Fedora 与所有基于 Linux 的系统一样，它提供了一组强大的安全特性。其中一个基本特性是文件和文件夹上的权限。这些权限保护文件和文件夹免受未经授权的访问。本文将简要介绍这些权限，并向你展示如何使用它们共享对文件夹的访问。

权限基础

Fedora 本质上是一个多用户操作系统，它也有组，用户可以是其成员。但是，想象一下一个没有权限概念的多用户系统，不同的登录用户可以随意阅读彼此的内容。你可以想象到这对隐私或安全性并不是很好。

Fedora 上的任何文件或文件夹都分配了三组权限。第一组用于拥有文件或文件夹的用户，第二组用于拥有它的组，第三组用于其他人，即既不是该文件的用户也不是拥有该文件的组中的用户。有时这被称为全世界。

权限意味着什么

每组权限都有三种形式：读、写和执行。其中每个都可以用首字母来代替，即 r、w、x。

文件权限

对于文件，权限的含义如下所示：

• 读（r）：可以读取文件内容
• 写（w）：可以更改文件内容
• 执行（x）：可以执行文件 —— 这主要用于打算直接运行的程序或脚本

当你对任何文件进行详细信息列表查看时，可以看到这三组权限。尝试查看系统上的 /etc/services 文件：

$ ls -l /etc/services
-rw-r--r--. 1 root root 692241 Apr  9 03:47 /etc/services

注意列表左侧的权限组。如上所述，这些表明三种用户的权限：拥有该文件的用户，拥有该文件的组以及其他人。用户所有者是 root，组所有者是 root 组。用户所有者具有对文件的读写权限，root 组中的任何人都只能读取该文件。最后，其他任何人也只能读取该文件。（最左边的 - 显示这是一个常规文件。）

顺便说一下，你通常会在许多（但不是所有）系统配置文件上发现这组权限，它们只由系统管理员而不是普通用户更改。通常，普通用户需要读取其内容。

文件夹（目录）权限

对于文件夹，权限的含义略有不同：

• 读（r）：可以读取文件夹内容（例如 ls 命令）
• 写（w）：可以更改文件夹内容（可以在此文件夹中创建或删除文件）
• 执行（x）：可以搜索文件夹，但无法读取其内容。（这听起来可能很奇怪，但解释起来需要更复杂的文件系统细节，这超出了本文的范围，所以现在就这样吧。）

看一下 /etc/grub.d 文件夹的例子：

$ ls -ld /etc/grub.d
drwx------. 2 root root 4096 May 23 16:28 /etc/grub.d

注意最左边的 d，它显示这是一个目录或文件夹。权限显示用户所有者（root）可以读取、更改和 cd 到此文件夹中。但是，没有其他人可以这样做 —— 无论他们是否是 root 组的成员。注意，你不能 cd 进入该文件夹。

$ cd /etc/grub.d
bash: cd: /etc/grub.d: Permission denied

注意你自己的主目录是如何设置的：

$ ls -ld $HOME
drwx------. 221 paul paul 28672 Jul  3 14:03 /home/paul

现在，注意除了作为所有者之外，没有人可以访问此文件夹中的任何内容。这是特意的！你不希望其他人能够在共享系统上读取你的私人内容。

创建共享文件夹

你可以利用此权限功能轻松创建一个文件夹以在组内共享。假设你有一个名为 finance 的小组，其中有几个成员需要共享文档。因为这些是用户文档，所以将它们存储在 /home 文件夹层次结构中是个好主意。

首先，使用 sudo 创建一个共享文件夹，并将其设置为 finance 组所有：

$ sudo mkdir -p /home/shared/finance
$ sudo chgrp finance /home/shared/finance

默认情况下，新文件夹具有这些权限。注意任何人都可以读取或搜索它，即使他们无法创建或删除其中的文件：

drwxr-xr-x. 2 root root 4096 Jul  6 15:35 finance

对于金融数据来说，这似乎不是一个好主意。接下来，使用 chmod 命令更改共享文件夹的模式（权限）。注意，使用 g 更改所属组的权限，使用 o 更改其他用户的权限。同样，u 会更改用户所有者的权限：

