.默认配置：1>允许匿名⽤户和本地⽤户登陆。

anonymous_enable=YESlocal_enable=YES2>匿名⽤户使⽤的登陆名为ftp或anonymous，⼝令为空；匿名⽤户不能离开匿名⽤户家⽬录/var/ftp,且只能下载不能上传。

3>本地⽤户的登录名为本地⽤户名，⼝令为此本地⽤户的⼝令；本地⽤户可以在⾃⼰家⽬录中进⾏读写操作；本地⽤户可以离开⾃家⽬录切换⾄有权限访问的其他⽬录，并在权限允许的情况下进⾏上传/下载。

write_enable=YES4>写在⽂件/etc/vsftpd.ftpusers中的本地⽤户禁⽌登陆。

2.配置⽂件格式：vsftpd.conf 的内容⾮常单纯，每⼀⾏即为⼀项设定。

若是空⽩⾏或是开头为#的⼀⾏，将会被忽略。

内容的格式只有⼀种，如下所⽰option=value要注意的是，等号两边不能加空⽩。

3.匿名⽤户（anonymous）设置anonymous_enable=YES/NO（YES）控制是否允许匿名⽤户登⼊，YES 为允许匿名登⼊，NO 为不允许。

默认值为YES。

write_enable=YES/NO（YES）是否允许登陆⽤户有写权限。

属于全局设置，默认值为YES。

no_anon_password=YES/NO（NO）若是启动这项功能，则使⽤匿名登⼊时，不会询问密码。

默认值为NO。

ftp_username=ftp定义匿名登⼊的使⽤者名称。

默认值为ftp。

anon_root=/var/ftp使⽤匿名登⼊时，所登⼊的⽬录。

默认值为/var/ftp。

注意ftp⽬录不能是777的权限属性，即匿名⽤户的家⽬录不能有777的权限。

anon_upload_enable=YES/NO（NO）如果设为YES，则允许匿名登⼊者有上传⽂件（⾮⽬录）的权限，只有在write_enable=YES时，此项才有效。

当然，匿名⽤户必须要有对上层⽬录的写⼊权。

服务名:smb配置目录:/etc/sabma/主配置文件:/etc/sabma/smb.conf#============================== Global Settings =============================17行workgr oup语法workgtoup = <工作组群>;预设workgroup = M YGROUP说明设定Samba Server 的工作组例workgroup = workgroup 和WIN2000S设为一个组，可在网上邻居可中看到共享21行server string语法server string = <说明>;预设sarver string = Samba Server说明设定Samba Server 的注释其他支持变量t%-访问时间I%-客户端IP m%-客户端主机名M%-客户端域名S%-客户端用户名例server string = this is a Samba Server 设定出现在Windows网上邻居的Samba Server 注释为this is a Samba Server28行hosts allow语法hosts aoolw = <IP地址>; ...预设; host allow = 192.168.1. 192.168.2. 127.说明限制允许连接到Samba Server 的机器，多个参数以空格隔开。

