când administrați o mașină Linux care găzduiește mai mulți utilizatori, pot exista momente în care trebuie să preluați mai mult control asupra acelor utilizatori decât oferă instrumentele de bază pentru utilizatori. Această idee vine în prim plan mai ales atunci când trebuie să gestionați permisiunile pentru anumiți utilizatori. De exemplu, aveți un director care trebuie accesat cu permisiuni de citire / scriere de către un grup de utilizatori și numai permisiuni de citire pentru un alt grup. Cu Linux, acest lucru este cu totul posibil., Pentru a face acest lucru, totuși, trebuie să înțelegeți mai întâi cum să lucrați cu utilizatorii, prin grupuri și liste de control al accesului (ACL).
vom începe de la început cu utilizatorii și vom lucra la ACL-urile mai complexe. Tot ce aveți nevoie pentru a face acest lucru va fi inclus în distribuția Linux la alegere. Nu vom atinge elementele de bază ale utilizatorilor, deoarece accentul pe acest articol se referă la grupuri.,pentru scopul acestei piese, am de gând să-și asume următoarele:
aveți nevoie pentru a crea doi utilizatori cu nume de utilizator:
-
olivia
-
nathan
aveți nevoie pentru a crea două grupuri:
-
cititori
livia trebuie să fie membru al grupului de editori, în timp ce Nathan trebuie să fie membru al Grupului de cititori. Cititorii de grup trebuie să aibă doar permisiunea de citire a directorului /datelor, în timp ce editorii de grup trebuie să aibă permisiunea de citire și scriere în directorul /date., Acest lucru, desigur, este foarte minim, dar vă va oferi informațiile de bază de care aveți nevoie pentru a extinde sarcinile pentru a se potrivi nevoilor dvs. mult mai mari.
voi demonstra pe platforma serverului Ubuntu 16.04. Comenzile vor fi universale—singura diferență ar fi dacă distribuția de alegere nu face uz de sudo. Dacă acesta este cazul, va trebui să mai întâi su utilizatorului rădăcină pentru a emite comenzile care necesită sudo în demonstrații.
Crearea utilizatorilor
primul lucru pe care trebuie să-l facem este să creăm cei doi utilizatori pentru experimentul nostru., Crearea de utilizator este manipulat cu comanda useradd. În loc să creăm pur și simplu utilizatorii, trebuie să le creăm pe amândouă cu propriile directoare de acasă și apoi să le oferim parole.
primul lucru pe care îl facem este să creăm utilizatorii. Pentru a face acest lucru, emiteți comenzile:
sudo useradd -m oliviasudo useradd -m nathan
am creat acum utilizatorii noștri. Dacă vă uitați în directorul / home, veți găsi casele lor respective (pentru că am folosit opțiunea-m, care creează un director home).
apoi fiecare utilizator trebuie să aibă o parolă., Pentru a adăuga parole în mix, veți emite următoarele comenzi:
sudo passwd oliviasudo passwd nathan
când executați fiecare comandă, vi se va solicita să introduceți (și să verificați) o nouă parolă pentru fiecare utilizator.
asta este, utilizatorii dvs. sunt creați.
Crearea grupurilor și adăugarea utilizatorilor
acum vom crea grupurile cititori și editori și apoi adăugați utilizatori la ei. Comenzile pentru crearea grupurilor noastre sunt:
addgroup readersaddgroup editors
asta este. Dacă emiteți comanda less/etc / group, veți vedea grupurile noastre nou create listate (Figura 1).,
cu grupurile noastre create, trebuie să adăugăm utilizatorii noștri. Vom adăuga utilizator nathan a grupului de cititori cu comanda:
sudo usermod -a -G readers nathan
Vom adăuga utilizatorul olivia grup de editori cu comanda:
sudo usermod -a -G editors olivia
Acum suntem gata pentru a începe gestionarea utilizatorilor cu grupuri.,să presupunem că aveți directorul / cititorii și trebuie să permiteți tuturor membrilor grupului de cititori accesul la acel director., În primul rând, schimba grupul din directorul cu comanda:
sudo chown -R :readers /READERS
apoi, scoateți scrie permisiunea de grup cu comanda:
sudo chmod -R g-w /READERS
Acum vom elimina altele x bit de la /CITITORII director (pentru a preveni orice tip de utilizator nu în cititorii de grup la accesarea orice fișier în termen) cu comanda:
sudo chmod -R o-x /READERS
În acest moment, doar proprietarul director (rădăcină) și membrii cititorii grup pot accesa orice fișier în /CITITORI.,să presupunem că aveți directorul / editorii și trebuie să oferiți membrilor grupului de editori permisiunea de citire și scriere a conținutului său. Pentru a face acest lucru, ar fi necesară următoarea comandă:
sudo chown -R :editors /EDITORSsudo chmod -R g+w /EDITORSsudo chmod -R o-x /EDITORS
în acest moment, orice membru al grupului de editori poate accesa și modifica fișierele din. Toate celelalte (minus root) nu au acces la fișierele și folderele din /editori.
problema cu utilizarea acestei metode este că puteți adăuga doar un grup într-un director la un moment dat. Acest lucru este în cazul în care listele de control al accesului veni la îndemână.,
folosind listele de control al accesului
acum, să ne complicăm. Spuneți că aveți un singur dosar- / date-și doriți să oferiți membrilor grupului de cititori permisiunea de citire și membrilor grupului de editori permisiuni de citire/scriere. Pentru a face acest lucru, trebuie să profitați de comanda setfacl. Comanda setfacl setează listele de control al accesului fișierelor pentru fișiere și foldere.,
structura acestei comenzi arată astfel:
setfacl OPTION X:NAME:Y /DIRECTORY
unde opțiunea este opțiunile disponibile, X este u (pentru utilizator) sau g (pentru grup), numele este numele utilizatorului sau grupului, iar directorul este directorul care va fi utilizat. Vom folosi opțiunea-m Pentru modificare. Deci, comanda noastră de a adăuga cititorul de grup pentru accesul la citire în directorul / DATA ar arăta astfel:
sudo setfacl -m g:readers:rx -R /DATA
acum orice membru al grupului readers poate citi fișierele conținute în /DATA, dar nu le poate modifica.,
Pentru a oferi membrilor editorii grup permisiuni de citire/scriere (păstrând în același timp permisiuni de citire pentru cititorii de grup), ne-ar emite comanda;
sudo setfacl -m g:editors:rwx -R /DATA
comanda De mai sus ar da orice membru al editori de grup, atât în citire și scriere, păstrând în același timp read-only permisiuni pentru cititorii de grup.
tot controlul de care aveți nevoie
și acolo îl aveți. Acum Puteți adăuga membri în grupuri și puteți controla accesul acestor grupuri la diferite directoare cu toată puterea și flexibilitatea de care aveți nevoie., Pentru a citi mai multe despre instrumentele de mai sus, emite comenzi:
-
om usradd
-
om addgroup
-
om usermod
-
om sefacl
-
om chown
-
man chmod
Afla mai multe despre Linux prin intermediul gratuit „Introducere în Linux” curs de Linux Foundation și edX.