Linux 系统中的超级权限的控制

作者：北南南北

赞助：eTony，pandonny，懒猫，Arch

来自：https://www.360docs.net/doc/f09213767.html,

摘要：超级用户是系统最高权限的拥有者，是系统管理唯一的胜任者；由于权限的超级并且达到无所不能的地步，如果管理不擅，必会对系统安全造成威胁。除了尽可能的避免用直接用超级用户root登录系统外，我们还要学会在普通用户下临时切换到超级用户root下完成必要的系统管理工作；从用户管理和系统安全角度来说是极有意义的；

本文对普通用户切换到root用户的实现命令su 和sudo 做了实例解说；希望能为初学者学习带来方便；目录索引

一、对超级用户和普通用户的理解；

1、什么是超级用户；

2、理解UID 和用户的对应关系

3、普通用户和伪装用户

二. 超级用户（权限）在系统管理中的作用

1、对任何文件、目录或进程进行操作；

2、对于涉及系统全局的系统管理；

3、超级权限的不可替代性；

三、使用su 命令临时切换用户身份；

1、su 的适用条件和威力；

2、su 的用法；

3、su 的范例；

4、su 的优缺点

四、sudo 授权许可使用的su，也是受限制的su

1. sudo 的适用条件；

2、从编写sudo 配置文件/etc/sudoers开始；

3、/etc/sudoers 配置文件中别名规则

4、/etc/sudoers中的授权规则：

5、/etc/sudoers中其它的未尽事项；

6、sudo的用法；

五、后记；

六、关于本文；

七、致谢；

八、参考文档；

九、相关文档；

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++

正文

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++

在Linux操作系统中，root的权限是最高的，也被称为超级权限的拥有者。普通用户无法执行的操作，root 用户都能完成，所以也被称之为超级管理用户。

在系统中，每个文件、目录和进程，都归属于某一个用户，没有用户许可其它普通用户是无法操作的，但对root除外。root用户的特权性还表现在root可以超越任何用户和用户组来对文件或目录进行读取、修改或删除（在系统正常的许可范围内）；对可执行程序的执行、终止；对硬件设备的添加、创建和移除等；也可以对文件和目录进行属主和权限进行修改，以适合系统管理的需要（因为root是系统中权限最高的特权用户）；

一、对超级用户和普通用户的理解；

1、什么是超级用户；

在所有Linux系统中，系统都是通过UID来区分用户权限级别的，而UID为0的用户被系统约定为是具有超级权限。超级用户具有在系统约定的最高权限满园内操作，所以说超级用户可以完成系统管理的所有工具；我们可以通过/etc/passwd 来查得UID为0的用户是root，而且只有root对应的UID为0，从这一点来看，root用户在系统中是无可替代的至高地位和无限制权限。root用户在系统中就是超级用户；

2、理解UID 和用户的对应关系

当系统默认安装时，系统用户和UID 是一对一的对关系，也就是说一个UID 对应一个用户。我们知道用户身份是通过UID 来确认的，我们在《用户（user）和用户组（group）配置文件详解》中的UID 的解说中有谈到“UID 是确认用户权限的标识，用户登录系统所处的角色是通过UID 来实现的，而非用户名；把几个用户共用一个UID 是危险的，比如我们把普通用户的UID 改为0，和root共用一个UID ，这事实上就造成了系统管理权限的混乱。如果我们想用root权限，可以通过su或sudo来实现；切不可随意让一个用户和root分享同一个UID ；”

在系统中，能不能让UID 和用户是一对多的关系？是可以的，比如我们可以把一个UID为0这个值分配给几个用户共同使用，这就是UID 和用户的一对多的关系。但这样做的确有点危险；相同UID的用户具有相同的身份和权限。比如我们在系统中把beinan这个普通用户的UID改为0后，事实上这个普通用户就具有了超级权限，他的能力和权限和root用户一样；用户beinan所有的操作都将被标识为root的操作，因为beinan的UID为0,而UID为0的用户是root ，是不是有点扰口？也可以理解为UID为0的用户就是root ，root用户的UID就是0；

UID和用户的一对一的对应关系，只是要求管理员进行系统管理时，所要坚守的准则，因为系统安全还是第一位的。所以我们还是把超级权限保留给root这唯一的用户是最好的选择；

如果我们不把UID的0值的分享给其它用户使用，只有root用户是唯一拥有UID=0的话，root用户就是唯一的超级权限用户；

3、普通用户和伪装用户

与超级用户相对的就是普通用户和虚拟（也被称为伪装用户），普通和伪装用户都是受限用户；但为了完

成特定的任务，普通用户和伪装用户也是必须的；Linux是一个多用户、多任务的操作系统，多用户主要体现在用户的角色的多样性，不同的用户所分配的权限也不同；这也是Linux系统比Windows系统更为安全的本质所在，即使是现在最新版本的Windows 2003 ，也无法抹去其单用户系统的烙印；

二. 超级用户（权限）在系统管理中的作用

超级权限用户（UID为0的用户）到底在系统管理中起什么作用呢？主要表现在以下两点；

1、对任何文件、目录或进程进行操作；

但值得注意的是这种操作是在系统最高许可范围内的操作；有些操作就是具有超级权限的root也无法完成；

比如/proc 目录，/proc 是用来反应系统运行的实时状态信息的，因此即便是root也无能为力；它的权限如下

[root@localhost ~]# pwd

/root

[root@localhost ~]# cd /

[root@localhost /]# ls -ld /proc/

dr-xr-xr-x 134 root root 0 2005-10-27 /proc/

就是这个目录，只能是读和执行权限，但绝对没有写权限的；就是我们把/proc 目录的写权限打开给root，root用户也是不能进行写操作；

[root@localhost ~]# chmod 755 /proc

[root@localhost /]# ls -ld /proc/

drwxr-xr-x 134 root root 0 2005-10-27 /proc/

[root@localhost /]# cd /proc/

[root@localhost proc]# mkdir testdir

mkdir: 无法创建目录‘testdir’: 没有那个文件或目录

2、对于涉及系统全局的系统管理；

硬件管理、文件系统理解、用户管理以及涉及到的系统全局配置等等......如果您执行某个命令或工具时，

提示您无权限，大多是需要超级权限来完成；

比如用adduser来添加用户，这个只能用通过超级权限的用户来完成；

3、超级权限的不可替代性；

由于超级权限在系统管理中的不可缺少的重要作用，为了完成系统管理任务，我们必须用到超级权限；在一般情况下，为了系统安全，对于一般常规级别的应用，不需要root用户来操作完成，root用户只是被用来管理和维护系统之用；比如系统日志的查看、清理，用户的添加和删除......

在不涉及系统管理的工作的环境下，普通用户足可以完成，比如编写一个文件，听听音乐；用gimp 处理一个图片等...... 基于普通应用程序的调用，大多普通用户就可以完成；

当我们以普通权限的用户登录系统时，有些系统配置及系统管理必须通过超级权限用户完成，比如对系统日志的管理，添加和删除用户。而如何才能不直接以root登录，却能从普通用户切换到root用户下才能进行操作系统管理需要的工作，这就涉及到超级权限管理的问题；

获取超级权限的过程，就是切换普通用户身份到超级用户身份的过程；这个过程主要是通过su和sudo 来解决；

三、使用su 命令临时切换用户身份；

1、su 的适用条件和威力

su命令就是切换用户的工具，怎么理解呢？比如我们以普通用户beinan登录的，但要添加用户任务，执行useradd ，beinan用户没有这个权限，而这个权限恰恰由root所拥有。解决办法无法有两个，一是退出beinan用户，重新以root用户登录，但这种办法并不是最好的；二是我们没有必要退出beinan用户，可以用su来切换到root下进行添加用户的工作，等任务完成后再退出root。我们可以看到当然通过su 切换是一种比较好的办法；

通过su可以在用户之间切换，如果超级权限用户root向普通或虚拟用户切换不需要密码，什么是权力？这就是！而普通用户切换到其它任何用户都需要密码验证；

2、su 的用法：

su [OPTION选项参数] [用户]

-, -l, --login 登录并改变到所切换的用户环境；

-c, --commmand=COMMAND 执行一个命令，然后退出所切换到的用户环境；

至于更详细的，请参看man su ；

3、su 的范例：

su 在不加任何参数，默认为切换到root用户，但没有转到root用户家目录下，也就是说这时虽然是切换为root用户了，但并没有改变root登录环境；用户默认的登录环境，可以在/etc/passwd 中查得到，包括家目录，SHELL定义等；

[beinan@localhost ~]$ su

Password:

[root@localhost beinan]# pwd

/home/beinan

su 加参数- ，表示默认切换到root用户，并且改变到root用户的环境；

[beinan@localhost ~]$ pwd

/home/beinan

[beinan@localhost ~]$ su -

Password:

[root@localhost ~]# pwd

/root

su 参数- 用户名

[beinan@localhost ~]$ su - root 注：这个和su - 是一样的功能；

Password:

[root@localhost ~]# pwd

/root

[beinan@localhost ~]$ su - linuxsir 注：这是切换到 linuxsir用户

Password: 注：在这里输入密码；

[linuxsir@localhost ~]$ pwd 注：查看用户当前所处的位置；

/home/linuxsir

[linuxsir@localhost ~]$ id 注：查看用户的UID和GID信息，主要是看是否切换过来了；

uid=505(linuxsir) gid=502(linuxsir) groups=0(root),500(beinan),502(linuxsir)