表示方法可以为完整的IP地址，如192.168.0.1网段，如192.168.0.例hosts allow = 192.168.1. 192.168.0.1 表示允许192.168.1 网段的机器网址为192.168.0.1 的机器连接到自己的samba server32行printcap name语法printcap name= <打印机配置文件>;预设printcap name= /etc/printcap说明设定samba srever 打印机的配置文件例printcap name= /etc/printcap设定samba srever 参考/etc/printcap 档的打印机设定语法load printers = <yes/no>;预设load printers = ye s说明是否在开启samba server 时即共享打印机38行printing语法printing = <打印机类型>;预设printing = lprng说明设定samba server 打印机所使用的类型,37行为目前所支持的类型42行guest account语法guert account = <帐户名称>;预设guert account = pcguest说明设定访问samba server 的来宾帐户(即访问时不用输入用户名和密码的帐户),若设为pcguest的话则为默认为"nobody"用户例guert account = andy 设定设定访问samba server 的来宾帐户以andy用户登陆,则此登陆帐户享有andy用户的所有权限46行log file语法log file= <日志文件>;预设log file= /var/log/samba/%m.log说明设定samba server 日志文件的储存位置和文件名(%m代表客户端主机名)49行max log size语法max log size = <??KB>;预设max log size = 0说明设定日子文件的最大容量,单位KB 这里的预设值0代表不做限制53行security语法se curity= <等级>;预设se curity= user说明设定访问samba server 的安全级别共有四种share---不需要提供用户名和密码user----需要提供用户名和密码,而且身份验证由samba server 负责******==>如果预设user ，则添加配置：username map =server--需要提供用户名和密码,可指定其他机器(winNT/2000/XP)或另一台samba server作身份验证domain--需要提供用户名和密码,指定wi nNT/2000/XP域服务器作身份验证60行password server语法password server = <IP地址/主机名>;预设password server = <NT-Server-Name>;说明指定某台服务器(包括windows 和linux)的密码,作为用户登入时验证的密码其他此项需配合security= server时,才可设定本参数64行password level65行username level语法password level = <位数>;username level = <位数>;预设password level = 8username level = 8说明设定用户名和密码的位数,预设为8位字符70行encrypt passwords语法encrypt passwords = <yes/no>;预设encrypt passwords = yse说明设定是否对samba的密码加密71行smb passwd file语法smb passwd file= <密码文件>;预设smb passwd file= /etc/samba/smbpasswd说明设定samba的密码文件130行local master语法local ma ster = <yes/no>;预设local ma ster = no说明设定samba server 是否要担当LMB角色(LMB负责收集本地网络的Browse List资源),通常无特殊原因设为no134行os level = 33语法os level = <数字>;说明设定samba server的os level.os level从0 到255 .winNT的os level为33, win95/98的os level 是 1 .若要拿samba server 当LMB或DMB则它的os level至少要大于NT的33以上139行domain master语法domain ma ster = <yes/no>;预设domain ma ster = yes说明设定samba server 是否要担当DMB角色(DMB会负责收集其他子网的Browse List资源),通常无特殊原因设为no143行preferred master语法preferred master = <ye s/no>;预设preferred master = yes说明设定samba server 是否要担当PDC角色(PDC会负责追踪网络帐户进行的一切变更),通常无特殊原因设为no.(同一网段内不可有两个PDC,他们会每5分钟抢主控权一次)163行wins support语法wins support = <yes/no>;预设wins support = yes说明设定samba server 是否想网络提供WINS服务,通常无特殊原因设为no.除非所处网络上没有主机提供WINS服务且需要此台samba server提供WINS服务是才设yes其他wins support 和wins server 只能选择一个167行wins server语法wins server = <IP地址>;预设wins server = w.x.y.z说明设定samba server 是否要使用别台主机提供的WINS服务.通常无特殊原因设为no.除非所处网络上有一台主机提供WINS服务才要设yes 其他wins support 和wins server例wins server = 192.168.0.1 表示samba server要使用192.168.0.1提供的WINS服务#============================== Share Definitions =============================[homes]comment = Home Directoriesbrowseable = nowritable = yesvalid users = %S使用者本身的"家"目录，当使用者以samba使用者身份登入samba server 后，samba server 底下会看到自己的家目录，目录名称是使用者自己的帐号[分享的资源名称]<指令1>; = (参数)<指令2>; = (参数)..........................要提供分享资源时，须先把欲分享的资源以[]符号括住，底下通常会带指令和参数来表示此资源的设定和存取权限等,详情如下comment---------注释说明path------------分享资源的完整路径名称，除了路径要正确外，目录的权限也要设对browseable------是yes/否no在浏览资源中显示共享目录，若为否则必须指定共享路径才能存取printable-------是yes/否no允许打印hide dot ftles--是yes/否no隐藏隐藏文件public----------是yes/否no公开共享，若为否则进行身份验证(只有当security = share 时此项才起作用)guest ok--------是yes/否no公开共享，若为否则进行身份验证(只有当security= share 时此项才起作用)read only-------是yes/否no以只读方式共享当与writable发生冲突时也writable为准writable--------是yes/否no不以只读方式共享当与read only发生冲突时，无视read onlyvaild users-----设定只有此名单内的用户才能访问共享资源(拒绝优先)(用户名/@组名)invalid users---设定只有此名单内的用户不能访问共享资源(拒绝优先)(用户名/@组名)read list-------设定此名单内的成员为只读(用户名/@组名)write list------若设定为只读时，则只有此设定的名单内的成员才可作写入动作(用户名/@组名)create ma sk-----建立文件时所给的权限directory ma sk--建立目录时所给的权限force group-----指定存取资源时须以此设定的群组使用者进入才能存取(用户名/@组名)force user------指定存取资源时须以此设定的使用者进入才能存取(用户名/@组名)allow hosts-----设定只有此网段/IP的用户才能访问共享资源allwo hosts = 网段ex cept IPdeny hosts------设定只有此网段/IP的用户不能访问共享资源allow hosts=本网段指定IP指定IPdeny hosts=指定IP本网段指定IP1. 改smb.conf文件;在[global]部分加入:null passwords = yes设置securit y= share取消guest account = pcgu est 的注释建立[pcguest]段:[pcguest]comment = pcgu est's sharepath = /home/pcguestpublic = yesguest ok= y eswritable = yes2.建立pcguest用户,并修改/home/pcguest目录权限#useradd p cguest#passwd pcguest#chmod a+r,a+w /home/pcguest3.将pcguest加入smbp asswd文件中#smbpasswd -a pcgu est#smbpasswd -n p cguest4.重启samb a.================================================================================work group = MYGROUP//此项表示在Windows操作系统中的“网上邻居”将会出现的SAMBA服务器所属群组，默认MYGROUP，不区分大小写。