$ sudo chmod g+w,o-rx /home/shared/finance

生成的权限看起来更好。现在，finance 组中的任何人（或用户所有者 root）都可以完全访问该文件夹及其内容：

drwxrwx---. 2 root finance 4096 Jul  6 15:35 finance

如果其他用户尝试访问共享文件夹，他们将无法执行此操作。太棒了！现在，我们的金融部门可以将文档放在一个共享的地方。

其他说明

还有其他方法可以操作这些权限。例如，你可能希望将此文件夹中的任何文件设置为 finance 组所拥有。这需要本文未涉及的其他设置，但请继续关注我们，以了解关于该主题的更多信息。

via: https://fedoramagazine.org/command-line-quick-tips-permissions/

作者：Paul W. Frields 选题：lujun9972 译者：MjSeven 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

Linux 安全权限能够指定谁可以对文件或目录执行什么操作。

与其他系统相比而言 Linux 系统的众多优点中最为主要一个便是 Linux 系统有着更少的安全漏洞和被攻击的隐患。Linux 无疑为用户提供了更为灵活和精细化的文件系统安全权限控制。这可能意味着 Linux 用户理解安全权限是至关重要的。虽然这并不一定是必要的，但是对于初学者来说，理解 Linux 权限的基本知识仍是一个明智之选。

查看 Linux 安全权限

在开始 Linux 权限的相关学习之前，假设我们新建了一个名为 PermissionDemo 的目录。使用 cd 命令进入这个目录，然后使用 ls -l 命令查看 Linux 安全管理权限信息。如果你想以时间为序排列，加上 -t 选项

ls -lt

因为这一目录下没有文件，所以这一命令执行不会返回结果。

要了解关于 ls 命令的更多信息，请通过在命令行中输入 man ls 来查看命令手册。

现在，让我们创建两个名为 cat.txt 和 dog.txt 的空白文件；这一步使用 touch 命令将更为简便。然后继续使用 mkdir 命令创建一个名为 Pets 的空目录。我们可以再次使用ls -l命令查看这些新文件的权限。

我们需要留意这个命令输出结果的两个部分。

谁拥有权限？

首先要注意的是谁具有访问文件/目录的权限。请注意下面红色框中突出显示的部分。第一列是指具有访问权限的用户，而第二列是指具有访问权限的组。

用户的类型主要有三种：用户、组和其他人（本质上既不是用户也不是组）。还有一个全部，意思是几乎所有人。

由于我们使用 root 作为当前用户，所以我们可以访问任何文件或目录，因为 root 是超级用户。然而，通常情况并非如此，你可能会被限定使用你的普通用户登录。所有的用户都存储在 /etc/passwd 文件中。

“组”的相关信息保存在 /etc/group 文件中。

他们有什么权限？

我们需要注意的是 ls -l 命令输出结果的另一部分与执行权限有关。以上，我们查看了创建的 dog.txt 和 cat.txt 文件以及 Pets 目录的所有者和组权限都属于 root 用户。我们可以通过这一信息了解到不同用户组所拥有的相应权限，如下面的红色框中的标示。（LCTT 译注：下图的“OWNER”应为“OTHER”）

我们可以把每一行分解成五部分。第一部分标志着它是文件还是目录：文件用 -（连字符）标记，目录用 d 来标记。接下来的三个部分分别是用户、组和其他人的对应权限。最后一部分是访问控制列表 （ACL）的标志，是记录着特定用户或者用户组对该文件的操作权限的列表。

Linux 的权限级别可以用字母或数字标识。有三种权限类型:

• 可读取：r 或 4
• 可写入：w 或 2
• 可执行：x 或 1

（LCTT 译注：原文此处对应的字母标示 x 误写为 e，已更正）

每个字母符号（r、w 或 x）表示有该项权限，而 - 表示无该项权限。在下面的示例中，文件的所有者可读可写，用户组成员仅可读，其他人可读可执行。转换成数字表示法，对应的是 645（如何计算，请参见下图的图示）。

以下是一些示例：

完成下面的测试，检查你是否掌握了权限管理相关的知识。

via: https://opensource.com/article/19/6/understanding-linux-permissions

作者：Bryant Son 选题：lujun9972 译者：qfzy1233 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