[linuxsir@localhost ~]$

[beinan@localhost ~]$ su - -c ls 注：这是su的参数组合，表示切换到root用户，并且改变到root 环境，然后列出root家目录的文件，然后退出root用户；

Password: 注：在这里输入root的密码；

anaconda-ks.cfg Desktop install.log install.log.syslog testgroup testgroupbeinan testg rouproot

[beinan@localhost ~]$ pwd 注：查看当前用户所处的位置；

/home/beinan

[beinan@localhost ~]$ id 注：查看当前用户信息；

uid=500(beinan) gid=500(beinan) groups=500(beinan)

4、su的优缺点；

su 的确为管理带来方便，通过切换到root下，能完成所有系统管理工具，只要把root的密码交给任何一个普通用户，他都能切换到root来完成所有的系统管理工作；

但通过su切换到root后，也有不安全因素；比如系统有10个用户，而且都参与管理。如果这10个用户都涉及到超级权限的运用，做为管理员如果想让其它用户通过su来切换到超级权限的root，必须把root 权限密码都告诉这10个用户；如果这10个用户都有root权限，通过root权限可以做任何事，这在一定程度上就对系统的安全造成了威协；想想Windows吧，简直就是恶梦；

“没有不安全的系统，只有不安全的人”，我们绝对不能保证这10个用户都能按正常操作流程来管理系统，其中任何一人对系统操作的重大失误，都可能导致系统崩溃或数据损失；

所以su 工具在多人参与的系统管理中，并不是最好的选择，su只适用于一两个人参与管理的系统，毕竟su并不能让普通用户受限的使用；

超级用户root密码应该掌握在少数用户手中，这绝对是真理！所以集权而治的存在还是有一定道理的；四、sudo 授权许可使用的su，也是受限制的su

1. sudo 的适用条件；

由于su 对切换到超级权限用户root后，权限的无限制性，所以su并不能担任多个管理员所管理的系统。如果用su 来切换到超级用户来管理系统，也不能明确哪些工作是由哪个管理员进行的操作。特别是对于服务器的管理有多人参与管理时，最好是针对每个管理员的技术特长和管理范围，并且有针对性的下放给权限，并且约定其使用哪些工具来完成与其相关的工作，这时我们就有必要用到sudo。

通过sudo，我们能把某些超级权限有针对性的下放，并且不需要普通用户知道root密码，所以sudo 相对于权限无限制性的su来说，还是比较安全的，所以sudo 也能被称为受限制的su ；另外sudo 是需要授权许可的，所以也被称为授权许可的su；

sudo 执行命令的流程是当前用户切换到root（或其它指定切换到的用户），然后以root（或其它指定的切换到的用户）身份执行命令，执行完成后，直接退回到当前用户；而这些的前提是要通过sudo的配置文件/etc/sudoers来进行授权；

2、从编写sudo 配置文件/etc/sudoers开始；

sudo的配置文件是/etc/sudoers ，我们可以用他的专用编辑工具visodu ，此工具的好处是在添加规则不太准确时，保存退出时会提示给我们错误信息；配置好后，可以用切换到您授权的用户下，通过sudo -l 来查看哪些命令是可以执行或禁止的；

/etc/sudoers 文件中每行算一个规则，前面带有#号可以当作是说明的内容，并不执行；如果规则很长，一行列不下时，可以用\号来续行，这样看来一个规则也可以拥有多个行；

/etc/sudoers 的规则可分为两类；一类是别名定义，另一类是授权规则；别名定义并不是必须的，但授权规则是必须的；

3、/etc/sudoers 配置文件中别名规则

别名规则定义格式如下：

Alias_Type NAME = item1, item2, ...

或

Alias_Type NAME = item1, item2, item3 : NAME = item4, item5

别名类型（Alias_Type）：别名类型包括如下四种

Host_Alias定义主机别名；

User_Alias用户别名，别名成员可以是用户，用户组（前面要加%号）

Runas_Alias用来定义runas别名，这个别名指定的是“目的用户”，即sudo 允许切换至的用户；

Cmnd_Alias定义命令别名；

NAME就是别名了，NMAE的命名是包含大写字母、下划线以及数字，但必须以一个大写字母开头，比如SYNADM、SYN_ADM或SYNAD0是合法的，sYNAMDA或1SYNAD是不合法的；

item 按中文翻译是项目，在这里我们可以译成成员，如果一个别名下有多个成员，成员与成员之间，通过半角,号分隔；成员在必须是有效并事实存在的。什么是有效的呢？比如主机名，可以通过w查看用户的主机名（或ip地址），如果您只是本地机操作，只通过hostname 命令就能查看；用户名当然是在系统中存

在的，在/etc/paswd中必须存在；对于定义命令别名，成员也必须在系统中事实存在的文件名（需要绝对路径）；

item成员受别名类型Host_Alias、User_Alias、Runas_Alias、Cmnd_Alias 制约，定义什么类型的别名，就要有什么类型的成员相配。我们用Host_Alias定义主机别名时，成员必须是与主机相关相关联，比如是主机名（包括远程登录的主机名）、ip地址（单个或整段）、掩码等；当用户登录时，可以通过w命令来查看登录用户主机信息；用User_Alias和Runas_Alias定义时，必须要用系统用户做为成员；用Cmnd_Alias 定义执行命令的别名时，必须是系统存在的文件，文件名可以用通配符表示，配置Cmnd_Alias时命令需要绝对路径；

其中Runas_Alias 和User_Alias 有点相似，但与User_Alias 绝对不是同一个概念，Runas_Alias 定义的是某个系统用户可以sudo 切换身份到Runas_Alias 下的成员；我们在授权规则中以实例进行解说；

别名规则是每行算一个规则，如果一个别名规则一行容不下时，可以通过\来续行；同一类型别名的定义，一次也可以定义几个别名，他们中间用:号分隔，

Host_Alias HT01=localhost,st05,st04,10,0,0,4,255.255.255.0,192.168.1.0/24 注：定义主机别名HT01，通过=号列出成员

Host_Alias HT02=st09,st10 注：主机别名HT02，有两个成员；

Host_Alias HT01=localhost,st05,st04,10,0,0,4,255.255.255.0,192.168.1.0/24:HT02=st09,st10 注：上面的两条对主机的定义，可以通过一条来实现，别名之间用:号分割；

注：我们通过Host_Alias 定义主机别名时，项目可以是主机名、可以是单个ip（整段ip地址也可以），也可以是网络掩码；如果是主机名，必须是多台机器的网络中，而且这些机器得能通过主机名相互通信访问才有效。那什么才算是通过主机名相互通信或访问呢？比如ping 主机名，或通过远程访问主机名来访问。在我们局域网中，如果让计算机通过主机名访问通信，必须设置/etc/hosts，/etc/resolv.conf ，还要有DNS做解析，否则相互之间无法通过主机名访问；在设置主机别名时，如果项目是中某个项目是主机名的话，可以通过hostname 命令来查看本地主机的主机名，通过w命令查来看登录主机是来源，通过来源来确认其它客户机的主机名或ip地址；对于主机别名的定义，看上去有点复杂，其实是很简单。

如果您不明白Host_Alias 是怎么回事，也可以不用设置主机别名，在定义授权规则时通过ALL来匹配所有可能出现的主机情况。如果您把主机方面的知识弄的更明白，的确需要多多学习。

User_Alias SYSAD=beinan,linuxsir,bnnnb,lanhaitun 注：定义用户别名，下有四个成员；要在系统中确实在存在的；

User_Alias NETAD=beinan,bnnb 注：定义用户别名NETAD ，我想让这个别名下的用户来管理网络，所以取了NETAD的别名；

User_Alias WEBMASTER=linuxsir 注：定义用户别名WEBMASTER，我想用这个别名下的用户来管理网站；

User_Alias SYSAD=beinan,linuxsir,bnnnb,lanhaitun:NETAD=beinan,bnnb:WEBMASTER=linuxsir 注：上面三行的别名定义，可以通过这一行来实现，请看前面的说明，是不是符合？

Cmnd_Alias USERMAG=/usr/sbin/adduser,/usr/sbin/userdel,/usr/bin/passwd

[A-Za-z]*,/bin/chown,/bin/chmod

注意：命令别名下的成员必须是文件或目录的绝对路径；

Cmnd_Alias DISKMAG=/sbin/fdisk,/sbin/parted

Cmnd_Alias NETMAG=/sbin/ifconfig,/etc/init.d/network

Cmnd_Alias KILL = /usr/bin/kill

Cmnd_Alias PWMAG = /usr/sbin/reboot,/usr/sbin/halt

Cmnd_Alias SHELLS = /usr/bin/sh, /usr/bin/csh, /usr/bin/ksh, \

/usr/local/bin/tcsh, /usr/bin/rsh, \

/usr/local/bin/zsh

注：这行定义命令别名有点长，可以通过 \ 号断行；

Cmnd_Alias SU = /usr/bin/su,/bin,/sbin,/usr/sbin,/usr/bin

在上面的例子中，有KILL和PWMAG的命令别名定义，我们可以合并为一行来写，也就是等价行；Cmnd_Alias KILL = /usr/bin/kill:PWMAG = /usr/sbin/reboot,/usr/sbin/halt 注：这一行就代表了KILL和PWMAG命令别名，把KILL和PWMAG的别名定义合并在一行写也是可以的；

Runas_Alias OP = root, operator

Runas_Alias DBADM=mysql:OP = root, operator 注：这行是上面两行的等价行；至于怎么理解Runas_Alias ，我们必须得通过授权规则的实例来理解；