Nginx配置文件（nginx.conf）配置详解usernginxnginx ;Nginx用户及组：用户组。

window下不指定worker_processes 8;工作进程：数目。

根据硬件调整，通常等于CPU数量或者2倍于CPU。

error_log logs/error.log;error_log logs/error.log notice;error_log logs/error.log info;错误日志：存放路径。

pid logs/nginx.pid;pid（进程标识符）：存放路径。

worker_rlimit_nofile 204800;指定进程可以打开的最大描述符：数目。

这个指令是指当一个nginx进程打开的最多文件描述符数目，理论值应该是最多打开文件数（ulimit -n）与nginx进程数相除，但是nginx分配请求并不是那么均匀，所以最好与ulimit -n 的值保持一致。

现在在linux 2.6内核下开启文件打开数为65535，worker_rlimit_nofile就相应应该填写65535。

这是因为nginx调度时分配请求到进程并不是那么的均衡，所以假如填写10240，总并发量达到3-4万时就有进程可能超过10240了，这时会返回502错误。

events{useepoll;使用epoll的I/O 模型。

linux建议epoll，FreeBSD建议采用kqueue，window下不指定。

补充说明:与apache相类，nginx针对不同的操作系统，有不同的事件模型A）标准事件模型Select、poll属于标准事件模型，如果当前系统不存在更有效的方法，nginx会选择select或pollB）高效事件模型Kqueue：使用于FreeBSD 4.1+, OpenBSD 2.9+, NetBSD 2.0 和 MacOS X.使用双处理器的MacOS X 系统使用kqueue可能会造成内核崩溃。

有四个类型，分别是本地、漫游、强制、临时。

本地就是你的配置文件保存在本地计算机。

漫游就是保存在你域控的文件夹中，强制也是保存在域控上，不过你对用户配置目录下做任何更改都不会上传到域控的那个文件夹上，也就是你做的更改不会保存到域控中。

比如你要在桌面上新建一个文档，重启后就没有了。

临时是遇到系统故障，或磁盘空间不足，系统就会临时建立一个配置文件，同样也是不保存的。

实验环境使用VMW虚拟机，客户端为Windows XP SP2，服务器端为Windows Server 2003 SP2企业版。

首先将服务器端安装好活动目录，无需任何设置，默认安装即可，并将客户端加入到域。

下面开始具体操作1、首先在服务器端用Active Directory用户和计算机管理工具建立一个User，我这里以“小五”为用户名，如下图2、在服务器端建立保存用户配置文件的共享文件夹，本文在c盘建立了一个user文件夹，用来保存所有用户配置文件，然后再user文件夹下建立一个“小五”文件夹，用来保存“小五”用户的配置文件。