在 Linux 上查看文件权限时，有时你会看到的不仅仅是普通的 r、w、x 和 -。如何更清晰地了解这些字符试图告诉你什么以及这些权限如何工作？

在 Linux 上查看文件权限时，有时你会看到的不仅仅是普通的 r、w、x 和 -。除了在所有者、组和其他中看到 rwx 之外，你可能会看到 s 或者 t，如下例所示：

drwxrwsrwt

要进一步明确的方法之一是使用 stat 命令查看权限。stat 的第四行输出以八进制和字符串格式显示文件权限：

$ stat /var/mail
  File: /var/mail
  Size: 4096            Blocks: 8          IO Block: 4096   directory
Device: 801h/2049d      Inode: 1048833     Links: 2
Access: (3777/drwxrwsrwt)  Uid: (    0/    root)   Gid: (    8/    mail)
Access: 2019-05-21 19:23:15.769746004 -0400
Modify: 2019-05-21 19:03:48.226656344 -0400
Change: 2019-05-21 19:03:48.226656344 -0400
 Birth: -

这个输出提示我们，分配给文件权限的位数超过 9 位。事实上，有 12 位。这些额外的三位提供了一种分配超出通常的读、写和执行权限的方法 - 例如，3777（二进制 011111111111）表示使用了两个额外的设置。

该值的第一个 1 （第二位）表示 SGID（设置 GID），为运行文件而赋予临时权限，或以该关联组的权限来使用目录。

011111111111
 ^

SGID 将正在使用该文件的用户作为该组成员之一而分配临时权限。

第二个 1（第三位）是“粘连”位。它确保只有文件的所有者能够删除或重命名该文件或目录。

011111111111
  ^

如果权限是 7777 而不是 3777，我们知道 SUID（设置 UID）字段也已设置。

111111111111
^

SUID 将正在使用该文件的用户作为文件拥有者分配临时权限。

至于我们上面看到的 /var/mail 目录，所有用户都需要访问，因此需要一些特殊值来提供它。

但现在让我们更进一步。

特殊权限位的一个常见用法是使用 passwd 之类的命令。如果查看 /usr/bin/passwd 文件，你会注意到 SUID 位已设置，它允许你更改密码（以及 /etc/shadow 文件的内容），即使你是以普通（非特权）用户身份运行，并且对此文件没有读取或写入权限。当然，passwd 命令很聪明，不允许你更改其他人的密码，除非你是以 root 身份运行或使用 sudo。

$ ls -l /usr/bin/passwd
-rwsr-xr-x 1 root root 63736 Mar 22 14:32 /usr/bin/passwd
$ ls -l /etc/shadow
-rw-r----- 1 root shadow 2195 Apr 22 10:46 /etc/shadow

现在，让我们看一下使用这些特殊权限可以做些什么。

如何分配特殊文件权限

与 Linux 命令行中的许多东西一样，你可以有不同的方法设置。 chmod 命令允许你以数字方式或使用字符表达式更改权限。

要以数字方式更改文件权限，你可以使用这样的命令来设置 SUID 和 SGID 位：

$ chmod 6775 tryme

或者你可以使用这样的命令：

$ chmod ug+s tryme <== 用于 SUID 和 SGID 权限

如果你要添加特殊权限的文件是脚本，你可能会对它不符合你的期望感到惊讶。这是一个非常简单的例子：

$ cat tryme
#!/bin/bash

echo I am $USER

即使设置了 SUID 和 SGID 位，并且 root 是文件所有者，运行脚本也不会产生你可能期望的 “I am root”。为什么？因为 Linux 会忽略脚本的 SUID 和 SGID 位。

$ ls -l tryme
-rwsrwsrwt 1 root root 29 May 26 12:22 tryme
$ ./tryme
I am jdoe

另一方面，如果你对一个编译的程序之类进行类似的尝试，就像下面这个简单的 C 程序一样，你会看到不同的效果。在此示例程序中，我们提示用户输入文件名并创建它，并给文件写入权限。