4、/etc/sudoers中的授权规则：

授权规则是分配权限的执行规则，我们前面所讲到的定义别名主要是为了更方便的授权引用别名；如果系统中只有几个用户，其实下放权限比较有限的话，可以不用定义别名，而是针对系统用户直接直接授权，所以在授权规则中别名并不是必须的；

授权规则并不是无章可寻，我们只说基础一点的，比较简单的写法，如果您想详细了解授权规则写法的，请参看man sudoers

授权用户主机=命令动作

这三个要素缺一不可，但在动作之前也可以指定切换到特定用户下，在这里指定切换的用户要用( )号括起来，如果不需要密码直接运行命令的，应该加NOPASSWD:参数，但这些可以省略；举例说明；

实例一：

beinan ALL=/bin/chown,/bin/chmod

如果我们在/etc/sudoers 中添加这一行，表示beinan 可以在任何可能出现的主机名的系统中，可以切换到root用户下执行/bin/chown 和/bin/chmod 命令，通过sudo -l 来查看beinan 在这台主机上允许和禁止运行的命令；

值得注意的是，在这里省略了指定切换到哪个用户下执行/bin/shown 和/bin/chmod命令；在省略的情况下默认为是切换到root用户下执行；同时也省略了是不是需要beinan用户输入验证密码，如果省略了，默认为是需要验证密码。

为了更详细的说明这些，我们可以构造一个更复杂一点的公式；

授权用户主机=[(切换到哪些用户或用户组)] [是否需要密码验证] 命令1,[(切换到哪些用户或用户组)] [是否需要密码验证] [命令2],[(切换到哪些用户或用户组)] [是否需要密码验证] [命令3]......

注解：

凡是[ ]中的内容，是可以省略；命令与命令之间用,号分隔；通过本文的例子，可以对照着看哪些是省略了，哪些地方需要有空格；

在[(切换到哪些用户或用户组)] ，如果省略，则默认为root用户；如果是ALL ，则代表能切换到所有用户；注意要切换到的目的用户必须用()号括起来，比如(ALL)、(beinan)

实例二：

beinan ALL=(root) /bin/chown, /bin/chmod

如果我们把第一个实例中的那行去掉，换成这行；表示的是beinan 可以在任何可能出现的主机名的主机中，可以切换到root下执行/bin/chown ，可以切换到任何用户招执行/bin/chmod 命令，通过sudo -l 来查看beinan 在这台主机上允许和禁止运行的命令；

实例三：

beinan ALL=(root) NOPASSWD: /bin/chown,/bin/chmod

如果换成这个例子呢？表示的是beinan 可以在任何可能出现的主机名的主机中，可以切换到root下执行/bin/chown ，不需要输入beinan用户的密码；并且可以切换到任何用户下执行/bin/chmod 命令，但执行chmod时需要beinan输入自己的密码；通过sudo -l 来查看beinan 在这台主机上允许和禁止运行的命令；关于一个命令动作是不是需要密码，我们可以发现在系统在默认的情况下是需要用户密码的，除非特加指出不需要用户需要输入自己密码，所以要在执行动作之前加入NOPASSWD: 参数；

有可能有的弟兄对系统管理的命令不太懂，不知道其用法，这样就影响了他对sudoers定义的理解，下面我们再举一个最简单，最有说服务力的例子；

实例四：

比如我们想用beinan普通用户通过more /etc/shadow文件的内容时，可能会出现下面的情况；

[beinan@localhost ~]$ more /etc/shadow

/etc/shadow: 权限不够

这时我们可以用sudo more /etc/shadow 来读取文件的内容；就就需要在/etc/soduers中给beinan授权；于是我们就可以先su 到root用户下通过visudo 来改/etc/sudoers ；（比如我们是以beinan用户登录系统的）

[beinan@localhost ~]$ su

Password: 注：在这里输入root密码

下面运行visodu；

[root@localhost beinan]# visudo 注：运行visudo 来改 /etc/sudoers

加入如下一行，退出保存；退出保存，在这里要会用vi，visudo也是用的vi编辑器；至于vi的用法不多说了；

beinan ALL=/bin/more 表示beinan可以切换到root下执行more 来查看文件；

退回到beinan用户下，用exit命令；

[root@localhost beinan]# exit

exit

[beinan@localhost ~]$

查看beinan的通过sudo能执行哪些命令？

[beinan@localhost ~]$ sudo -l

Password: 注：在这里输入beinan用户的密码

User beinan may run the following commands on this host: 注：在这里清晰的说明在本台主机上，beinan用户可以以root权限运行more ；在root权限下的more ，可以查看任何文本文件的内容的；

(root) /bin/more

最后，我们看看是不是beinan用户有能力看到/etc/shadow文件的内容；

[beinan@localhost ~]$ sudo more /etc/shadow

beinan 不但能看到/etc/shadow文件的内容，还能看到只有root权限下才能看到的其它文件的内容，比如；

[beinan@localhost ~]$ sudo more /etc/gshadow

对于beinan用户查看和读取所有系统文件中，我只想把/etc/shadow 的内容可以让他查看；可以加入下面的一行；

beinan ALL=/bin/more /etc/shadow

题外话：有的弟兄会说，我通过su 切换到root用户就能看到所有想看的内容了，哈哈，对啊。但咱们现在不是在讲述sudo的用法吗？如果主机上有多个用户并且不知道root用户的密码，但又想查看某些他们看不到的文件，这时就需要管理员授权了；这就是sudo的好处；

实例五：练习用户组在/etc/sudoers中写法；

如果用户组出现在/etc/sudoers 中，前面要加%号，比如%beinan ，中间不能有空格；

%beinan ALL=/usr/sbin/*,/sbin/*

如果我们在/etc/sudoers 中加上如上一行，表示beinan用户组下的所有成员，在所有可能的出现的主机名下，都能切换到root用户下运行/usr/sbin和/sbin目录下的所有命令；

实例六：练习取消某类程序的执行；

取消程序某类程序的执行，要在命令动作前面加上!号；在本例中也出现了通配符的*的用法；

beinan ALL=/usr/sbin/*,/sbin/*,!/usr/sbin/fdisk 注：把这行规则加入到/etc/sudoers中；但您得有beinan这个用户组，并且beinan也是这个组中的才行；

本规则表示beinan用户在所有可能存在的主机名的主机上运行/usr/sbin和/sbin下所有的程序，但fdisk 程序除外；

[beinan@localhost ~]$ sudo -l

Password: 注：在这里输入beinan用户的密码；

User beinan may run the following commands on this host:

(root) /usr/sbin/*

(root) /sbin/*

(root) !/sbin/fdisk

[beinan@localhost ~]$ sudo /sbin/fdisk -l

Sorry, user beinan is not allowed to execute '/sbin/fdisk -l' as root on localhost.

注：不能切换到root用户下运行fdisk 程序；

实例七：别名的运用的实践；

假如我们就一台主机localhost，能通过hostname 来查看，我们在这里就不定义主机别名了，用ALL来匹配所有可能出现的主机名；并且有beinan、linuxsir、lanhaitun 用户；主要是通过小例子能更好理解；sudo 虽然简单好用，但能把说的明白的确是件难事；最好的办法是多看例子和man soduers ；

User_Alias SYSADER=beinan,linuxsir,%beinan

User_Alias DISKADER=lanhaitun

Runas_Alias OP=root

Cmnd_Alias SYDCMD=/bin/chown,/bin/chmod,/usr/sbin/adduser,/usr/bin/passwd

[A-Za-z]*,!/usr/bin/passwd root

Cmnd_Alias DSKCMD=/sbin/parted,/sbin/fdisk 注：定义命令别名DSKCMD，下有成员parted和fdisk ；

SYSADER ALL= SYDCMD,DSKCMD

DISKADER ALL=(OP) DSKCMD

注解：

第一行：定义用户别名SYSADER 下有成员beinan、linuxsir和beinan用户组下的成员，用户组前面必须加%号；

第二行：定义用户别名DISKADER ，成员有lanhaitun

第三行：定义Runas用户，也就是目标用户的别名为OP，下有成员root

第四行：定义SYSCMD命令别名，成员之间用,号分隔，最后的!/usr/bin/passwd root 表示不能通过passwd 来更改root密码；

第五行：定义命令别名DSKCMD，下有成员parted和fdisk ；

第六行：表示授权SYSADER下的所有成员，在所有可能存在的主机名的主机下运行或禁止SYDCMD

和DSKCMD下定义的命令。更为明确遥说，beinan、linuxsir和beinan用户组下的成员能以root身份运行chown 、chmod 、adduser、passwd，但不能更改root的密码；也可以以root身份运行parted和fdisk ，本条规则的等价规则是；

beinan,linuxsir,%beinan ALL=/bin/chown,/bin/chmod,/usr/sbin/adduser,/usr/bin/passwd

[A-Za-z]*,!/usr/bin/passwd root,/sbin/parted,/sbin/fdisk

第七行：表示授权DISKADER 下的所有成员，能以OP的身份，来运行DSKCMD ，不需要密码；更为明确的说lanhaitun 能以root身份运行parted和fdisk 命令；其等价规则是：

lanhaitun ALL=(root) /sbin/parted,/sbin/fdisk

可能有的弟兄会说我想不输入用户的密码就能切换到root并运行SYDCMD和DSKCMD 下的命令，那应该把把NOPASSWD:加在哪里为好？理解下面的例子吧，能明白的；