这里面一定要注意权限的设置，在共享文件夹中的权限去掉everyone，然后找到我们域中的用户“小五”，给他所有权限。

3、进一步权限设置，如图这样权限方面问题已经设置完成4、在Active Directory用户和计算机管理工具中为“小五”用户设置用户配置文件漫游，如图192.168.1.201为我们的服务器，后面所接的“user/小五”为保存用户配置文件的共享文件夹主文件夹相当于用户的“我的文档”，这里面映射到服务器上，更能保证用户文件安全性与可靠性。

现在配置基本完成，我们从客户端登录一下试试看初次登陆之后，我们注销，这样，本地的配置文件，就会自动保存到服务器上对应的文件夹。

回到服务器上我们会看到生成好多文件，刚才这里面还是空的这些文件就是我们注销的时候下面提示正在保存配置文件的时候，其实就是把文件写入我们服务器里面了。

php-fpm.conf配置⽂件中⽂说明详解及重要参数说明php-fpm⼯作流程php-fpm全名是PHP FastCGI进程管理器php-fpm启动后会先读php.ini，然后再读相应的conf配置⽂件，conf配置可以覆盖php.ini的配置。

启动php-fpm之后，会创建⼀个master进程，监听9000端⼝（可配置），master进程⼜会根据fpm.conf/www.conf去创建若⼲⼦进程，⼦进程⽤于处理实际的业务。

当有客户端（⽐如nginx）来连接9000端⼝时，空闲⼦进程会⾃⼰去accept，如果⼦进程全部处于忙碌状态，新进的待accept的连接会被master放进队列⾥，等待fpm⼦进程空闲；这个存放待accept的半连接的队列有多长，由 listen.backlog 配置。

php-fpm全局配置说明配置⾥⾯的所有相对路径，都是相对于php的安装路径。

除了有php-fpm.conf配置⽂件外，通常还有其他的*.conf配置⽂件（也可以不要，直接在php-fpm.conf配置）⽤于配置进程池，不同的进程池可以⽤不同的⽤户执⾏，监听不同的端⼝，处理不同的任务；多个进程池共⽤⼀个全局配置。

include=/opt/remi/php56/root/etc/php-fpm.d/*.conf 载⼊其他的配置⽂件。

php-fpm全局配置参数中⽂说明：pid = /opt/remi/php56/root/var/run/php-fpm/php-fpm.pid#pid进程⽂件，默认为none。

error_log = /opt/remi/php56/root/var/log/php-fpm/error.log#错误⽇志位置，默认：安装路径 #INSTALL_PREFIX#/log/php-fpm.log。

如果设置为syslog，log就会发送给syslogd服务⽽不会写进⽂件⾥。

syslog.facility = daemon#把⽇志写进系统log，linux还不够熟悉，暂时不⽤理会。

LINUX用户和用户组配置文件详解/etc/passwd 用户基础配置文件/etc/shadow 用户影子文件，最关键的信息是密码/etc/login.defs 是设置用户帐号限制的文件。

该文件里的配置对root用户无效。

用户（User）和用户组（Group）的配置文件，是系统管理员最应该了解和掌握的系统基础文件之一，从另一方面来说，了解这些文件也是系统安全管理的重要组成部份；做为一个合格的系统管理员应该对用户和用户组配置文件透彻了解才行；一、用户（User）相关；谈到用户，就不得不谈用户管理，用户配置文件，以及用户查询和管理的控制工具；用户管理主要通过修改用户配置文件完成；用户管理控制工具最终目的也是为了修改用户配置文件。