#include <stdlib.h>

int main()
{
    FILE *fp;   /* file pointer*/
    char fName[20];

    printf("Enter the name of file to be created: ");
    scanf("%s",fName);

    /* create the file with write permission */
    fp=fopen(fName,"w");
    /* check if file was created */
    if(fp==NULL)
    {
        printf("File not created");
        exit(0);
    }

    printf("File created successfully\n");
    return 0;
}

编译程序并运行该命令以使 root 用户成为所有者并设置所需权限后，你将看到它以预期的 root 权限运行 - 留下新创建的 root 为所有者的文件。当然，你必须具有 sudo 权限才能运行一些需要的命令。

$ cc -o mkfile mkfile.c            <== 编译程序
$ sudo chown root:root mkfile       <== 更改所有者和组为 “root”
$ sudo chmod ug+s mkfile        <== 添加 SUID and SGID 权限
$ ./mkfile              <== 运行程序
Enter name of file to be create: empty
File created successfully
$ ls -l empty
-rw-rw-r-- 1 root root 0 May 26 13:15 empty

请注意，文件所有者是 root - 如果程序未以 root 权限运行，则不会发生这种情况。

权限字符串中不常见设置的位置（例如，rwsrwsrwt）可以帮助提醒我们每个位的含义。至少第一个 “s”（SUID） 位于所有者权限区域中，第二个 （SGID） 位于组权限区域中。为什么粘连位是 “t” 而不是 “s” 超出了我的理解。也许创造者想把它称为 “tacky bit”，但由于这个词的不太令人喜欢的第二个定义而改变了他们的想法。无论如何，额外的权限设置为 Linux 和其他 Unix 系统提供了许多额外的功能。

via: https://www.networkworld.com/article/3397790/a-deeper-dive-into-linux-permissions.html

作者：Sandra Henry-Stocker 选题：lujun9972 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

目标

了解特殊权限的工作原理，以及如何识别和设置它们。

要求

• 了解标准的 Unix / Linux 权限系统

难度

简单

约定

• # - 要求直接以 root 用户或使用 sudo 命令执行指定的命令
• $ - 用普通的非特权用户来执行指定的命令

介绍

通常，在类 Unix 操作系统上，文件和目录的所有权是基于文件创建者的默认 uid（user-id）和 gid（group-id）的。启动一个进程时也是同样的情况：它以启动它的用户的 uid 和 gid 运行，并具有相应的权限。这种行为可以通过使用特殊的权限进行改变。

setuid 位

当使用 setuid （设置用户 ID）位时，之前描述的行为会有所变化，所以当一个可执行文件启动时，它不会以启动它的用户的权限运行，而是以该文件所有者的权限运行。所以，如果在一个可执行文件上设置了 setuid 位，并且该文件由 root 拥有，当一个普通用户启动它时，它将以 root 权限运行。显然，如果 setuid 位使用不当的话，会带来潜在的安全风险。

使用 setuid 权限的可执行文件的例子是 passwd，我们可以使用该程序更改登录密码。我们可以通过使用 ls 命令来验证：

ls -l /bin/passwd
-rwsr-xr-x. 1 root root 27768 Feb 11 2017 /bin/passwd

如何识别 setuid 位呢？相信您在上面命令的输出已经注意到，setuid 位是用 s 来表示的，代替了可执行位的 x。小写的 s 意味着可执行位已经被设置，否则你会看到一个大写的 S。大写的 S 发生于当设置了 setuid 或 setgid 位、但没有设置可执行位 x 时。它用于提醒用户这个矛盾的设置：如果可执行位未设置，则 setuid 和 setgid 位均不起作用。setuid 位对目录没有影响。

setgid 位

与 setuid 位不同，setgid （设置组 ID）位对文件和目录都有影响。在第一个例子中，具有 setgid 位设置的文件在执行时，不是以启动它的用户所属组的权限运行，而是以拥有该文件的组运行。换句话说，进程的 gid 与文件的 gid 相同。