SYSADER ALL= NOPASSWD: SYDCMD, NOPASSWD: DSKCMD

5、/etc/sudoers中其它的未尽事项；

在授权规则中，还有NOEXEC:和EXEC的用法，自己查man sudoers 了解；还有关于在规则中通配符的用法，也是需要了解的。这些内容不多说了，毕竟只是一个入门性的文档。soduers配置文件要多简单就有多简单，要多难就有多难，就看自己的应用了。

6、sudo的用法；

我们在前面讲的/etc/sudoers 的规则写法，最终的目的是让用户通过sudo读取配置文件中的规则来实现匹配和授权，以便替换身份来进行命令操作，进而完成在其权限下不可完成的任务；

我们只说最简单的用法；更为详细的请参考man sudo

sudo [参数选项] 命令

-l 列出用户在主机上可用的和被禁止的命令；一般配置好/etc/sudoers后，要用这个命令来查看和测试是不是配置正确的；

-v 验证用户的时间戳；如果用户运行sudo 后，输入用户的密码后，在短时间内可以不用输入口令来直接进行sudo 操作；用-v 可以跟踪最新的时间戳；

-u 指定以以某个用户执行特定操作；

-k 删除时间戳，下一个sudo 命令要求用求提供密码；

举列：

首先我们通过visudo 来改/etc/sudoers 文件，加入下面一行；

beinan,linuxsir,%beinan ALL=/bin/chown,/bin/chmod,/usr/sbin/adduser,/usr/bin/passwd

[A-Za-z]*,!/usr/bin/passwd root,/sbin/parted,/sbin/fdisk

然后列出beinan用户在主机上通过sudo 可以切换用户所能用的命令或被禁止用的命令；

[beinan@localhost ~]$ sudo -l 注：列出用户在主机上能通过切换用户的可用的或被禁止的命令；Password: 注：在这里输入您的用户密码；

User beinan may run the following commands on this host:

(root) /bin/chown 注：可以切换到root下用chown命令；

(root) /bin/chmod 注：可以切换到root下用chmod命令；

(root) /usr/sbin/adduser 注：可以切换到root下用adduser命令；

(root) /usr/bin/passwd [A-Za-z]* 注：可以切换到root下用 passwd 命令；

(root) !/usr/bin/passwd root 注：可以切换到root下，但不能执行passwd root 来更改root密码；

(root) /sbin/parted 注：可以切换到 root下执行parted ；

(root) /sbin/fdisk 注：可以切换到root下执行 fdisk ；

通过上面的sudo -l 列出可用命令后，我想通过chown 命令来改变/opt目录的属主为beinan ；[beinan@localhost ~]$ ls -ld /opt 注：查看/opt的属主；

drwxr-xr-x 26 root root 4096 10月 27 10:09 /opt 注：得到的答案是归属root用户和root用户组；

[beinan@localhost ~]$ sudo chown beinan:beinan /opt 注：通过chown 来改变属主为beinan用户和beinan用户组；

[beinan@localhost ~]$ ls -ld /opt 注：查看/opt属主是不是已经改变了；

drwxr-xr-x 26 beinan beinan 4096 10月 27 10:09 /opt

我们通过上面的例子发现beinan用户能切换到root后执行改变用户口令的passwd命令；但上面的sudo -l 输出又明文写着不能更改root的口令；也就是说除了root的口令，beinan用户不能更改外，其它用户的口令都能更改。下面我们来测试；

对于一个普通用户来说，除了更改自身的口令以外，他不能更改其它用户的口令。但如果换到root身份执行命令，则可以更改其它用户的口令；

比如在系统中有linuxsir这个用户, 我们想尝试更改这个用户的口令，

[beinan@localhost ~]$ passwd linuxsir 注：不通过sudo 直接运行passwd 来更改linuxsir用户的口令；

passwd: Only root can specify a user name. 注：失败，提示仅能通过 root来更改；

[beinan@localhost ~]$ sudo passwd linuxsir 注：我们通过/etc/sudoers 的定义，让beinan切换到root下执行 passwd 命令来改变linuxsir的口令；

Changing password for user linuxsir.

New UNIX password: 注：输入新口令；

Retype new UNIX password: 注：再输入一次；

passwd: all authentication tokens updated successfully. 注：改变成功；

后记：

本文是用户管理的文档的重要组成部份，我计划在明天开始写用户管理控制工具，比如useradd、userdel、usermod ，也就是管理用户的工具介绍；当然我还会写用户查询工具等与用户管理相关的；

关于本文：

超级权限管理这篇文档是我写的最费力气的文档，写的我都怕了；虽然这个文档是最简单的文档，我自己是明白，但就是表达不出来，而且无论怎么表达，我都感觉是把问题看的太复杂。前前后后写了一个星期都不止；每天坚持十几个小时就是为了写这篇文档，写了好多字，一看不太行就删除重写。得写次数不下十次。改了又写，写了又改，人都崩溃了，不知道什么时候才是尽头；

在我看来，这篇文档还得改；我不知道初学者是不是能看得懂，至少我需要初学者反馈一点信息，谢谢；当然高手的指点，我就更欢迎了。。。。。。

致谢：

感谢pandonny兄弟有关sudo概念性提供理论援助；

感谢etony 兄弟的提供修改建议；

感谢懒猫兄弟修正文档概念及目录，并加入索引；

感谢Arch 修正文档中关于sudo 授权规则定义中的有关passwd 的修正；

参考文档：

su、sudo、sudoers 的帮助文档

相关文档：

《Linux 用户（user）和用户组（group）管理概述》《用户（user）和用户组（group）配置文件详解》《Linux 用户（User）查询篇》

《Linux 用户管理工具介绍》

《Linux 系统中的超级权限的控制》

《在Linux系统中，批量添加用户的操作流程》

LINUX操作系统实验报告

中国地质大学江城学院 LINUX操作系统实验报告 姓名 班级学号 指导教师冯春华 2012 年月日

实验一在LINUX下获取帮助、Shell实用功能 实验目的： 1、掌握字符界面下关机及重启的命令。 2、掌握LINUX下获取帮助信息的命令：man、help。 3、掌握LINUX中Shell的实用功能，命令行自动补全，命令历史记录，命令的排列、替 换与别名，管道及输入输出重定向。 实验内容： 1、使用shutdown命令设定在30分钟之后关闭计算机。 2、使用命令“cat /etc/named.conf”设置为别名named，然后再取消别名。 3、使用echo命令和输出重定向创建文本文件/root/nn，内容是hello，然后再使用追加重定向输入内容为word。 4、使用管道方式分页显示/var目录下的内容。 5、使用cat显示文件/etc/passwd和/etc/shadow，只有正确显示第一个文件时才显示第二个文件。 实验步骤及结果： 1、 2、 3、 4、 5、

实验二文件和目录操作命令 实验目的： 1、掌握LINUX下文件和目录的操作命令，如pwd、cd、ls、touch、mkdir、rmdir、cp、 mv、rm等。 2、掌握LINUX下建立链接文件的方法。 实验内容： 1、使用命令切换到/etc目录，并显示当前工作目录路径。 2、使用命令显示/root目录下所有文件目录的详细信息，包括隐藏文件。 3、使用命令创建空文件/root/ab，并将该文件的时间记录更改为8月8日8点8分。 4、使用命令创建具有默认权限为744的目录/root/ak，然后将/etc/named.conf文件复制到该目录中，最后将该目录及其目录下的文件一起删除。 5、统计文件/etc/named.conf的行数、字符数和单词数。 6、使用命令创建/root/a文件的硬链接文件/root/b和软链接文件/root/c。 实验步骤及结果：

《Linux操作系统》实验三-权限和文件系统管理

《Linux操作系统》 实验报告 实验三：权限和文件系统管理

一、实验目的 1.Unix/Linux权限和文件管理命令; 2.Unix/Linux文件系统的使用; 3.与文件系统管理相关的其它命令。 二、实验环境 Linux操作系统 三、实验内容与实验过程及分析 (l)权限的字符串表示 使用ls -了-d 文件名查询相关文件权限 结果图为： (2) umask值与umask命令 使用命令：umask或umask –p 或 umask –S查看当前的umask值，使用umask 四位八进制数字或者符合修改umask值。 结果图为：

(3)使用权限管理命令chmod进行权限设置 为目录a1、a2修改权限（每完成一步操作都要用ls –l检查文件属性，并进行记录）：

为目录a1、a2增加所有人的可进入和读写权限：chmod o+rx a1、a2 为目录a1加入同组人的写权限：chmod go+w a1 将目录a1的其他人权限递归方式设为不可读可不写不可执行：chmod -R o-rwx /root/a1 将目录a1的其他人权限递归方式设为可读可写可执行：chmod -R 777 /root/a1 结果图为：

(4)使用chown，chgrp等进行权限设置 使用权限管理命令chown，chgrp等进行权限设置（每完成一步操作都要用ls –l检查文件属性，并进行记录）： 将目录a1用户主设为chown lm a1 将目录a1的组设为chgrp lm a1 将目录a1及其所有子目录的用户主设为lm，组设为chown -R lm:bin a1 结果图为：

