Wenn Sie einen Linux-Computer verwalten, auf dem mehrere Benutzer untergebracht sind, müssen Sie möglicherweise mehr Kontrolle über diese Benutzer übernehmen, als die grundlegenden Benutzerwerkzeuge bieten. Diese Idee tritt insbesondere dann in den Vordergrund, wenn Sie Berechtigungen für bestimmte Benutzer verwalten müssen. Angenommen, Sie haben ein Verzeichnis, auf das eine Benutzergruppe mit Lese – /Schreibberechtigungen zugreifen muss, und nur Leseberechtigungen für eine andere Gruppe. Mit Linux ist dies durchaus möglich., Um dies zu erreichen, müssen Sie jedoch zunächst verstehen, wie Sie mit Benutzern über Gruppen und Zugriffskontrolllisten (ACLs) arbeiten.
Wir beginnen von Anfang an mit Benutzern und arbeiten uns zu komplexeren ACLs durch. Alles, was Sie dazu benötigen, wird in Ihrer Linux-Distribution Ihrer Wahl enthalten sein. Wir werden nicht auf die Grundlagen der Benutzer eingehen, da es in diesem Artikel um Gruppen geht.,
Für den Zweck dieses Stücks gehe ich davon aus, Folgendes:
Sie müssen zwei Benutzer mit Benutzernamen erstellen:
Sie müssen zwei Gruppen erstellen:
-
Leser
-
Redakteure
Olivia muss Mitglied der Gruppenredakteure sein, während Nathan Mitglied der Gruppenredakteure sein muss. Die Gruppenleser müssen nur Leseberechtigung für das Verzeichnis / DATA, während die Gruppenleser sowohl Lese-als auch Schreibberechtigung für das Verzeichnis / DATA., Dies ist natürlich sehr minimal, aber es gibt Ihnen die grundlegenden Informationen, die Sie benötigen, um die Aufgaben an Ihre viel größeren Bedürfnisse anzupassen.
Ich werde auf der Ubuntu 16.04-Serverplattform demonstrieren. Die Befehle sind universell—der einzige Unterschied wäre, wenn Ihre Distribution der Wahl sudo nicht verwendet. Wenn dies der Fall ist, müssen Sie sich zuerst an den Root-Benutzer wenden, um die Befehle auszugeben, für die sudo in den Demonstrationen erforderlich ist.
Benutzer erstellen
Als erstes müssen wir die beiden Benutzer für unser Experiment erstellen., Die Benutzererstellung wird mit dem Befehl useradd behandelt. Anstatt einfach nur die Benutzer zu erstellen, müssen wir sie beide mit ihren eigenen Home-Verzeichnissen erstellen und ihnen dann Passwörter geben.
Als erstes erstellen wir die Benutzer. Geben Sie dazu die Befehle aus:
sudo useradd -m oliviasudo useradd -m nathan
Wir haben jetzt unsere Benutzer erstellt. Wenn Sie im Verzeichnis /home suchen, finden Sie die jeweiligen Häuser (da wir die Option-m verwendet haben, die ein Home-Verzeichnis erstellt).
Next Jeder Benutzer muss ein Passwort haben., Um Kennwörter in den Mix einzufügen, geben Sie die folgenden Befehle aus:
sudo passwd oliviasudo passwd nathan
Wenn Sie jeden Befehl ausführen, werden Sie aufgefordert, ein neues Kennwort für jeden Benutzer einzugeben (und zu überprüfen).
Das war ‚ s, Ihre Benutzer werden erstellt.