当在一个目录上使用时，setgid 位与一般的行为不同，它使得在所述目录内创建的文件，不属于创建者所属的组，而是属于父目录所属的组。这个功能通常用于文件共享（目录所属组中的所有用户都可以修改文件）。就像 setuid 一样，setgid 位很容易识别（我们用 test 目录举例）：

ls -ld test
drwxrwsr-x. 2 egdoc egdoc 4096 Nov 1 17:25 test

这次 s 出现在组权限的可执行位上。

sticky 位

sticky （粘连）位的工作方式有所不同：它对文件没有影响，但当它在目录上使用时，所述目录中的所有文件只能由其所有者删除或移动。一个典型的例子是 /tmp 目录，通常系统中的所有用户都对这个目录有写权限。所以，设置 sticky 位使用户不能删除其他用户的文件：

$ ls -ld /tmp
drwxrwxrwt. 14 root root 300 Nov 1 16:48 /tmp

在上面的例子中，目录所有者、组和其他用户对该目录具有完全的权限（读、写和执行）。sticky 位在可执行位上用 t 来标识。同样，小写的 t 表示可执行权限 x也被设置了，否则你会看到一个大写字母 T。

如何设置特殊权限位

就像普通的权限一样，特殊权限位可以用 chmod 命令设置，使用数字或者 ugo/rwx 格式。在前一种情况下，setuid、setgid 和 sticky 位分别由数值 4、2 和 1 表示。例如，如果我们要在目录上设置 setgid 位，我们可以运行：

$ chmod 2775 test

通过这个命令，我们在目录上设置了 setgid 位（由四个数字中的第一个数字标识），并给它的所有者和该目录所属组的所有用户赋予全部权限，对其他用户赋予读和执行的权限（目录上的执行位意味着用户可以 cd 进入该目录或使用 ls 列出其内容）。

另一种设置特殊权限位的方法是使用 ugo/rwx 语法：

$ chmod g+s test

要将 setuid 位应用于一个文件，我们可以运行：

$ chmod u+s file

要设置 sticky 位，可运行：

$ chmod o+t test

在某些情况下，使用特殊权限会非常有用。但如果使用不当，可能会引入严重的漏洞，因此使用之前请三思。

via: https://linuxconfig.org/how-to-use-special-permissions-the-setuid-setgid-and-sticky-bits

作者：Egidio Docile 译者：jessie-pang 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

在 Linux 中查找文件并不是什么大问题。市面上也有很多可靠的自由开源的可视化查找工具。但对我而言，查找文件，用命令行的方式会更快更简单。我们已经知道 如何根据访问和修改文件的时间寻找或整理文件。今天，在基于 Unix 的操作系统中，我们将见识如何通过权限查找文件。

本段教程中，我将创建三个文件名为 file1，file2 和 file3 分别赋予 777，766 和 655 文件权限，并分别置于名为 ostechnix 的文件夹中。

mkdir ostechnix && cd ostechnix/
install -b -m 777 /dev/null file1
install -b -m 766 /dev/null file2
install -b -m 655 /dev/null file3

现在，让我们通过权限来查找一下文件。

根据权限查找文件

根据权限查找文件最具代表性的语法：

find -perm mode

mode 可以是代表权限的八进制数字（777、666 …）也可以是权限符号（u=x，a=r+x）。

在深入之前，我们就以下三点详细说明 mode 参数。

1. 如果我们不指定任何参数前缀，它将会寻找具体权限的文件。
2. 如果我们使用 - 参数前缀， 寻找到的文件至少拥有 mode 所述的权限，而不是具体的权限（大于或等于此权限的文件都会被查找出来）。
3. 如果我们使用 / 参数前缀，那么所有者、组或者其他人任意一个应当享有此文件的权限。

为了让你更好的理解，让我举些例子。

首先，我们将要看到基于数字权限查找文件。

基于数字（八进制）权限查找文件

让我们运行下列命令：

find -perm 777

这条命令将会查找到当前目录权限为确切为 777 权限的文件。

如你看见的屏幕输出，file1 是唯一一个拥有确切为 777 权限的文件。

现在，让我们使用 - 参数前缀，看看会发生什么。

find -perm -766

如你所见，命令行上显示两个文件。我们给 file2 设置了 766 权限，但是命令行显示两个文件，什么鬼？因为，我们设置了 - 参数前缀。它意味着这条命令将在所有文件中查找文件所有者的“读/写/执行”权限，文件用户组的“读/写”权限和其他用户的“读/写”权限。本例中，file1 和 file2 都符合要求。换句话说，文件并不一样要求时确切的 766 权限。它将会显示任何属于（高于）此权限的文件 。