DCS控制系统维护检修规程

DCS控制系统维护检修规程 1 目的 DCS自动控制系统是由自身的软、硬件以及操作台盘及现场仪表（变送器、测量仪表、电缆及执行机构等）组成的有机整体。避免系统中任何一个环节出现问题导致系统部分功能失效或引发控制系统故障，甚至导致生产停车等事故，维护正常生产。 2 系统组成DCS控制系统由工程师站、操作站、控制站、过程网络组成。 2.1工程师站是为专业工程技术人员设计的，内装有相应的组态平台和系统维护工具。通过系统组态平台生成适合于生产工艺要求的应用系统，具体功能包括：系统生成、数据库结构定义、组态操作、流程图画面组态、报表程序编制等。而使用系统的维护工具软件实面过程控制网络调试、故障诊断、信号调校等。 2.2操作站是由工业PC机、CRT、键盘、鼠标、打印机等组成的人机系统，是操作人员完成过程控制监控管理任务的环境。 2.3控制站是系统中直接与现场打交道的I/O处理单元，完成整个工业过程的实时监控功能，控制站冗余配置。 2.4过程控制网络实现工程师站、操作站、控制站的连接，完成信息、控制命令等传输，网络冗余设计。 3 系统日常维护 3.1日常巡检内容：每天必须进行巡回检查，检查内容包括： 3.1.1向当班工艺人员了解DCS的运行情况；

3.1.2 查看“故障诊断”画面，检查有无故障现象； 3.1.3 检查控制站各卡件指示灯有无异常； 3.1.4 检查控制室温度及空调运行情况（18—24℃）； 3.1.5 检查控制站机柜及操作柜散热风扇运行情况。 3．2控制站的定期维护管理及测试： 3.2.1控制室与操作室的维护管理 3.2.2保证控制室及操作室的照明符合要求（安装日光灯进行采光）； 3.2.3检查操作室与控制室的温度及湿度和空调的运行情况，并应特别注意控制机柜的卡件等电子设备有无出现水珠或凝露现象； 3.2.4检查有无腐蚀性气体腐蚀设备与过多的粉尘堆积的现象，操作台及控制机柜的风扇滤网应定期拆洗，建议每月更换、拆洗一次；3.2.5 检查操作室、控制室受电磁干扰情况和振动情况。 3.2.2计算机的维护管理 3.2.2.1文明操作，爱护设备，保持清洁，防灰防水； 3.2.2.2不可强制性关闭计算机电源； 3.2.2.3键盘与鼠标操作须用力恰当，轻拿轻放，避免尖锐物刮伤表面； 3.2.2.4 显示器应远离热源，保证显示器通风不被他物挡住； 3.2.2.5在进行计算机信号电缆、通讯电缆连接或拆除时，请确认计算机电源开关处于“关”状态。 3.2.2.6严禁使用非正版的微软公司视窗操作系统软件。 3.2.2.7系统维护人员应谨慎使用外来软盘或光盘，防病毒侵入。

Linux服务器配置与管理实验报告1

实验一安装Linux操作系统 【实验目的】 了解Linux操作系统的发行版本；掌握Linux系统安装方法；掌握网络配置和网络环境测试。 【实验内容】 1．Vmware Workstation 6.0下创建Red Hat Linux虚拟机，要求虚拟机的内存为256MB或更大，硬盘为8GB或更大。 2．使用RHEL 5的ISO文件安装Linux系统。 【实验步骤】 1．硬盘和分区知识以及Linux文件系统的组织方式 （1）硬盘和分区知识 磁盘有IDE接口和SCSI接口两种。 磁盘在使用前需分区。磁盘分区有主分区、扩展分区和逻辑分区之分。一块硬盘可以有4个主分区，其中一个主分区的位置可以有一个扩展分区替换，即可以有3个主分区和一个扩展分区，且一块硬盘只能有一个扩展分区，在这个扩展分区中可以划分多个逻辑分区。（2）Linux如何表示分区 在Windows系统中使用盘符来标识不同的分区，而在linux下使用分区的设备名来标识不同的分区，设备名存放在/dev目录中。 磁盘设备名称如下： ●系统的第1块IDE接口的硬盘称为/dev/hda ●系统的第2块IDE接口的硬盘称为/dev/hdb ●系统的第1块SCSI接口的硬盘称为/dev/sda ●系统的第2块SCSI接口的硬盘称为/dev/sdb 分区使用数字编号表示： ●系统的第1块IDE接口硬盘的第1个分区称为/dev/hda1 ●系统的第1块IDE接口硬盘的第5个分区称为/dev/hda5 ●系统的第2块SCSI接口硬盘的第1个分区称为/dev/sdb1 ●系统的第2块SCSI接口硬盘的第5个分区称为/dev/sdb5 注意：数字编号1-4留给主分区或扩展分区使用，逻辑分区编号从5开始。 （3）Linux文件系统文件系统的组织方式------挂载点 Linux系统只有一个根目录，即只有一个目录树。不同磁盘的不同分区只是这个目录树的一部分，在linux中创建文件系统后（类似format)，用户不能直接使用它，要挂载文件系统后才能使用。挂载文件系统首先要选择一个挂载点。 2．利用VMware Workstation 6.0 创建一台新的虚拟机

Linux操作系统实验教程

Linux操作系统实验教程 第1章Linux系统概述 一、Linux系统结构 从操作系统的角度来分析Linux,它的体系结构总体上属于层次结构如下图所示： 从内到外包括三层：最内层是系统核心，中间是Shell、编译编辑实用程序、库函数等，最外层是用户程序，包括许多应用软件。 从操作系统的功能角度来看，它的核心有五大部分组成：进程管理、存储管理、文件管理、设备管理、网络管理。各子系统实现其主要功能，同时相互之间是合作、依赖的关系。进程会管理是操作系统最核心的内容，它控制了整个系统的进程调度和进程之间的通信，是整个系统合理高效运行的关键； 存储管理为其他子系统提供内存管理支持，同时其他子系统又为内存管理提供了实现支持，例如要通过文件管理和设备管理实现虚拟存储器和内外存的统一管理。 二、配置一个双引导系统 如果计算机中已经安装了其他操作系统，并想创建一个引导系统以便兼用Red Hat Linux和另外的操作系统，需要使用双引导。机器启动时，可以选择其中之一，但不能同时使用两者。每个操作系统都从自己的硬盘驱动器或硬盘分区中引导，并使用自己的硬盘驱动器或硬盘分区。 如果计算机上还没有安装任何操作系统，可以使用专门的分区及格式化软件给Windows创建指定大小的分区，Windows的文件系统为FAT,再为Linux系统创建所需要大小的分区(4G或更大)，另外再给Linux留100MB 左右的交换分区，Linux的文件系统为ext2。然后就可以安装系统了。应首先安装Windows,然后再安装Red Hat Linux。如果只进行了分区而没有格式化各分区，在安装时可以使用Windows自带的格式化程序和Linux自带的格式化程序进行各自分区的格式化。 当Windows已经被安装，而且已为Linux准备了足够的磁盘空间，就可以安装Linux了。Red Hat Linux安装程序通常会检测到Windows并自动配置引导程序来引导Windows或Red Hat Linux。

(完整版)linux文件系统管理-权限管理实验4报告

实验报告 课程Linux系统应用与开发教程实验名称linux文件系统管理-权限管理（高级设置） 一、实验目的 1、掌握Linux文件系统权限的设置 2、掌握linux用户帐号与组管理 3、掌握linux 文件共享的设置方法 4、掌握linux 文件共享的权限设置方法 二、实验内容 1、使用root帐号通过系统提供的6个虚拟控制台登陆到linux，或在x-windows开启一个终端。 2、完成以下的实验内容 (1)、假设你是系统管理员：现要在公司linux服务器系统中新增一些用户与一个用户组。 ?使用groupadd account 添加一个名为account的组 ?使用useradd -G account acc-user1，(该命令将添加一个用户名为acc-user1的用户, 同时会建立一个与用户名同名的私有组（该私有组为用户的默认组，这个组中只有一个用户名），并把该用户将加入account的标准组，同时，按同样的方法建立acc-user2、acc-user3、acc-user4。 ?建立用户后，请使用x-window中的用户与组管理工具查看用户与组建立情况，检查用户与组的归属情况。 (2)、开启多个控制台，分别使用acc-user1、acc-user2、acc-user3登陆系统（可以在控制台分别登陆，也可以在X-windows中多开几个终端程序，默认使用root登陆，然后使用su命令通过切换用户的方式登陆，其语法为“su - user-name”，提示可以在登陆成功后运行命令“id”查看当前登陆的用户属于哪些组，当前的默认组是什么？） (3)、为account组建立一个公共共享目录/home/account-share，满足以下的权限设定要求，以及设置何种的umask： ?该目录的拥有者为acc-user1，所属组为account。 ?在该目录下建立一个/home/account-share/full-share的子目录，修改该目录的权限，使得account组的成员均能在对该目录有完全控制权限，account组外的其他用户没有任何权限，即account组的成员都可以在该目录下建立文件，同时在该子目录full-share下建立的文件，只有文件建立者有权限删除，并且每个用户在该子目录full-share下建立的文件也能自动与该account组成员可读共享。 ?在/home/account-share/为每个用户建立一个与用户名同名的子目录(如/home/account-share/acc-user1为用户acc-user1的目录，其拥有者为acc-user1，所在的组为account)，配置该子目录的拥有者有完全控制权限，而同组用户只能读取，同时在用户在该目录下建立的文件，可供同组用户读。 (4)、考虑完成以上的共享目录权限设置，应注意哪些设置。包括目录的权限，目录的拥有者，目录所在的组，具体文件的权限，umask设置等。 (5)、实验报告应体现出使用不同身份的用户对所配置目录的访问测试过程。 三、实验环境 安装有vmware或visual pc软件的window主机，系统中有提供turbolinux或redhat的硬盘

列车运行自动控制系统维护---候启同(DOC)

