Når du administrerer en Linux-maskin som huser flere brukere, kan det være ganger når du trenger å ta mer kontroll over de brukerne enn de grunnleggende brukeren verktøy som tilbys. Denne tanken kommer i forgrunnen, spesielt når du trenger for å administrere tillatelser for bestemte brukere. Si for eksempel, du har en katalog som må nås med lese-og skrivetillatelser av en gruppe av brukere og bare lesetilgang til en annen gruppe. Med Linux, dette er fullt mulig., For å gjøre dette skje, men du må først forstå hvordan å arbeide med brukere, via grupper og access control lists (Acl).
Vi vil starte fra begynnelsen med brukere og arbeid vei til mer komplekse Acl. Alt du trenger å gjøre dette skje, vil bli inkludert i din Linux-distribusjon av valget. Vi vil ikke berøre på det grunnleggende av brukere, som den fokuserer på denne artikkelen er om grupper.,
For formålet i dette innlegget, jeg kommer til å anta følgende:
Du trenger for å lage to brukere med brukernavn:
-
olivia
-
nathan
Du trenger for å lage to grupper:
-
lesere
-
redaktører
Olivia behov for å bli medlem av gruppen redaktører, mens nathan må være medlem av gruppen lesere. Gruppen lesere trenger å kun ha lesetilgang til katalogen /DATA, mens gruppen redaktører er behov for å ha både lese-og skrivetilgang til /DATA-katalogen., Dette, selvfølgelig, er svært minimal, men det vil gi deg grunninformasjonen du trenger for å utvide den oppgaver for å passe din mye større behov.
jeg vil vise på Ubuntu 16.04 Server plattform. Kommandoene vil være universell—den eneste forskjellen ville være dersom din utøvelse av valget gjør ikke bruk av sudo. Hvis dette er tilfelle, må du først su til root-bruker for å gi kommandoer som krever sudo i demonstrasjoner.
Opprette brukere
Det første vi trenger å gjøre, er å opprette to brukere for vår eksperiment., Brukeren etableringen er håndtert med useradd-kommandoen. I stedet for bare å lage de brukerne vi trenger for å lage dem begge med sine egne hjem kataloger og deretter gi dem passord.
Det første vi gjør er å opprette brukere. For å gjøre dette, problemet kommandoene:
sudo useradd -m oliviasudo useradd -m nathan
Vi har nå opprettet vår brukere. Hvis du ser i /home directory, vil du finne sine respektive hjem (fordi vi brukte den -m-alternativ, som skaper et hjem-mappe).
ved siden hver bruker må ha et passord., For å legge til passord til blandingen, du vil utstede følgende kommandoer:
sudo passwd oliviasudo passwd nathan
Når du kjører hver kommando, vil du bli bedt om å oppgi (og verify (bekreft)) et nytt passord for hver bruker.
det er det, at brukerne er opprettet.
Opprette grupper, og legge til brukere
Nå er vi kommer til å opprette grupper lesere og redaktører, og deretter legge til brukere til dem. Kommandoer for å skape våre grupper er:
addgroup readersaddgroup editors
det er det. Hvis du gi kommandoen mindre /etc/group, vil du se vår nyopprettede grupper som vises (Figur 1).,
Med våre grupper som er opprettet, trenger vi å legge til våre brukere. Vi vil legge brukeren til nathan gruppe lesere med kommandoen:
sudo usermod -a -G readers nathan
Vi vil legge til brukeren olivia gruppen redaktører med kommandoen:
sudo usermod -a -G editors olivia
Nå er vi klar for å begynne å administrere brukere med grupper.,
å Gi grupper tillatelser til å kataloger
La oss si at du har katalogen /LESERE, og du trenger å gi alle medlemmer av leserne gruppen tilgang til denne katalogen., Første, endre gruppe av mappe med kommandoen:
sudo chown -R :readers /READERS
Neste, fjerne skrive tillatelse fra gruppen med kommandoen:
sudo chmod -R g-w /READERS
Nå tar vi de andre x-bit fra /LESERE katalog (for å forhindre at noen bruker ikke i lesere gruppe fra å få tilgang til hvilken som helst fil i) med kommandoen:
sudo chmod -R o-x /READERS
På dette punktet, er det bare eieren av katalogen (root) og medlemmer av gruppe lesere kan få tilgang til hvilken som helst fil i /LESERE.,
La oss si at du har katalogen /REDAKTØRER og du trenger å gi medlemmer av redaksjonen gruppe lese-og skrivetilgang til innholdet. For å gjøre det, følgende kommando vil være nødvendig:
sudo chown -R :editors /EDITORSsudo chmod -R g+w /EDITORSsudo chmod -R o-x /EDITORS
På dette punktet, et medlem av redaksjonen gruppe kan få tilgang til og endre filer i. Alle andre (minus root) ikke har tilgang til filer og mapper i /REDAKTØRER.
problemet med å bruke denne metoden er at du kan bare legge til én gruppe til en mappe på en gang. Dette er hvor tilgangskontroll kommer i hendig.,
ved Hjelp av access control lists
Nå, la oss bli vanskelig. Si at du har en enkelt mappe—/DATA—og ønsker å gi medlemmer av leserne gruppe lese tillatelse og medlemmer av gruppen redaktører lese/skrive-rettigheter. For å gjøre det, du må dra nytte av setfacl kommando. Den setfacl kommandosett file access control lists for filer og mapper.,
strukturen av denne kommandoen ser ut som dette:
setfacl OPTION X:NAME:Y /DIRECTORY
Hvor ALTERNATIVET er tilgjengelige valg, X er enten u (for brukeren) eller g (konsern), NAVNET på brukeren eller gruppen, og KATALOGEN er katalogen som skal brukes. Vi vil bruke alternativet-m for å endre. Så vår kommando for å legge til gruppen reader for å lese tilgang til /DATA-katalogen ville se ut som dette:
sudo setfacl -m g:readers:rx -R /DATA
Nå kan alle som er medlem av leserne gruppe kan lese filene i /DATA, men de kan ikke endre dem.,
for Å gi medlemmer av redaksjonen gruppe lese/skrive-tillatelser (og samtidig beholde lese-tillatelser for leserne gruppe), vil vi gi kommandoen;
sudo setfacl -m g:editors:rwx -R /DATA
– kommandoen ovenfor ville gi alle medlemmer av redaksjonen gruppen både lese-og skrivetilgang, og samtidig beholde lese-bare tillatelser til leserne gruppe.
All den kontrollen du trenger
Og der har du det. Nå kan du legge til medlemmer i grupper og kontrollere disse gruppenes tilgang til ulike kataloger med all den kraften og fleksibiliteten du trenger., For å lese mer om de ovennevnte verktøy, problemet kommandoene:
-
mann usradd
-
mann addgroup
-
mann usermod
-
mann sefacl
-
mann chown
-
man chmod
Lære mer om Linux gjennom det gratis «Introduksjon til Linux» kurs fra Linux Foundation og edX.