Gruppen erstellen und Benutzer hinzufügen
Jetzt erstellen wir die Gruppenleser und-editoren und fügen ihnen dann Benutzer hinzu. Die Befehle zum Erstellen unserer Gruppen sind:
addgroup readersaddgroup editors
Das war ‚ s. Wenn Sie den Befehl less /etc/group ausgeben, werden unsere neu erstellten Gruppen aufgelistet (Abbildung 1).,
Mit unseren erstellten Gruppen müssen wir unsere Benutzer hinzufügen. Mit dem Befehl:
sudo usermod -a -G readers nathan
Fügen wir die Benutzer-ID den Gruppeneditoren mit dem Befehl hinzu:
sudo usermod -a -G editors olivia
Jetzt können wir mit der Verwaltung der Benutzer mit Gruppen beginnen.,
Erteilen von Gruppenberechtigungen für Verzeichnisse
Angenommen, Sie haben das Verzeichnis /READER und müssen allen Mitgliedern der Lesegruppe Zugriff auf dieses Verzeichnis gewähren., Ändern Sie zuerst die Gruppe des Ordners mit dem Befehl:
sudo chown -R :readers /READERS
Entfernen Sie als nächstes die Schreibberechtigung aus der Gruppe mit dem Befehl:
sudo chmod -R g-w /READERS
Entfernen Sie nun das andere x-Bit aus dem Verzeichnis /READERS (um zu verhindern, dass Benutzer, die nicht in der Lesegruppe sind, auf eine Datei zugreifen) mit dem Befehl:
sudo chmod -R o-x /READERS
Zu diesem Zeitpunkt können nur der Eigentümer des Verzeichnisses (root) und die Mitglieder der Lesergruppe auf jede Datei innerhalb von /READERS zugreifen.,
Angenommen, Sie haben das Verzeichnis / die EDITOREN und müssen den Mitgliedern der Editors-Gruppe Lese-und Schreibberechtigungen für deren Inhalt erteilen. Dazu wäre der folgende Befehl erforderlich:
sudo chown -R :editors /EDITORSsudo chmod -R g+w /EDITORSsudo chmod -R o-x /EDITORS
Zu diesem Zeitpunkt kann jedes Mitglied der Editors-Gruppe auf Dateien zugreifen und diese ändern. Alle anderen (abzüglich root) haben keinen Zugriff auf die Dateien und Ordner in /EDITORS.
Das Problem bei der Verwendung dieser Methode ist, dass Sie jeweils nur eine Gruppe zu einem Verzeichnis hinzufügen können. Hier sind Zugriffskontrolllisten nützlich.,
Verwenden von Zugriffskontrolllisten
Jetzt werden wir schwierig. Angenommen, Sie haben einen einzelnen Ordner—/DATA—und möchten Mitgliedern der Lesegruppe Leseberechtigung und Mitgliedern der Gruppeneditoren Lese – /Schreibberechtigungen erteilen. Dazu müssen Sie den Befehl setfacl nutzen. Der Befehl setfacl legt Dateizugriffskontrolllisten für Dateien und Ordner fest.,
Die Struktur dieses Befehls sieht folgendermaßen aus:
setfacl OPTION X:NAME:Y /DIRECTORY
Wobei OPTION die verfügbaren Optionen ist, X entweder u (für Benutzer) oder g (für Gruppe) ist, NAME der Name des Benutzers oder der Gruppe ist und DIRECTORY das zu verwendende Verzeichnis ist. Wir werden die Option-m zum Ändern verwenden. Unser Befehl zum Hinzufügen des Gruppenlesers für den Lesezugriff auf das Verzeichnis / DATA würde also folgendermaßen aussehen:
sudo setfacl -m g:readers:rx -R /DATA
Jetzt kann jedes Mitglied der Lesergruppe die in /DATA enthaltenen Dateien lesen, aber sie können sie nicht ändern.,
Um Mitgliedern der Editors-Gruppe Lese – / Schreibberechtigungen zu erteilen (unter Beibehaltung der Leseberechtigungen für die Readers-Gruppe), würden wir den Befehl ausgeben;
sudo setfacl -m g:editors:rwx -R /DATA
Der obige Befehl würde jedem Mitglied der Editors-Gruppe Lese-und Schreibberechtigungen erteilen, während die schreibgeschützten Berechtigungen für die Readers-Gruppe beibehalten werden.
Alle Steuerelemente, die Sie benötigen
Und da haben Sie es. Sie können jetzt Mitglieder zu Gruppen hinzufügen und den Zugriff dieser Gruppen auf verschiedene Verzeichnisse mit der erforderlichen Leistung und Flexibilität steuern., Um mehr über die oben genannten Tools zu erfahren, geben Sie die folgenden Befehle aus:
-
man usradd
-
man addgroup
-
man usermod
-
man sefacl
-
man chown
-
man chmod
Erfahren Sie mehr über Linux durch die kostenlose „Einführung in Linux“ Kurs von der Linux Foundation und edX.