天津铁道职业技术学院 《列车运行自动控制系统维护》课程学习报告 系别电信系 专业班级铁道通信信号1302班 学号 姓名 任课教师 2015年12月

《列车运行自动控制系统维护》课程学习报告 目录 项目一 CTCS-0级车载设备的维护 (1) 任务一机车信号的测试与检修 (1) 一、机车信号系统构成 (1) 二、主要技术指标 (15) 三、机车信号记录器系统 (22) 四、记录器地面数据处理系统及软件功能 (29) 五、机车信号车载设备测试系统 (67) 任务二列车运行监控装置（LKJ） (80) 一、LKJ2000监控装置的认知 (81) 二、LKJ2000型监控装置的组成、功能及工作原理 (88) 系统结构如“LKJ2000/TAX2/TSC1连接关系图”所示 (88) 任务三 TAX2型机车安全信息综合监测装置 (110) 一、概述 (110) 二、TAX2型机车安全信息综合监测装置基本配置及主要功能 (110) 三、TAX2型机车安全信息综合监测装置的组成及原理 (111) 项目二 CTCS级车载设备维护 (118) 任务一 CTCS-2级列控车载设备的维护 (118) 一、CTCS2-200H列控系统结构 (119) 二、CTCS2-200H列控车载设备组成 (119) 三、CTCS2-200H列控车载设备功能 (127) 四、CTCS2-200H型车载列控系统接口 (131) 五、人机界面（DMI） (132) 六、CTCS2-200H列控车载设备维护 (153) 项目三 CTCS3级车载设备的维护 (159) 任务一 CTCS3级车载设备的维护 (159) 一、CTCS3-300T列控车载体系结构 (159) 二、CTCS3-300T车载设备组成 (160) 三、CTCS3-300T车载设备功能 (162) 四、车载设备接口 (171) 五、车载控车原理（工作模式） (172) 六、人机界面 (176) 七、设备维护 (187) 缩写词英汉对照 (196)

数据访问权限集的作用

定义 数据访问权限集是一个重要的、必须设定的系统配置文件选项。对具有相同科目表、日历和期间类型的分类帐及其所有平衡段值或管理段值的定义读写权限，系统管理员将其分配至不同的责任以控制不同的责任对分类帐数据的访问。 可以定义以下三种类型的数据访问权限集： ?全部分类帐：授予分类帐中所有数据的访问权限。例如，在具有两个分类帐（A和B）的数据访问权限集中，可以授予对分类帐A中所有数据的只读权限，对分类帐B中所有数据的读写权限。 ?平衡段值：授予对所有或特定分类帐/平衡段值(BSV)组合的访问权限。例如，可能使用包含分类帐A的数据访问权限集，授予对平衡段值01的只读权限，授予对平衡段值02的读写权限，对于相同分类帐中的平衡段值03没有任何权限。这对于使用少量包含有许多平衡段值来表示多个公司或法人主体的分类帐的公司非常有用。 ?管理段值：授予对所有或特定分类帐/管理段值(MSV)组合的访问权限。例如，可能使用包含分类帐A的数据访问权限集，授予对管理段值100的只读权限，授予对管理段值200的读写权限，对于相同分类帐中的管理段值300没有任何权限。只在当在科目表中指定了管理段时，才能使用管理段值。 注：1.“全部分类帐”访问权限集类型提供比“平衡段值”或“管理段值”访问权限集类型更好的系统性能。 2．在分配特定平衡段值/管理段值时，可以分别指定所有值、包括子值的父值或子值。 目的 通过定义分类帐、平衡段值、管理段值的读写权限，来控制不同的责任对分类帐数据的访问，同时控制用户对平衡段值和管理段值的读写。 前提条件： ?分类帐必须已分配给具有“完成”状态的会计科目设置。

?分配至数据访问权限集的分类帐（集）必须共用相同科目表、日历和期间类型。 ?需要进一步限制对分类帐、分类帐集或分类帐/分类帐集的特定平衡段值或管理段值的读写权限； 因为在创建分类帐（集）时，系统自动创建数据访问权限集。 创建使用的职责： 1.总帐超级用户—定义数据访问权限集 2.系统管理员—分配数据访问权限集 使用说明 1.必须为每个数据访问权限集指定三种类型之一。在定义之后，不能更改类型。只能添加或删除数据 访问权限集中指定的分类帐/分类帐集和段值。 2.在以下情况发生时，Oracle General Ledger会自动创建数据访问权限集： ?创建分类帐 ?定义分类帐集 2.1分类帐的系统生成数据访问权限集使用与分类帐相同的名称。此数据访问权限集使用“全部分类 帐”访问权限集类型，提供对分类帐的完全读写权限。 分类帐集的系统生成数据访问权限集使用与分类帐集相同的名称。此数据访问权限集使用“全 部分类帐”访问权限集类型，提供对分配给分类帐集的所有分类帐的完整读写权限。 2.2全部分类帐访问权限 需要具有全部分类帐访问权限才能执行某些操作，如打开和关闭期间、创建汇总帐户、创建明细帐户、创建预算以及执行成批维护。全部分类帐权限意味着具有分类帐及其所有平衡段值 或管理段值的完全读写权限。 要获得全部分类帐访问权限，的数据访问权限集必须为以下类型之一： ?“全部分类帐”数据访问权限集类型，提供对分类帐的读写权限。 ?“平衡段值”数据访问权限集类型，该类型为使用“所有值”复选框的分类帐提供对所有 平衡段值的读写权限。

实验二：NTFS文件系统设置实验

实验二 NTFS文件系统设置实验 一、实验目的 1、掌握NTFS文件系统的基本概念 2、掌握NTFS文件系统进行本地安全权限设置的操作 3、掌握磁盘配额等操作 二、实验要求 1、设备要求：1台装有Windows Server 2012操作系统并装有Hyper-V的计算机 2、每组1人，独立完成 三、实验基础 实验在Hyper-V虚拟机完成，掌握Hyper-V的基本操作，理解NTFS文件系统与权限设置的基本操作。 四、实验要求与步骤 任务1： 1）选择Windows 2008/2012虚拟机； 2）添加1个虚拟磁盘（3G容量）-（建议使用SCSI控制器）； 3）启动Windows 2008虚拟机，用计算机管理-存储-磁盘管理，将磁盘联机并初始化; 4）新建3个简单卷，空间大小为1G, 分别设置驱动器号为F、G、H，并格式化F盘文件系统为FAT32；G、H盘文件系统为NTFS

任务2: 创建用户S1、S2、S3等,在G盘中建立文件夹G:\DOC，用记事本存放文件111.txt ,222.txt等, 在H盘中建立文件夹H:\S1、H:\S2、H:\S3 操作实现以下设置要求，并验证： 1) G:\DOC中存放着公司重要的资料，只有S1、S2普通用户对其只拥有读取权 限，Administrator对其拥有完全控制权限 2)H盘以S1、S2、S3命名的个人文件夹，对应用户拥有完全控制权限，其它用户无任何权限（如：H:\S1文件夹，S1用户拥有完全控制权限，其他用户无任何权限）

4)文件或文件夹的复制和移动对NTFS权限的影响,实验操作并观察属性的变化 5）在H盘上启用磁盘配额： 把S1 账户的配额设置为：磁盘空间限制为20MB，警告等级为18MB 把S2 账户的配额设置为：磁盘空间限制为30MB，警告等级为28MB 切换到S1 账户，向H:\S1复制一些文件，当复制到一定程度时会出现什么问题？

Linux操作系统实验指导书

《Linux系统管理与维护》实验指导书 实验一初识Linux操作系统 一实验名称 初识Linux操作系统 二实验目的与要求 掌握Linux的启动、登录与注销。 三实验内容 1.以root用户和普通用户两种不同身份登录Linux，说出其登录后得差异。 2.图形模式下的注销、重启与关机。 3.学会在虚拟机上登录和注销Linux。 四操作步骤与结果分析 五问题与建议

实验二Linux的桌面应用 一实验名称 Linux的桌面应用 二实验目的与要求 熟悉Linux操作系统桌面环境 熟悉Linux文件系统及常用的操作 掌握Linux下使用外部存储设备、网络设备 掌握Linux下安装应用程序 三实验内容 1.查看GNOME提供的“应用程序”、“位置”或者“系统”菜单，运行其中的应用程 序和工具。 2.查看Linux文件目录结构，学会常用的文件目录操作，如复制、粘贴、移动、删 除、更名、创建文档、创建文件夹等。 3.练习在Linux下使用光盘和U盘。 4.学会网络配置，使计算机能够进行网络浏览等操作。 5.学会在Linux下安装新的应用软件。 四操作步骤与结果分析 五问题与建议

实验三Linux操作系统的安装 一实验名称 Linux操作系统的安装 二实验目的与要求 掌握安装Linux操作系统 三实验内容 1.通过学习《项目五Linux操作系统的安装及远程服务》的内容，学会如何安装Linux。 环境：windows 系统、vmware虚拟机、Redhat Linux镜像光盘。 通过安装向导将安装分为两步：1、基本安装，2、配置及具体安装。 在第一阶段重点如何分区，在第二阶段重点掌握如何设置密码及安装桌面环境。四操作步骤与结果分析 五问题与建议

福建工程学院实验5 linux文件系统

实验五(1) Linux文件系统实验 实验目的 学习Linux中文件系统的使用，理解链接、权限的概念和使用；掌握常用的文件系统的系统调用，加深对文件系统界面的理解。 实验内容 1.学习文件链接的概念和使用（步骤一、步骤二） 2.学习文件权限的概念和管理机制，并学会使用（步骤三） 3.学习和文件相关的系统调用和库函数，进行若干编程练习（步骤四，至少完成两例） 实验步骤 一、文件链接与复制(hard link) 1．使用vi a创建一个文件a Vi a

