Quando si amministra una macchina Linux che ospita più utenti, potrebbero esserci momenti in cui è necessario assumere un maggiore controllo su tali utenti rispetto agli strumenti utente di base. Questa idea viene alla ribalta soprattutto quando è necessario gestire le autorizzazioni per determinati utenti. Ad esempio, si dispone di una directory a cui è necessario accedere con autorizzazioni di lettura/scrittura da parte di un gruppo di utenti e solo autorizzazioni di lettura per un altro gruppo. Con Linux, questo è del tutto possibile., Per rendere questo accada, tuttavia, è necessario prima capire come lavorare con gli utenti, tramite gruppi e liste di controllo di accesso (ACL).
Inizieremo dall’inizio con gli utenti e lavoreremo per gli ACL più complessi. Tutto il necessario per rendere questo accada sarà incluso nella vostra distribuzione Linux di scelta. Non toccheremo le basi degli utenti, poiché l’attenzione su questo articolo riguarda i gruppi.,
lo scopo di questo pezzo, ho intenzione di assumere i seguenti:
È necessario creare due utenti con username:
-
olivia
-
nathan
È necessario creare due gruppi:
-
lettori
-
editor
Olivia ha bisogno di essere un membro del gruppo di redattori, mentre nathan deve essere un membro del gruppo di lettori. I lettori del gruppo devono avere solo il permesso di lettura per la directory / DATA, mentre gli editor del gruppo devono avere sia il permesso di lettura che di scrittura per la directory / DATA., Questo, naturalmente, è molto minimo, ma vi darà le informazioni di base necessarie per espandere le attività per soddisfare le vostre esigenze molto più grandi.
Dimostrerò sulla piattaforma server Ubuntu 16.04. I comandi saranno universali-l’unica differenza sarebbe se la tua distribuzione di scelta non fa uso di sudo. Se questo è il caso, dovrai prima su all’utente root per emettere i comandi che richiedono sudo nelle dimostrazioni.
Creare gli utenti
La prima cosa che dobbiamo fare è creare i due utenti per il nostro esperimento., La creazione dell’utente viene gestita con il comando useradd. Invece di creare semplicemente gli utenti, dobbiamo crearli entrambi con le proprie directory home e quindi fornire loro le password.
La prima cosa che facciamo è creare gli utenti. Per fare ciò, emettere i comandi:
sudo useradd -m oliviasudo useradd -m nathan
Ora abbiamo creato i nostri utenti. Se si guarda nella directory / home, troverete le rispettive case (perché abbiamo usato l’opzione-m, che crea una home directory).
Successivamente ogni utente deve avere una password., Per aggiungere le password nel mix, devi emettere i seguenti comandi:
sudo passwd oliviasudo passwd nathan
Quando esegui ogni comando, ti verrà richiesto di inserire (e verificare) una nuova password per ogni utente.
Questo è tutto, i tuoi utenti sono creati.
Creazione di gruppi e aggiunta di utenti
Ora stiamo andando a creare i gruppi lettori ed editori e quindi aggiungere gli utenti a loro. I comandi per creare i nostri gruppi sono:
addgroup readersaddgroup editors
Questo è tutto. Se si emette il comando meno/etc / group, vedrete i nostri gruppi appena creati elencati (Figura 1).,
Con i nostri gruppi creati, abbiamo bisogno di aggiungere i nostri utenti. Aggiungeremo l’utente nathan ai lettori di gruppo con il comando:
sudo usermod -a -G readers nathan
Aggiungeremo l’utente olivia agli editor di gruppo con il comando:
sudo usermod -a -G editors olivia
Ora siamo pronti per iniziare a gestire gli utenti con i gruppi.,
Dare ai gruppi le autorizzazioni per le directory
Diciamo che hai la directory / READERS e devi consentire a tutti i membri del gruppo readers l’accesso a quella directory., Primo, cambiare il gruppo di un cartella con il comando:
sudo chown -R :readers /READERS
quindi, rimuovere i permessi di scrittura dal gruppo con il comando:
sudo chmod -R g-w /READERS
rimuovere gli altri bit x dal /LETTORI directory (per evitare che qualche utente non in gruppo lettori accesso a qualsiasi file all’interno) con il comando:
sudo chmod -R o-x /READERS
A questo punto, solo il proprietario della directory principale (root) e i membri del gruppo lettori possono accedere a qualsiasi file all’interno di /LETTORI.,
Supponiamo che tu abbia la directory / EDITORS e che tu debba dare ai membri del gruppo editors il permesso di leggere e scrivere il suo contenuto. Per fare ciò, sarebbe necessario il seguente comando:
sudo chown -R :editors /EDITORSsudo chmod -R g+w /EDITORSsudo chmod -R o-x /EDITORS
A questo punto, qualsiasi membro del gruppo editors può accedere e modificare i file all’interno. Tutti gli altri (meno root) non hanno accesso ai file e alle cartelle all’interno di /EDITORS.
Il problema con l’utilizzo di questo metodo è che è possibile aggiungere un solo gruppo a una directory alla volta. Questo è dove gli elenchi di controllo di accesso sono utili.,
Utilizzando le liste di controllo di accesso
Ora, cerchiamo di ottenere difficile. Supponiamo che tu abbia una singola cartella – / DATA-e che tu voglia dare ai membri del gruppo di lettori il permesso di lettura e ai membri degli editori del gruppo i permessi di lettura/scrittura. Per fare ciò, è necessario sfruttare il comando setfacl. Il comando setfacl imposta gli elenchi di controllo dell’accesso ai file per file e cartelle.,
La struttura di questo comando è la seguente:
setfacl OPTION X:NAME:Y /DIRECTORY
Dove OPTION sono le opzioni disponibili, X è u (per utente) o g (per gruppo), NAME è il nome dell’utente o del gruppo e DIRECTORY è la directory da utilizzare. Useremo l’opzione-m per modificare. Quindi il nostro comando per aggiungere il gruppo reader per l’accesso in lettura alla directory / DATA sarebbe simile a questo:
sudo setfacl -m g:readers:rx -R /DATA
Ora qualsiasi membro del gruppo readers può leggere i file contenuti in / DATA, ma non possono modificarli.,
Per dare ai membri del gruppo editors i permessi di lettura/scrittura (pur mantenendo i permessi di lettura per il gruppo readers), emettiamo il comando;
sudo setfacl -m g:editors:rwx -R /DATA
Il comando precedente darebbe a qualsiasi membro del gruppo editors sia i permessi di lettura che di scrittura, pur mantenendo i permessi di sola lettura per il gruppo readers.
Tutto il controllo necessario
E il gioco è fatto. Ora puoi aggiungere membri ai gruppi e controllare l’accesso di questi gruppi a varie directory con tutta la potenza e la flessibilità di cui hai bisogno., Per saperne di più su strumenti di cui sopra, eseguire i comandi:
-
l’uomo usradd
-
l’uomo addgroup
-
l’uomo usermod
-
l’uomo sefacl
-
man chown
-
man chmod
per Saperne di più su Linux attraverso il programma gratuito “Introduzione a Linux” corso dalla Linux Foundation e edX.