什么是用户查询和管理控制工具呢？用户查询和控制工具是查询、添加、修改和删除用户等系统管理工具，比如查询用户的id和finger命令，添加用户的usera dd 或adduser 、userdel 用户的删除、设置密码的passwd命令、修改用户usermod 等等；我们需要知道的是通过用户查询和控制工具所进行的动作的最终目的也是修改用户配置文件；所以我们进行用户管理的时候，直接修改用户配置文件一样可以达到用户管理的目的；通过上面的解说，我们能实实在在的感觉到用户（Us er）配置文件的重要性；其实用户和用户组在系统管理中是不可分割的，但为了说明问题，我们还是得把用户（User）的配置文件单列出来解说，其中包括/et c/passwd 和/etc/shadow 文件；在这之中，你还能了解UID的重要性；通过本标题，您可以了解或掌握的内容有：了解/etc/ passwd和/etc/shadow；什么UID ；与用户相关的系统配置文件主要有/etc/passwd 和/et c/shadow，其中/etc/shadow是用户资讯的加密文件，比如用户的密码口令的加密保存等；/etc/passwd 和/ etc/shadow 文件是互补的；我们可以通过对比两个文件来差看他们的区别；1、关于/etc/passwd 和UID；/etc/passwd 是系统识别用户的一个文件，做个不恰当的比喻，/etc/passwd 是一个花名册，系统所有的用户都在这里有登录记载；当我们以beinan 这个账号登录时，系统首先会查阅/etc/passwd 文件，看是否有beinan 这个账号，然后确定beinan的UID，通过UID 来确认用户和身份，如果存在则读取/etc/sha dow 影子文件中所对应的beinan的密码；如果密码核实无误则登录系统，读取用户的配置文件；1）/etc/passwd 的内容理解：在/etc/passwd 中，每一行都表示的是一个用户的信息；一行有7个段位；每个段位用:号分割，比如下面是我的系统中的/etc/passwd 的两行；beinan:x:500:500:beinan sun:/home/beinan:/bin/ba shlinuxsir:x:505:502:linuxsir open,linuxsir office,1389 8667715:/home/linuxsir:/bin/bashbeinan:x:500:500:beinan sun:/home/beinan:/bin/ba shlinuxsir:x:501:502::/home/linuxsir:/bin/bash第一字段：用户名（也被称为登录名）；在上面的例子中，我们看到这两个用户的用户名分别是beinan 和linuxsir；第二字段：口令；在例子中我们看到的是一个x，其实密码已被映射到/etc/shadow 文件中；第三字段：UID ；请参看本文的UID的解说；第四字段：GID；请参看本文的GID的解说；第五字段：用户名全称，这是可选的，可以不设置，在beinan这个用户中，用户的全称是beinan sun ；而linuxsir 这个用户是没有设置全称；第六字段：用户的家目录所在位置；beinan 这个用户是/home/beinan ，而linuxsir 这个用户是/home/linu xsir ；第七字段：用户所用SHELL 的类型，beinan和linu xsir 都用的是bash ；所以设置为/bin/bash ；2）关于UID 的理解：UID 是用户的ID 值，在系统中每个用户的UID的值是唯一的，更确切的说每个用户都要对应一个唯一的UID ，系统管理员应该确保这一规则。

Ubuntu--smb配置⽂件详解smb配置⽂件说明共享参数：================== Share Definitions ==================[共享名]comment = 任意字符串说明：comment是对该共享的描述，可以是任意字符串。

path = 共享⽬录路径说明：path⽤来指定共享⽬录的路径。

可以⽤%u、%m这样的宏来代替路径⾥的unix⽤户和客户机的Netbios名，⽤宏表⽰主要⽤于[homes]共享域。

例如：如果我们不打算⽤home段做为客户的共享，⽽是在/home/share/下为每个Linux⽤户以他的⽤户名建个⽬录，作为他的共享⽬录，这样path就可以写成：path = /home/share/%u; 。

