Když budete spravovat Linuxový stroj, který domy více uživatelů, může být časy, kdy budete muset vzít větší kontrolu nad ty uživatele, než základní uživatelské nástroje nabízejí. Tato myšlenka se dostává do popředí zejména tehdy, když potřebujete spravovat oprávnění pro určité uživatele. Řekněme například, že máte adresář, ke kterému je třeba přistupovat pomocí oprávnění ke čtení/zápisu jednou skupinou uživatelů a pouze oprávnění ke čtení pro jinou skupinu. U Linuxu je to zcela možné., Chcete-li to však provést, musíte nejprve pochopit, jak pracovat s uživateli, prostřednictvím skupin a seznamů řízení přístupu (ACLs).
začneme od začátku s uživateli a propracujeme se ke složitějším ACLs. Vše, co potřebujete k tomu, aby se to stalo, bude zahrnuto do vaší linuxové distribuce volby. Nebudeme se dotýkat základů uživatelů, protože zaměření na tento článek je o skupinách.,
Pro účely tohoto kusu, budu předpokládat následující:
Budete muset vytvořit dva uživatelé s uživatelskými jmény:
-
olivie
-
nathan
Budete muset vytvořit dvě skupiny:
-
čtenáři,
-
redakce
Olivie musí být členem skupiny editorů, zatímco nathan musí být členem skupiny čtenáři. Čtenáři skupiny musí mít pouze oprávnění ke čtení k adresáři / datům, zatímco editoři skupiny musí mít oprávnění ke čtení i zápisu do adresáře /DATA., To je samozřejmě velmi minimální, ale poskytne Vám základní informace, které potřebujete k rozšíření úkolů tak, aby vyhovovaly vašim mnohem větším potřebám.
budu demonstrovat na platformě serveru Ubuntu 16.04. Příkazy budou univerzální-jediný rozdíl by byl v případě, že vaše distribuce volby nevyužívá sudo. Pokud tomu tak je, budete muset nejprve su na uživatele root vydat příkazy, které vyžadují sudo v demonstracích.
vytvoření uživatelů
první věc, kterou musíme udělat, je vytvořit dva uživatele pro náš experiment., Vytvoření uživatele je řešeno příkazem useradd. Místo toho, abychom jednoduše vytvořili uživatele, musíme je vytvořit jak s vlastními domovskými adresáři, tak jim dát hesla.
první věc, kterou uděláme, je vytvořit uživatele. Chcete-li to provést, zadejte příkazy:
sudo useradd -m oliviasudo useradd -m nathan
nyní jsme vytvořili naše uživatele. Pokud se podíváte do adresáře / home, najdete jejich příslušné domovy (protože jsme použili možnost-m, která vytváří domovský adresář).
Další každý uživatel musí mít heslo., Pro přidání hesla do mixu, vydá následující příkazy:
sudo passwd oliviasudo passwd nathan
Při spuštění každého příkazu, budete vyzváni k zadání (a ověření) nové heslo pro každého uživatele.
to je vše, vaši uživatelé jsou vytvořeni.
vytváření skupin a přidávání uživatelů
nyní vytvoříme skupiny čtenářů a editorů a poté k nim přidáme uživatele. Příkazy k vytvoření našich skupin jsou:
addgroup readersaddgroup editors
to je vše. Pokud vydáte příkaz less/etc / group, uvidíte naše nově vytvořené skupiny (Obrázek 1).,
s našimi vytvořenými skupinami musíme přidat naše uživatele. Přidáme uživatele nathan skupinu čtenářů s příkazem:
sudo usermod -a -G readers nathan
přidat uživatele olivie do skupiny editorů s příkazem:
sudo usermod -a -G editors olivia
Nyní jsme připraveni začít spravovat uživatele, skupiny.,
oprávnění skupin adresářům
Řekněme, že máte adresář / čtečky a musíte povolit všem členům skupiny čtenářů přístup k tomuto adresáři., Za prvé, změnit skupinu složky s příkazem:
sudo chown -R :readers /READERS
Next, odstranit zápis ze skupiny s příkazem:
sudo chmod -R g-w /READERS
Teď musíme odstranit ostatní x bit z /ČTENÁŘI adresáře (aby se zabránilo jakékoli uživatel není v čtenáři skupiny z přístupu k souboru v) s příkazem:
sudo chmod -R o-x /READERS
V tomto bodě, pouze vlastník adresáře (root) a členy skupiny čtenářů může získat přístup libovolný soubor v /ČTENÁŘI.,
Řekněme, že máte adresář / editory a musíte dát členům skupiny editorů číst a psát oprávnění k jeho obsahu. K tomu by byl nutný následující příkaz:
sudo chown -R :editors /EDITORSsudo chmod -R g+w /EDITORSsudo chmod -R o-x /EDITORS
v tomto okamžiku může každý člen skupiny editorů přistupovat a upravovat soubory uvnitř. Všechny ostatní (minus root)nemají přístup k souborům a složkám v editorech/.
problém s použitím této metody je, že můžete přidat pouze jednu skupinu do adresáře najednou. Zde se hodí seznamy řízení přístupu.,
pomocí seznamů řízení přístupu
Nyní, pojďme se dostat složité. Řekněme, že máte jednu složku – / DATA-a chcete dát členům skupiny čtenářů oprávnění ke čtení a členům editorů skupiny oprávnění ke čtení/zápisu. Chcete-li to provést, musíte využít příkazu setfacl. Příkaz setfacl nastavuje seznamy řízení přístupu k souborům pro soubory a složky.,
struktura tohoto příkazu vypadá takto:
setfacl OPTION X:NAME:Y /DIRECTORY
– Kde VOLBA je k dispozici možnosti, X je u (pro uživatele) nebo g (pro skupiny), JMÉNO je jméno uživatele nebo název skupiny, a ADRESÁŘ je adresář, který má být použit. Budeme používat možnost-m pro úpravu. Takže náš příkaz přidat skupinu reader pro přístup pro čtení k adresáři /ÚDAJŮ, by měl vypadat takhle:
sudo setfacl -m g:readers:rx -R /DATA
každý člen skupiny čtenářů může číst soubory obsažené v /DATA, ale nelze je upravit.,
, Aby členové redakce skupině oprávnění pro čtení/zápis (při zachování oprávnění ke čtení pro čtenáře group), bychom vydat příkaz;
sudo setfacl -m g:editors:rwx -R /DATA
výše uvedený příkaz by každý člen redakce skupině oba číst a psát oprávnění, při zachování oprávnění jen pro čtení pro čtenáře skupině.
všechny ovládací prvky, které potřebujete
a tam je máte. Nyní můžete přidat členy do skupin a ovládat přístup těchto skupin k různým adresářům se vší silou a flexibilitou, kterou potřebujete., Přečtěte si více o výše uvedených nástrojů, vydávat příkazy:
-
muž usradd
-
addgroup souboru
-
man usermod
-
muž sefacl
-
chown
-
chmod
Dozvědět se více o Linux zdarma „Úvod do Linuxu“ samozřejmě od Linux Foundation a edX.