超级用户与普通用户的权限区别

yingweixu

因为接触linux的时间不是很长，最近要对linux服务器的用户权限进行管理，所以希望高手能指点指点：
   1.linux 超级用户root 和普通用户在权限上有哪些区别，具体的比如：系统日志查看，只有root 可以，还有其他的........
    2.root 组是不是只有root 唯一一个用户？
   3.假如我现在系统要有三个用户user1 user2 user3 ，想让user1 具有root 相当的权限该怎么做，除了用su 和 sudo 的方式还有其他办法吗？如果没有的话用sudo该怎么做比较合理！而user2 user3 的权限和user1 差不多，但是不能操作 系统内核 方面的命令，而且不能对service 进行操作（service iptables stop）。还有这三个用户都不能进行密码修改。
   希望高手给与指点。

yingweixu

自己顶 希望高手指点！！！

achlice

建议楼主先多看点书～～
  
   先明白
   
        ls -l

-rw-r--r--  1 root root  1138  1 11 15:22 anaconda-ks.cfg
drwxr-x---  3 root root  4096   11 15:06 Desktop
-rw-------  1 root root   323  1 11 14:21 initiatorname.iscsi
-rw-r--r--  1 root root 39107  1 11 15:18 install.log
-rw-r--r--  1 root root  6434  1 11 15:18 install.log.syslog
-rw-------  1 root root 16737  11 14:21 iscsi.conf
-rw-r--r--  1 root

后的 rw - r--r--  这几个字段都 是什么 意思

然后知道 什么 是 uid , gid ，它们的作用是什么 ，  这些东西 用  百度  google能找到一大堆

明白这几个，你的问题基本上就解决了～～

yingweixu

先谢谢 achlice
ls -l 所显示出来的我明白是甚么意思。文件的权限我很清楚，但是就是因为没有使用文件权限 配合 sudo 的方式来实现我刚才提到的user1 2 3用户的要求。
您能给我一些实现该过程需要注意的地方吗？或实际的例子！

yingweixu

还有我想问一下，linux 能对用户组分配权限吗？如何实现？

achlice

1：想让user1 具有root 相当的权限该怎么做  ，除了用su 和 sudo 的方式还有其他办法吗

     可以      改  /etc/passwd  其用户的  uid  为 0  

2：
   而user2 user3 的权限和user1 差不多，但是不能操作 系统内核 方面的命令，而且不能对service 进行操作（service iptables stop）。还有这三个用户都不能进行密码修改。

           改  /etc/sudoer   中，   把 用户  user 2,           和    user3   的  关于网络，和 内核  改
动的 命令 禁掉，

achlice

而user2 user3 的权限和user1 差不多，但是不能操作 系统内核 方面的命令，而且不能对service 进行操作（service iptables stop）

也可以 找到那个 命令的 约对路径，比如  lsmod ，关于内核模块的，你把它的 属性设为 100
   这时，只有 root用户有权限来运行它～～

yingweixu

1：想让user1 具有root 相当的权限该怎么做  ，除了用su 和 sudo 的方式还有其他办法吗

     可以      改  /etc/passwd  其用户的  uid  为 0

您刚才说的这个方式是错的吧！ root 用户在系统内是属于独一无二的超级管理员，只允许一个用户的uid＝0，那就是root 如果您这样的话，只是给root的用户添加一个别名而已，而且会造成系统混乱！

2. 关于内核 和网络方面的命令非常多，有没有甚么简单的办法对其进行限制，如果单纯对命令禁止是不是太繁琐了？而且有些命令我了解不多，怕会不会影响到用户的使用！

再次谢谢 achlice

achlice

root 用户在系统内是属于独一无二的超级管理员，只允许一个用户的uid＝0，那就是root 如果您这样的话，只是给root的用户添加一个别名而已，而且会造成系统混乱！

  这个我用过， 呵呵～～ 没有问题，因为是 " 与root 相当的权限”

2. 关于内核 和网络方面的命令非常多，有没有甚么简单的办法对其进行限制，如果单纯对命令禁止是不是太繁琐了？而且有些命令我了解不多，怕会不会影响到用户的使用！

       你可以对你 知道不能让 普通用户运行的的命令，在 /etc/sudoer 这个 文件 中 定义一个 组，  比如 组的 名字叫 做    netcmd   ，这个文件中也有很多这样的组， 你可以 依照它们来写，

      然后在给用户 权限时，把相应的命令 组 禁掉～～

          不用谢谢， 呵呵，我也处在学习中～～

yingweixu

1.创建一个“禁止的命令组”这个ideal 不错，哈哈 不谢不行！！
2.不过我觉得用改系统UID的方式获得root的权限我觉得有些不妥，毕竟linux 系统是不赞成这种做法，我在很多地方看过这类的说法！你也可以找看看我说的是不是，不过我觉得一定能有其他办法的！我也去找，到时候要是能找到更好更安全的办法我再来跟你讨论讨论。