⽤户在连接到这共享时具体的路径会被他的⽤户名代替，要注意这个⽤户名路径⼀定要存在，否则，客户机在访问时会找不到⽹络路径。

同样，如果我们不是以⽤户来划分⽬录，⽽是以客户机来划分⽬录，为⽹络上每台可以访问samba的机器都各⾃建个以它的netbios名的路径，作为不同机器的共享资源，就可以这样写：path = /home/share/%m 。

browseable = yes/no说明：browseable⽤来指定该共享是否可以浏览。

writable = yes/no说明：writable⽤来指定该共享路径是否可写。

available = yes/no说明：available⽤来指定该共享资源是否可⽤。

admin users = 该共享的管理者说明：admin users⽤来指定该共享的管理员（对该共享具有完全控制权限）。

在samba 3.0中，如果⽤户验证⽅式设置成"security=share"时，此项⽆效。

例如：admin users =bobyuan，jane（多个⽤户中间⽤逗号隔开）。

valid users = 允许访问该共享的⽤户说明：valid users⽤来指定允许访问该共享资源的⽤户。

MySQL配置⽂件详解# 客户端设置，即客户端默认的连接参数[client]# 默认连接端⼝port = 3306# ⽤于本地连接的socket套接字socket = /usr/local/mysql/data/mysql.sock# 字符集编码default-character-set = utf8mb4# 服务端基本设置[mysqld]# MySQL监听端⼝port = 3306# 为MySQL客户端程序和服务器之间的本地通讯指定⼀个套接字⽂件socket = /usr/local/mysql/data/mysql.sock# pid⽂件所在⽬录pid-file = /usr/local/mysql/data/mysql.pid# 使⽤该⽬录作为根⽬录（安装⽬录）basedir = /usr/local/mysql# 数据⽂件存放的⽬录datadir = /usr/local/mysql/database# MySQL存放临时⽂件的⽬录tmpdir = /usr/local/mysql/data/tmp# 服务端默认编码（数据库级别）character_set_server = utf8mb4# 服务端默认的⽐对规则，排序规则collation_server = utf8mb4_bin# MySQL启动⽤户。

如果是root⽤户就配置root，mysql⽤户就配置mysqluser = root# 错误⽇志配置⽂件(configure file)log-error=/usr/local/mysql/data/error.logsecure-file-priv = null# 开启了binlog后，必须设置这个值为1.主要是考虑binlog安全# 此变量适⽤于启⽤⼆进制⽇志记录的情况。

它控制是否可以信任存储函数创建者，⽽不是创建将导致# 要写⼊⼆进制⽇志的不安全事件。

如果设置为0（默认值），则不允许⽤户创建或更改存储函数，除⾮⽤户具有# 除创建例程或更改例程特权之外的特权log_bin_trust_function_creators = 1# 性能优化的引擎，默认关闭performance_schema = 0# 开启全⽂索引# ft_min_word_len = 1# ⾃动修复MySQL的myisam引擎类型的表#myisam_recover# 明确时间戳默认null⽅式explicit_defaults_for_timestamp# 计划任务（事件调度器）event_scheduler# 跳过外部锁定;External-locking⽤于多进程条件下为MyISAM数据表进⾏锁定skip-external-locking# 跳过客户端域名解析；当新的客户连接mysqld时，mysqld创建⼀个新的线程来处理请求。