然后，让我们使用 / 参数前置，看看会发生什么。

find -perm /222

上述命令将会查找某些人（要么是所有者、用户组，要么是其他人）拥有写权限的文件。这里有另外一个例子：

find -perm /220

这条命令会查找所有者或用户组中拥有写权限的文件。这意味着匹配所有者和用户组任一可写的文件，而其他人的权限随意。

如果你使用 - 前缀运行相同的命令，你只会看到所有者和用户组都拥有写权限的文件。

find -perm -220

下面的截图会告诉你这两个参数前缀的不同。

如我之前说过的一样，我们也可以使用符号表示文件权限。

请阅读：

• 如何在 Linux 中找到最大和最小的目录和文件
• 如何在 Linux 的目录树中找到最老的文件
• 如何在 Linux 中找到超过或小于某个大小的文件

基于符号的文件权限查找文件

在下面的例子中，我们使用例如 u（所有者）、g（用户组） 和 o（其他） 的符号表示法。我们也可以使用字母 a 代表上述三种类型。我们可以通过特指的 r （读）、 w （写）、 x （执行）分别代表它们的权限。

例如，寻找用户组中拥有 写 权限的文件，执行：

find -perm -g=w

上面的例子中，file1 和 file2 都拥有 写 权限。请注意，你可以等效使用 = 或 + 两种符号标识。例如，下列两行相同效果的代码。

find -perm -g=w
find -perm -g+w

查找文件所有者中拥有写权限的文件，执行：

find -perm -u=w

查找所有用户中拥有写权限的文件，执行：

find -perm -a=w

查找所有者和用户组中同时拥有写权限的文件，执行：

find -perm -g+w,u+w

上述命令等效与 find -perm -220。

查找所有者或用户组中拥有写权限的文件，执行：

find -perm /u+w,g+w

或者,

find -perm /u=w,g=w

上述命令等效于 find -perm /220。

更多详情，参照 man 手册。

man find

了解更多简化案例或其他 Linux 命令，查看man 手册。

然后，这就是所有的内容。希望这个教程有用。更多干货，敬请关注。

干杯！

via: https://www.ostechnix.com/find-files-based-permissions/

作者：SK 译者：CYLeft 校对：校对者ID

本文由 LCTT 原创编译，Linux中国 荣誉推出

本教程可以了解如何通过用户组和访问控制表（ACL）来管理用户。

当你需要管理一台容纳多个用户的 Linux 机器时，比起一些基本的用户管理工具所提供的方法，有时候你需要对这些用户采取更多的用户权限管理方式。特别是当你要管理某些用户的权限时，这个想法尤为重要。比如说，你有一个目录，某个用户组中的用户可以通过读和写的权限访问这个目录，而其他用户组中的用户对这个目录只有读的权限。在 Linux 中，这是完全可以实现的。但前提是你必须先了解如何通过用户组和访问控制表（ACL）来管理用户。

我们将从简单的用户开始，逐渐深入到复杂的访问控制表（ACL）。你可以在你所选择的 Linux 发行版完成你所需要做的一切。本文的重点是用户组，所以不会涉及到关于用户的基础知识。

为了达到演示的目的，我将假设：

你需要用下面两个用户名新建两个用户：

• olivia
• nathan

你需要新建以下两个用户组：

• readers
• editors

olivia 属于 editors 用户组，而 nathan 属于 readers 用户组。reader 用户组对 /DATA 目录只有读的权限，而 editors 用户组则对 /DATA 目录同时有读和写的权限。当然，这是个非常小的任务，但它会给你基本的信息，你可以扩展这个任务以适应你其他更大的需求。

我将在 Ubuntu 16.04 Server 平台上进行演示。这些命令都是通用的，唯一不同的是，要是在你的发行版中不使用 sudo 命令，你必须切换到 root 用户来执行这些命令。