2．使用ln a b命令创建一个链接

使用cp a c创建一个复制版本 观察3个文件的大小、时间、属主（owner）等属性

3．修改文件a 4．观察文件b的内容，观察文件c的内容，观察3个文件的大小、时间、属主（owner）等属性 5． 6．使用ls –li命令，观察文件a, b, c的inode编号 7．使用rm a删除文件a 8．观察文件b, c是否仍然存在，内容如何 b、c依然存在，b为a改变的内容，c内容不变

9．使用rm b删除文件b，再观察文件b, c是否存在 b不存在，c存在 二、符号链接（软链接）symbolic link / soft link 1．创建文件a 2．使用ln –s a b创建符号一个链接 3．执行上述步骤3-8，观察有什么异同 三、不同用户之间的硬链接和符号链接 1．在用户stu下创建文件a 注意使用chmod命令，将主目录（~stu）权限改为所有其它用户可访问（r-x）（如果不知道chmod命令的用法，可以使用man chmod来查阅） chmod o+rx ~

11 BO数据权限控制

1、在数据库新建权限控制表，记录登录人员及其拥有的权限，下面的例子是基于MS SQL Server 2005和BO R2： CREATE TABLE SIS_CTL_User( name varchar(50),--登录人员ID user_desc varchar(50),--登录人员描述，可为空 Region varchar(20),--有数据权限的区域 country varchar(10),--有数据权限的国家 Sub_Region varchar(10),--有数据权限的小区 City varchar(20),--有数据权限的城市 brand varchar(20),--有数据权限的品牌 Sub_Brand varchar(20)----有数据权限的子品牌 ) 对于地区和产品2个权限，如果记录Sub_Region的数据权限，则Region可以不填，其余类似，即只需要将拥有权限的那层填充即可，上级、下级不需要填。 模拟测试数据： 用户test1拥有Region EOC的权限，用户test2拥有Sub_Region WOC1、WOC2的权限：insert into SIS_Ctl_User(name,region) values('test1','EOC'); insert into SIS_Ctl_User(name,sub_region) values('test2','WOC1'); insert into SIS_Ctl_User(name,sub_region) values('test2','WOC2'); 2、在BO控制台将test1加入组Region，test2加入组Sub_Region（目的是将权限控制应用在组上，如果是对单个用户应用权限控制，则不需要加入组） 3、在Universe配置权限控制： 新建2个限制，一个是限制大区的权限，一个限制小区的权限： 新建访问限制，在新开的窗口输入限制名称“大区权限”，在下面的部分选择“行”，

实验指导书1-vmware与redhat-linux-7.3安装

实验指导书1-vmware与redhat-linux-7.3安装

实验一、Vmware虚拟机与Redhat linux 7.3安装 【实验目的】 1、了解和熟悉Vmware的使用方法 2、熟悉Redhat linux7.3的安装过程 3、安装vmware tools，安装显卡驱动 4、实现vmware和linux的共享目录。 5、实现telnet远程访问 【实验准备】 1、vmware 4.5.2虚拟机软件 2、redhat linux 7.3三个ISO映像文件 valhalla-i386-disc1.ISO valhalla-i386-disc2.ISO valhalla-i386-disc3.ISO 【实验内容】 1、在Vmware虚拟机中安装redhat linux 7.3操作系统 步骤：(1)在主机的D盘或者E盘建立redhat linux 7.3的目录 (2)启动vmware 虚拟机软件，按照课件上方法新建一个操作系统 (1) (2) (3) (4)

(5) (6) (7) (8) 步骤3：启动虚拟机，准备安装redhat linux 7.3,我们使用光盘镜像来安装Linux，点击菜单[VM]-[settings],在[hardware]-[CD Rom] 中选择 [ISO image],点击“浏览”选择ISO 文件valhalla-i386-disc1.iso

步骤4.启动vmware，安装redhat linux 7.3，在boot：后输入text 回车。 提示：在安装界面上采用图形方式装，如果采用图形方式安装，在安装到840M时，会提示出错。可以退出，再次重新安装基本第二次都会成功。

linux操作系统实验指导书第2周

第3周Linux文件与目录管理 一、实验内容 1.练习Linux文件和目录操作命令。 2.实验目的练习Linux文件权限和文件查找命令。 二、实验目的 1.掌握文件与目录管理命令 2.掌握文件内容查阅命令 3.了解文件与目录的默认权限与隐藏权限 4.掌握如何改变文件属性与权限 5.掌握命令与文件的查询方法 三、实验题目 1. 文件与目录管理 (1) 查看Ubuntu根目录下有哪些内容？ (2) 进入/tmp目录，以自己的学号建一个目录，并进入该目录。 (3) 显示目前所在的目录。 (4) 在当前目录下，建立权限为741的目录test1，查看是否创建成功。 (5) 在目录test1下建立目录test2/teat3/test4。 (6) 进入test2，删除目录test3/test4。 (7) 将root用户家目录下的.bashrc复制到/tmp下，并更名为bashrc (8) 重复步骤6，要求在覆盖前询问是否覆盖。 (9) 复制目录/etc/下的内容到/tmp下。 (10) 在当前目录下建立文件aaa。 (11)查看该文件的权限、大小及时间 (12) 强制删除该文件。 (13) 将/tmp下的bashrc移到/tmp/test1/test2中。 (14) 将/test1目录及其下面包含的所有文件删除。 2. 文件内容查阅、权限与文件查找 (1) 使用cat命令加行号显示文件/etc/issue的内容。 (2) 反向显示/etc/issue中的内容。 (3) 用nl列出/etc/issue中的内容。

(4) 使用more命令查看文件/etc/man.config (5) 使用less命令前后翻看文件/etc/man.config中的内容 (6) 使用head命令查看文件/etc/man.config前20行 (7) 使用less命令查看文件/etc/man.config后5行 (8) 查看文件/etc/man.config前20行中后5行的内容 (9) 将/usr/bin/passwd中的内容使用ASCII方式输出 (10) 进入/tmp目录，将/root/.bashrc复制成bashrc，复制完全的属性，检查其日期 (11) 修改文件bashrc的时间为当前时间 3. 文件权限 (1) 执行echo pwd >> pwd.sh，然后使用ls -al查询一下，发生了什么事？ (2) 以两种方式查看系统中新建文件或目录的默认权限 (3) 新建文件test1和目录test2，查看它们的权限是否与(2)中的默认权限相符 (4) 修改pwd.sh文件权限为r-xr--r--。 (5) 执行pwd.sh。（提示：执行本路径下文件的命令是./文件名）。 (6) 添加用户stu，修改密码为123。 (7) 修改文件test1的属主为stu，test1所属的组为stu。 (8)增加test1的属主具有可执行的权限。 4. 文件查找 (1) 查看文件/root/.bashrc的类型 (2) 查询ifconfig和cd命令的完整文件名 (3) 只找出跟passwd有关的“说明文件”文件名 (4) 找出系统中所有与passwd相关的文件名 (5) 将过去系统上面3天前的24小时内有改动(mtime)的文件列出 (6) 使用find查找当前目录下比man.config新的文件，并存储到man.config.new文件。 (7) 列出/etc下比/etc/man.config新的文件 (8) 查找系统中所有属于root的文件及不属于任何人的文件 (9) 使用find查找/下面所有名称为man.config的文件。 (10) 找出文件名为man.config的文件 (11) 使用locate查找所有名称为man.config的文件。 (12) 11步和12步的结果一样么？为什么？ (13) 找出/etc下文件类型为f的文件 (14) 找出系统中大于1M的文件

实验二 文件系统及磁盘管理

实验二文件系统及磁盘管理 1.文件系统管理 一、实验目的 ●掌握Linux下文件系统的创建、挂载与卸载。 ●掌握文件系统的自动挂载。 二、项目背景 某企业的Linux服务器中新增了一块硬盘/dev/sdb，请使用fdisk命令新建/dev/sdb1主分区和/dev/sdb2扩展分区，并在扩展分区中新建逻辑分区/dev/sdb5，并使用mkfs命令分别创建vfat和ext3文件系统。然后用fsck命令检查这两个文件系统；最后，把这两个文件系统挂载到系统上。 三、实验内容 练习Linux系统下文件系统的创建、挂载与卸载及自动挂载的实现。 四、实验步骤 子项目1．创建/dev/sdb1和/dev/sdb5 ●使用fdisk命令创建/dev/sdb1主分区。 ●使用fdisk命令创建/dev/sdb2扩展分区。

●使用fdisk命令创建/dev/sdb5逻辑分区。 ●输入子命令w，把设置写入硬盘分区表，退出fdisk并重新启动系统。 ●用mkfs命令在上述刚刚创建的分区上创建ext3文件系统和vfat文件系统。 ●用fsck命令检查上面创建的文件系统。 子项目2．挂载/dev/sdb1和/dev/sdb5 ●利用mkdir命令，在/mnt目录下建立挂载点，mountpoint1和mountpoint2。 ●把上述新创建的ext3分区挂载到/mnt/mountpoint1上。

