实战二：umask、sudo提权、进程

一、权限&umask配置（1~3题）

1、临时设置developer的umask=027

# 切换developersu- developerumask027

知识点：

• umask=027：文件默认权限666-027=640 → rw-r-----；目录777-027=750，符合题目要求文件rw-r-----。

2、永久生效umask（写入用户环境配置）

su- developervim~/.bashrc# 文件末尾添加umask027# 生效配置source~/.bashrc# 验证umask

全局所有用户改/etc/profile，仅单个用户改家目录.bashrc

3、创建secure.cfg

# developer用户执行touch~/secure.cfg# 查看默认权限，验证rw-r-----ls-l~/secure.cfg

二、目录SGID权限（第4题）

# 1.先创建组developers、目录groupadddevelopersmkdir-p/home/developer/project# 设置目录属组为developerschgrpdevelopers /home/developer/project# 添加SGID权限chmodg+s /home/developer/project# 查看权限（出现s代表SGID生效）ls-ld/home/developer/project

SGID作用：目录内新建文件自动继承目录所属组developers。

三、sudo免密配置（5~8题）

5、新建sudoers配置（推荐在/etc/sudoers.d/新建文件，不直接改主配置）

# root执行vim/etc/sudoers.d/developer

6、写入免密useradd权限

developer ALL=(ALL) NOPASSWD: /usr/sbin/useradd

NOPASSWD：免密执行命令

###7、切换用户验证

su- developer# 测试创建用户，无需输密码sudouseraddtest01

###8、验证：无密码直接执行useradd即完成

四、access.log日志分析（第9题，先导入日志数据）

第一步：生成日志文件（root执行）

cat>/var/log/access.log<<END 2025-06-20 10:01:23 192.168.1.100 GET /api/users HTTP/1.1 200 150ms 2025-06-20 10:02:45 192.168.1.101 POST /api/login HTTP/1.1 401 200ms 2025-06-20 10:03:12 192.168.1.100 GET /api/products HTTP/1.1 200 180ms 2025-06-20 10:04:56 192.168.1.102 GET /api/orders HTTP/1.1 404 90ms 2025-06-20 10:05:30 192.168.1.103 POST /api/payment HTTP/1.1 500 320ms 2025-06-20 10:06:15 192.168.1.100 GET /api/users HTTP/1.1 200 160ms 2025-06-21 11:10:22 192.168.1.104 GET /static/css/main.css HTTP/1.1 200 50ms 2025-06-21 11:11:45 192.168.1.101 POST /api/login HTTP/1.1 200 180ms 2025-06-21 11:12:30 192.168.1.105 GET /static/js/main.js HTTP/1.1 200 70ms 2025-06-21 11:13:15 192.168.1.102 GET /api/orders HTTP/1.1 200 100ms END

分项命令

#(1)统计总行数wc-l/var/log/access.log#(2)查看最后10行tail-10/var/log/access.log#(3)查找含ERROR行（日志无ERROR，输出空）grep"ERROR"/var/log/access.log#(4)统计访问TOP5 IP（第3列是IP）awk'{print $3}'/var/log/access.log|sort|uniq-c|sort-nr|head-5#(5)统计状态码（第7列是状态码）awk'{print $7}'/var/log/access.log|sort|uniq-c#(6)提取IP存入ips.txtawk'{print $3}'/var/log/access.log>ips.txt#(7)提取IP存入ipawk'{print $3}'/var/log/access.log>ip

五、进程管理（10、11、12）

###10、CPU占用前10进程保存到/opt/cpu_info.log

top-b-n1|head-17>/opt/cpu_info.log# 或ps写法ps-aux--sort=-%cpu|head-11>/opt/cpu_info.log

• -b：批处理不交互式，--sort=-%cpu按CPU降序

###11、修改vim /etc/passwd进程nice值=10

nice范围：-20(最高优先级)~19(最低)，数值越大优先级越低

# 前台运行vimvim/etc/passwd# 另开终端查询vim PIDpidofvim# 修改优先级10renice10-pPID号

###12、firefox前后台调度

# 1.前台启动firefoxfirefox# 2.快捷键Ctrl+Z 暂停放入后台# 3.后台继续运行bg# 4.切到前台fg# 5.结束进程：先Ctrl+C，或killpkillfirefox