FTP配置文件参数详解1. listen：FTP服务器监听的端口号，默认为21、可以修改为其他端口号，以增强安全性。

2. anonymous_enable：是否启用匿名访问。

设置为YES表示启用匿名访问，即允许用户使用匿名账户通过FTP访问服务器。

设置为NO表示禁用匿名访问。

3. local_enable：是否启用本地用户访问。

设置为YES表示允许本地用户通过FTP访问服务器，设置为NO表示不允许。

5. chroot_local_user：是否将用户限制在其主目录中。

设置为YES 表示限制用户只能在其主目录中操作，设置为NO表示不限制。

6. userlist_enable：是否启用用户列表。

设置为YES表示启用用户列表，配置文件中可以指定允许或禁止访问FTP服务器的用户列表。

7. no_anon_password：是否为匿名账户设置密码。

设置为YES表示需要设置匿名账户的密码，设置为NO表示不需要密码。

8. anon_root：匿名账户的根目录。

可以指定匿名账户可以访问的文件夹。

9. local_root：本地用户的根目录。

可以指定本地用户可以访问的文件夹。

10. allow_writeable_chroot：是否允许在根目录下创建文件夹。

设置为YES表示允许在根目录下创建文件夹，设置为NO表示不允许。

11. max_clients：最大客户端连接数。

可以设置FTP服务器支持的最大客户端数量。

12. max_per_ip：每个IP地址的最大连接数。

可以限制来自同一IP 地址的最大连接数，以防止滥用和攻击。

13. pasv_min_port和pasv_max_port：被动模式的端口范围。

在FTP数据传输过程中，被动模式使用随机端口进行数据传输。

可以指定被动模式使用的端口范围。

14. ftpd_banner：FTP服务器的欢迎信息。

可以自定义欢迎信息，向用户展示自己的信息。

15. log_ftp_protocol：是否记录FTP协议。

sudo配置⽂件etcsudoers详解及实战⽤法⼀、sudo执⾏命令的流程将当前⽤户切换到超级⽤户下，或切换到指定的⽤户下，然后以超级⽤户或其指定切换到的⽤户⾝份执⾏命令，执⾏完成后，直接退回到当前⽤户。