●把上述新创建的vfat分区挂载到/mnt/mountpoint2上。 ●利用mount命令列出挂载到系统上的分区，查看挂载是否成功。 ●利用umount命令卸载上面的两个分区。 子项目3．实现/dev/sdb1和/dev/sdb5的自动挂载 ●编辑系统文件/etc/fstab文件，把上面两个分区加入此文件中。 ●重新启动系统，显示已经挂载到系统上的分区，检查设置是否成功。 子项目4．挂载光盘和U盘 ●取一张光盘放入光驱中，将光盘挂载到/media/cdrom目录下。查看光盘中的文件。 ●利用与上述相似的命令完成U盘的挂载与卸载。 五、实验思考题 1. 在Linux下能创建Windows 的分区吗？在Linux下能创建Windows的文件系统吗？ Windows操作系统可以识别ext3文件系统吗? 2.系统挂装表的文件名？系统挂装表的作用是什么？其文件格式使什么？ 3.利用mount命令挂装一个文件系统和将其写入/etc/fstab文件的区别是什么？

网络层访问权限控制技术ACL详解

网络层访问权限控制技术ACL详解 技术从来都是一把双刃剑，网络应用与互联网的普及在大幅提高企业的生产经营效率的同时，也带来了诸如数据的安全性，员工利用互联网做与工作不相干事等负面影响。如何将一个网络有效的管理起来，尽可能的降低网络所带来的负面影响就成了摆在网络管理员面前的一个重要课题。 A公司的某位可怜的网管目前就面临了一堆这样的问题。A公司建设了一个企业网，并通过一台路由器接入到互联网。在网络核心使用一台基于IOS的多层交换机，所有的二层交换机也为可管理的基于IOS 的交换机，在公司内部使用了VLAN技术，按照功能的不同分为了6个VLAN。分别是网络设备与网管(VLAN1，10.1.1.0/24)、内部服务器(VLAN2)、Internet连接(VLAN3)、财务部(VLAN4)、市场部(VLAN5)、研发部门(VLAN6)，出口路由器上Fa0/0接公司内部网，通过s0/0连接到Internet。每个网段的三层设备(也就是客户机上的缺省网关)地址都从高位向下分配，所有的其它节点地址均从低位向上分配。 自从网络建成后麻烦就一直没断过，一会儿有人试图登录网络设备要捣乱;一会儿领导又在抱怨说互联网开通后，员工成天就知道泡网;一会儿财务的人又说研发部门的员工看了不该看的数据。这些抱怨都找这位可怜的网管，搞得他头都大了。那有什么办法能够解决这些问题呢?答案就是使用网络层的访问限制控制技术――访问控制列表(下文简称ACL)。 那么，什么是ACL呢?ACL是种什么样的技术，它能做什么，又存在一些什么样的局限性呢? ACL的基本原理、功能与局限性 网络中常说的ACL是Cisco IOS所提供的一种访问控制技术，初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机如2950之类也开始提供ACL的支持。只不过支持的特性不是那么完善而已。在其它厂商的路由器或多层交换机上也提供类似的技术，不过名称和配置方式都可能有细微的差别。本文所有的配置实例均基于Cisco IOS的ACL进行编写。 基本原理:ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。 功能:网络中的节点资源节点和用户节点两大类，其中资源节点提供服务或数据，用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限。 配置ACL的基本原则:在实施ACL的过程中，应当遵循如下两个基本原则: 最小特权原则:只给受控对象完成任务所必须的最小的权限 最靠近受控对象原则:所有的网络层访问权限控制 局限性:由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。因此，要达到end to end的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。 ACL配置技术详解 “说那么多废话做什么，赶快开始进行配置吧。”，A公司的网管说。呵呵，并不是我想说那么多废话，因为理解这些基础的概念与简单的原理对后续的配置和排错都是相当有用的。说说看，你的第一个需求是什么。 “做为一个网管，我不期望普通用户能telnet到网络设备”――ACL基础 “补充一点，要求能够从我现在的机器(研发VLAN的10.1.6.66)上telnet到网络设备上去。”。hamm，是个不错的主意，谁都不希望有人在自己的花园中撤野。让我们分析一下，在A公司的网络中，除出口路由器外，其它所有的网络设备段的是放在Vlan1中，那个我只需要在到VLAN 1的路由器接口上配置只允许源地址为10.1.6.66的包通过，其它的包通通过滤掉。这中只管源IP地址的ACL就叫做标准IP ACL: 我们在SWA上进行如下的配置:

第一节linux安装实验

实验一LINUX操作系统安装实验 一、实验目的 （一）掌握虚拟机软件的安装和使用 （二）掌握linux的安装 二、实验内容 （一）安装虚拟机软件virtualbox （二）在虚拟机上安装linux操作系统 三、实验步骤 （一）下载并安装虚拟机软件 1、在https://https://www.360docs.net/doc/f09213767.html,/wiki/Downloads下载虚拟机开源软件Oracle VM VirtualBox-4.2..16-86992-Win.exe。网址下载界面如图1。 图1 2、在32位window7/XP操作系统上安装该虚拟机软件，系统盘保留有足够空间情况下可采 用默认方式下安装，安装完界面如图2。

图2 （二）下载linux 1、根据https://www.360docs.net/doc/f09213767.html,提供的国内镜像网站（图3）下载centos6.4安装版本，进入国内镜像网站列表（图4）。 图3 图4 2、根据自己的网络情况选择镜像网站，本机选择网易镜像网站进行下载，如图5。

图5 3、若32位操作系统进入i386下载，64位操作系统进入x86_64进行下载。本机为32位因 此点击进入i386（图6）。 图6 4、如图7选择红色方框进行下载，为完整的DVD安装版本。 图7 5、下载完的全部文件如图8。

图8 （三）在虚拟机上安装linux 1、在管理器界面单击新建，名称输入centos6.4，类型选择linux，版本选择other linux，单击下一步。（图9） 图9 2、内存默认256M，输入652（图10）。 注：默认256会出现安装错误，输入512系统可以安装完毕，但无法进入x-windows界面。输入1000也会出现安装错误。

实验一Linux操作系统基础

实验一 1 实验名称：Linux操作系统基础 2 实验目标 2.1 掌握安装Linux操作系统的方法。 2.2 掌握Linux操作系统的基本配置。 2.3 了解GNOME桌面环境。 2.4灵活掌握基本shell命令的使用。 3 实验准备 3.1 下载VMware Workstation虚拟机软件（版本不限）。 3.2 准备Linux操作系统的安装源（内核版本和发行版本均不限）。 注：实验准备、实验内容4.1和4.2作为回家作业布置，同学们利用课余时间完成。 4 实验要求、步骤及结果 4.1 安装虚拟机软件。 【操作要求】安装VMware Workstation虚拟机软件，版本不限，并填写以下内容。 4.1.1安装VMware Workstation虚拟机软件的环境（操作系统） 4.1.2VMware Workstation虚拟机版本号

4.2 安装Linux操作系统。 【操作要求】在VMware虚拟机下安装Linux操作系统，版本不限，并填写以下内容。 4.2.1 Linux发行版本： 4.2.2 Linux内核版本： 4.2.3Linux操作系统的主要配置参数

4.3 了解Linux操作系统的桌面环境之一GNOME。 【操作要求1】打开图形化用户界面、查看桌面图标，查看主菜单，查看个人用户主目录等使用环境。 【操作要求2】启动字符终端2，了解命令提示行含义。 Alt+F2+Ctrl

[用户名@主机名目录名]提示符 【操作要求3】注销字符终端2 【操作要求4】关闭图形化用户界面，关闭Linux操作系统。 4.4 掌握基本shell命令的使用。 注：以下需要截取shell命令与结果，没有结果截到下一命令提示行。 【操作要求1】用超级用户登陆；将主机名改为具有个人学号后3位特征的名称，退出虚拟终端后重新登录；查看当前目录的绝对路径。 【操作步骤-登陆】 【操作步骤-修改主机名】 【操作步骤-查看结果】 【操作要求2】查看ls命令的手册页帮助信息；了解其中-d选项的作用，并举例说明。 【操作步骤】 【主要显示结果1-ls命令-d选项】

Linux操作系统的安装使用实验报告

实验报告 课程名称计算机网络原理与技术实验项目Linux操作系统的安装及使用专业班级姓名学号 指导教师成绩日期 一、实验目的 1、掌握虚拟机VMware软件的安装和使用； 2、掌握Linux系统软件的安装和使用； 4、掌握Linux命令的使用； 二、实验设备和环境 个人计算机一台、虚拟光驱、虚拟机VMware软件、Linux系统软件 三、实验内容 1、通过虚拟机安装Linux系统； 2、熟悉Linux的基本命令； 3、在Linux下编译一个C语言程序； 4、在Linux环境下配置TCP/IP协议； 5、设置Linux与Windows文件夹共享。 四、实验过程 1、安装VMware软件 双击安装文件，按照提示逐步安装，完成后的打开软件，如下图 这时就可以安装Linux系统了。

2．安装Lniux系统 选择“新建虚拟机”，按“下一步”，选择“典型”，“Linux”，“red hat linux”，其他按照默认选择。得到一个虚拟机界面（如下图所示）。 选中“CD-ROM”这项，将其设置为：“使用映像文件”然后导入Linux 系统的安装的第一张盘。（如下图所示）

点击“启动此虚拟机”，按照提示选择默认值，选择“个人工作站”。其他全部默认即可。在安装过程中，会提示“插入第二张光盘”，“插入第三张光盘”，这时同样用虚拟光驱加载镜像文件。重起后进入（如下图所示）。 选择默认，进入系统。 3．安装VMware tools。 选择VMware软件的菜单“虚拟机”、“安装VMware工具”，看见如下两个文件。双击rpm 格式文件。完成后，打开如下图的文件夹。

双击第一个压缩包进行解压到/usr/bin目录下。 在终端下运行以下命令（如图所示）：