创建用户

我们需要做的第一件事是为我们的实验创建两个用户。可以用 useradd 命令来创建用户，我们不只是简单地创建一个用户，而需要同时创建用户和属于他们的家目录，然后给他们设置密码。

sudo useradd -m olivia
sudo useradd -m nathan

我们现在创建了两个用户，如果你看看 /home 目录，你可以发现他们的家目录（因为我们用了 -m 选项，可以在创建用户的同时创建他们的家目录。

之后，我们可以用以下命令给他们设置密码：

sudo passwd olivia
sudo passwd nathan

就这样，我们创建了两个用户。

创建用户组并添加用户

现在我们将创建 readers 和 editors 用户组，然后给它们添加用户。创建用户组的命令是：

addgroup readers
addgroup editors

（LCTT 译注：当你使用 CentOS 等一些 Linux 发行版时，可能系统没有 addgroup 这个命令，推荐使用 groupadd 命令来替换 addgroup 命令以达到同样的效果）

图一：我们可以使用刚创建的新用户组了。

创建用户组后，我们需要添加我们的用户到这两个用户组。我们用以下命令来将 nathan 用户添加到 readers 用户组：

sudo usermod -a -G readers nathan

用以下命令将 olivia 添加到 editors 用户组：

sudo usermod -a -G editors olivia

现在我们可以通过用户组来管理用户了。

给用户组授予目录的权限

假设你有个目录 /READERS 且允许 readers 用户组的所有成员访问这个目录。首先，我们执行以下命令来更改目录所属用户组：

sudo chown -R :readers /READERS 

接下来，执行以下命令收回目录所属用户组的写入权限：

sudo chmod -R g-w /READERS

然后我们执行下面的命令来收回其他用户对这个目录的访问权限（以防止任何不在 readers 组中的用户访问这个目录里的文件）：

sudo chmod -R o-x /READERS

这时候，只有目录的所有者（root）和用户组 reader 中的用户可以访问 /READES 中的文件。

假设你有个目录 /EDITORS ，你需要给用户组 editors 里的成员这个目录的读和写的权限。为了达到这个目的，执行下面的这些命令是必要的：

sudo chown -R :editors /EDITORS
sudo chmod -R g+w /EDITORS
sudo chmod -R o-x /EDITORS

此时 editors 用户组的所有成员都可以访问和修改其中的文件。除此之外其他用户（除了 root 之外）无法访问 /EDITORS 中的任何文件。

使用这个方法的问题在于，你一次只能操作一个组和一个目录而已。这时候访问控制表（ACL）就可以派得上用场了。

使用访问控制表（ACL）

现在，让我们把这个问题变得棘手一点。假设你有一个目录 /DATA 并且你想给 readers 用户组的成员读取权限，并同时给 editors 用户组的成员读和写的权限。为此，你必须要用到 setfacl 命令。setfacl 命令可以为文件或文件夹设置一个访问控制表（ACL）。

这个命令的结构如下：

setfacl OPTION X:NAME:Y /DIRECTORY

其中 OPTION 是可选选项，X 可以是 u（用户）或者是 g （用户组），NAME 是用户或者用户组的名字，/DIRECTORY 是要用到的目录。我们将使用 -m 选项进行修改。因此，我们给 readers 用户组添加读取权限的命令是：

sudo setfacl -m g:readers:rx -R /DATA

现在 readers 用户组里面的每一个用户都可以读取 /DATA 目录里的文件了，但是他们不能修改里面的内容。

为了给 editors 用户组里面的用户读写权限，我们执行了以下命令：

sudo setfacl -m g:editors:rwx -R /DATA 

上述命令将赋予 editors 用户组中的任何成员读取权限，同时保留 readers 用户组的只读权限。

更多的权限控制

使用访问控制表（ACL），你可以实现你所需的权限控制。你可以添加用户到用户组，并且灵活地控制这些用户组对每个目录的权限以达到你的需求。如果想了解上述工具的更多信息，可以执行下列的命令：

• man usradd
• man addgroup
• man usermod
• man sefacl
• man chown
• man chmod

via: https://www.linux.com/learn/intro-to-linux/2017/12/how-manage-users-groups-linux

作者：[Jack Wallen] 译者：imquanquan 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出