具体⼯作过程如下：当⽤户执⾏sudo时，系统会主动寻找/etc/sudoers⽂件，判断该⽤户是否有执⾏sudo的权限-->确认⽤户具有可执⾏sudo的权限后，让⽤户输⼊⽤户⾃⼰的密码确认-->若密码输⼊成功，则开始执⾏sudo后续的命令⼆、不需要输⼊密码的情况1.root执⾏sudo时不需要输⼊密码(eudoers⽂件中有配置root ALL=(ALL) ALL这样⼀条规则)2.欲切换的⾝份与执⾏者的⾝份相同，不需要输⼊密码3./etc/sudoers⽂件设置为允许⽤户在不输⼊该⽤户的密码的情况下使⽤所有命令如设置允许wheel⽤户组中的⽤户在不输⼊该⽤户的密码的情况下使⽤所有命令（ %wheel ALL=(ALL) NOPASSWD: ALL）三、/etc/sudoers⽂件解释[root@test ~]# cat /etc/sudoers## Sudoers allows particular users to run various commands as## the root user, without needing the root password.##该⽂件允许特定⽤户像root⽤户⼀样使⽤各种各样的命令，⽽不需要root⽤户的密码#### Examples are provided at the bottom of the file for collections## of related commands, which can then be delegated out to particular## users or groups.## 在⽂件的底部提供了很多相关命令的⽰例以供选择，这些⽰例都可以被特定⽤户或## ## ⽤户组所使⽤## This file must be edited with the 'visudo' command.## 该⽂件必须使⽤"visudo"命令编辑## Host Aliases#主机别名## Groups of machines. You may prefer to use hostnames (perhap using## wildcards for entire domains) or IP addresses instead.## 对于⼀组服务器，你可能会更喜欢使⽤主机名（可能是全域名的通配符）## 或IP地址代替，这时可以配置主机别名# Host_Alias FILESERVERS = fs1, fs2# Host_Alias MAILSERVERS = smtp, smtp2## User Aliases#⽤户别名## These aren't often necessary, as you can use regular groups## (ie, from files, LDAP, NIS, etc) in this file - just use %groupname## rather than USERALIAS## 这并不很常⽤，因为你可以通过使⽤组来代替⼀组⽤户的别名# User_Alias ADMINS = jsmith, mikem## Command Aliases## These are groups of related commands...## 指定⼀系列相互关联的命令（当然可以是⼀个）的别名，通过赋予该别名sudo权限，## 可以通过sudo调⽤所有别名包含的命令，下⾯是⼀些⽰例## Networking#⽹络操作相关命令别名Cmnd_Alias NETWORKING = /sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient,/usr/bin/net, /sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig,/sbin/mii-tool## Installation and management of software#软件安装管理相关命令别名Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/up2date, /usr/bin/yum## Services#服务相关命令别名Cmnd_Alias SERVICES = /sbin/service, /sbin/chkconfig## Updating the locate database#本地数据库升级命令别名Cmnd_Alias LOCATE = /usr/sbin/updatedb## Storage#磁盘操作相关命令别名Cmnd_Alias STORAGE = /sbin/fdisk, /sbin/sfdisk, /sbin/parted, /sbin/partprobe, /bin/mount, /bin/umount## Delegating permissions#代理权限相关命令别名Cmnd_Alias DELEGATING = /usr/sbin/visudo, /bin/chown, /bin/chmod, /bin/chgrp## Processes#进程相关命令别名Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall## Drivers#驱动命令别名Cmnd_Alias DRIVERS = /sbin/modprobe#环境变量的相关配置# Defaults specification## Disable "ssh hostname sudo <cmd>", because it will show the password in clear.# You have to run "ssh -t hostname sudo <cmd>".#Defaults requirettyDefaults env_resetDefaults env_keep = "COLORS DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR \LS_COLORS MAIL PS1 PS2 QTDIR USERNAME \LANG LC_ADDRESS LC_CTYPE LC_COLLATE LC_IDENTIFICATION \LC_MEASUREMENT LC_MESSAGES LC_MONETARY LC_NAME LC_NUMERIC \LC_PAPER LC_TELEPHONE LC_TIME LC_ALL LANGUAGE LINGUAS \_XKB_CHARSET XAUTHORITY"## Next comes the main part: which users can run what software on## which machines (the sudoers file can be shared between multiple## systems).## 下⾯是规则配置：什么⽤户在哪台服务器上可以执⾏哪些命令（sudoers⽂件可以在多个系统上共享）## Syntax:##语法## user MACHINE=COMMANDS## ⽤户登录的主机=（可以变换的⾝份）可以执⾏的命令#### The COMMANDS section may have other options added to it.## 命令部分可以附带⼀些其它的选项#### Allow root to run any commands anywhere## 允许root⽤户执⾏任意路径下的任意命令root ALL=(ALL) ALL## Allows members of the 'sys' group to run networking, software,## service management apps and more.# %sys ALL = NETWORKING, SOFTWARE, SERVICES, STORAGE, DELEGATING, PROCESSES, LOCATE, DRIVERS ## 允许sys中户组中的⽤户使⽤NETWORKING等所有别名中配置的命令## Allows people in group wheel to run all commands# %wheel ALL=(ALL) ALL## 允许wheel⽤户组中的⽤户执⾏所有命令## Same thing without a password## 允许wheel⽤户组中的⽤户在不输⼊该⽤户的密码的情况下使⽤所有命令# %wheel ALL=(ALL) NOPASSWD: ALL## Allows members of the users group to mount and unmount the## cdrom as root## 允许users⽤户组中的⽤户像root⽤户⼀样使⽤mount、unmount、chrom命令# %users ALL=/sbin/mount /mnt/cdrom, /sbin/umount /mnt/cdrom## Allows members of the users group to shutdown this system# %users localhost=/sbin/shutdown -h now## 允许users⽤户组中的⽤户像root⽤户⼀样使⽤shutdown命令四、实际案例演⽰实例1：让普通⽤户fieldyang具有/etc/init.d/nagios脚本重启的权限，可以在/etc/sudoers添加如下设置：[root@test ~]# visudofieldyang ALL=NOPASSWD:/etc/init.d/nagios restart实例2：让普通⽤户fieldyang具有所有超级⽤户的权限⽽⼜不⽤输⼊密码[root@test ~]# visudofieldyang ALL=（ALL)NOPASSWD:ALL[fieldyang@test ~]#sudo su -[fieldyang@test ~]#pwd/root实例3：针对MySQL数据库的设置，让test组中的test⽤户具备/etc/init.d/mysqld的权限######################## mysql ################1.[root@test ~]# groupadd test[root@test ~]# useradd -g test -m -d /home/test -s /bin/bash test[root@test ~]# passwd test2.[root@test ~]# visudo# test ALL=(ALL) NOPASSWD: /etc/init.d/mysqldtest ALL=(ALL) /etc/init.d/mysqld3. start/stop mysql3.1) start mysqllogin test[root@test ~]# su test[test@test ~]$ sudo /etc/init.d/mysqld start3.2) stop mysqllogin test[root@test ~]# su test[test@test ~]$ sudo /etc/init.d/mysqld stop4.2) stop tomcatlogin test[root@test ~]# su test[test@test ~]$ sudo /usr/local/tomcat/bin/shutdown.sh。