标签 权限 下的文章

Fedora 与所有基于 Linux 的系统一样,它提供了一组强大的安全特性。其中一个基本特性是文件和文件夹上的权限。这些权限保护文件和文件夹免受未经授权的访问。本文将简要介绍这些权限,并向你展示如何使用它们共享对文件夹的访问。

权限基础

Fedora 本质上是一个多用户操作系统,它也有,用户可以是其成员。但是,想象一下一个没有权限概念的多用户系统,不同的登录用户可以随意阅读彼此的内容。你可以想象到这对隐私或安全性并不是很好。

Fedora 上的任何文件或文件夹都分配了三组权限。第一组用于拥有文件或文件夹的用户,第二组用于拥有它的,第三组用于其他人,即既不是该文件的用户也不是拥有该文件的组中的用户。有时这被称为全世界

权限意味着什么

每组权限都有三种形式:执行。其中每个都可以用首字母来代替,即 rwx

文件权限

对于文件,权限的含义如下所示:

  • 读(r):可以读取文件内容
  • 写(w):可以更改文件内容
  • 执行(x):可以执行文件 —— 这主要用于打算直接运行的程序或脚本

当你对任何文件进行详细信息列表查看时,可以看到这三组权限。尝试查看系统上的 /etc/services 文件:

$ ls -l /etc/services
-rw-r--r--. 1 root root 692241 Apr  9 03:47 /etc/services

注意列表左侧的权限组。如上所述,这些表明三种用户的权限:拥有该文件的用户,拥有该文件的组以及其他人。用户所有者是 root,组所有者是 root 组。用户所有者具有对文件的读写权限,root 组中的任何人都只能读取该文件。最后,其他任何人也只能读取该文件。(最左边的 - 显示这是一个常规文件。)

顺便说一下,你通常会在许多(但不是所有)系统配置文件上发现这组权限,它们只由系统管理员而不是普通用户更改。通常,普通用户需要读取其内容。

文件夹(目录)权限

对于文件夹,权限的含义略有不同:

  • 读(r):可以读取文件夹内容(例如 ls 命令)
  • 写(w):可以更改文件夹内容(可以在此文件夹中创建或删除文件)
  • 执行(x):可以搜索文件夹,但无法读取其内容。(这听起来可能很奇怪,但解释起来需要更复杂的文件系统细节,这超出了本文的范围,所以现在就这样吧。)

看一下 /etc/grub.d 文件夹的例子:

$ ls -ld /etc/grub.d
drwx------. 2 root root 4096 May 23 16:28 /etc/grub.d

注意最左边的 d,它显示这是一个目录或文件夹。权限显示用户所有者(root)可以读取、更改和 cd 到此文件夹中。但是,没有其他人可以这样做 —— 无论他们是否是 root 组的成员。注意,你不能 cd 进入该文件夹。

$ cd /etc/grub.d
bash: cd: /etc/grub.d: Permission denied

注意你自己的主目录是如何设置的:

$ ls -ld $HOME
drwx------. 221 paul paul 28672 Jul  3 14:03 /home/paul

现在,注意除了作为所有者之外,没有人可以访问此文件夹中的任何内容。这是特意的!你不希望其他人能够在共享系统上读取你的私人内容。

创建共享文件夹

你可以利用此权限功能轻松创建一个文件夹以在组内共享。假设你有一个名为 finance 的小组,其中有几个成员需要共享文档。因为这些是用户文档,所以将它们存储在 /home 文件夹层次结构中是个好主意。

首先,使用 sudo 创建一个共享文件夹,并将其设置为 finance 组所有:

$ sudo mkdir -p /home/shared/finance
$ sudo chgrp finance /home/shared/finance

默认情况下,新文件夹具有这些权限。注意任何人都可以读取或搜索它,即使他们无法创建或删除其中的文件:

drwxr-xr-x. 2 root root 4096 Jul  6 15:35 finance

对于金融数据来说,这似乎不是一个好主意。接下来,使用 chmod 命令更改共享文件夹的模式(权限)。注意,使用 g 更改所属组的权限,使用 o 更改其他用户的权限。同样,u 会更改用户所有者的权限:

$ sudo chmod g+w,o-rx /home/shared/finance

生成的权限看起来更好。现在,finance 组中的任何人(或用户所有者 root)都可以完全访问该文件夹及其内容:

drwxrwx---. 2 root finance 4096 Jul  6 15:35 finance

如果其他用户尝试访问共享文件夹,他们将无法执行此操作。太棒了!现在,我们的金融部门可以将文档放在一个共享的地方。

其他说明

还有其他方法可以操作这些权限。例如,你可能希望将此文件夹中的任何文件设置为 finance 组所拥有。这需要本文未涉及的其他设置,但请继续关注我们,以了解关于该主题的更多信息。


via: https://fedoramagazine.org/command-line-quick-tips-permissions/

作者:Paul W. Frields 选题:lujun9972 译者:MjSeven 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

Linux 安全权限能够指定谁可以对文件或目录执行什么操作。

与其他系统相比而言 Linux 系统的众多优点中最为主要一个便是 Linux 系统有着更少的安全漏洞和被攻击的隐患。Linux 无疑为用户提供了更为灵活和精细化的文件系统安全权限控制。这可能意味着 Linux 用户理解安全权限是至关重要的。虽然这并不一定是必要的,但是对于初学者来说,理解 Linux 权限的基本知识仍是一个明智之选。

查看 Linux 安全权限

在开始 Linux 权限的相关学习之前,假设我们新建了一个名为 PermissionDemo 的目录。使用 cd 命令进入这个目录,然后使用 ls -l 命令查看 Linux 安全管理权限信息。如果你想以时间为序排列,加上 -t 选项

ls -lt

因为这一目录下没有文件,所以这一命令执行不会返回结果。

 title=

要了解关于 ls 命令的更多信息,请通过在命令行中输入 man ls 来查看命令手册。

 title=

现在,让我们创建两个名为 cat.txtdog.txt 的空白文件;这一步使用 touch 命令将更为简便。然后继续使用 mkdir 命令创建一个名为 Pets 的空目录。我们可以再次使用ls -l命令查看这些新文件的权限。

 title=

我们需要留意这个命令输出结果的两个部分。

谁拥有权限?

首先要注意的是具有访问文件/目录的权限。请注意下面红色框中突出显示的部分。第一列是指具有访问权限的用户,而第二列是指具有访问权限的

 title=

用户的类型主要有三种:用户、组和其他人(本质上既不是用户也不是组)。还有一个全部,意思是几乎所有人。

 title=

由于我们使用 root 作为当前用户,所以我们可以访问任何文件或目录,因为 root 是超级用户。然而,通常情况并非如此,你可能会被限定使用你的普通用户登录。所有的用户都存储在 /etc/passwd 文件中。

 title=

“组”的相关信息保存在 /etc/group 文件中。

 title=

他们有什么权限?

我们需要注意的是 ls -l 命令输出结果的另一部分与执行权限有关。以上,我们查看了创建的 dog.txtcat.txt 文件以及 Pets 目录的所有者和组权限都属于 root 用户。我们可以通过这一信息了解到不同用户组所拥有的相应权限,如下面的红色框中的标示。(LCTT 译注:下图的“OWNER”应为“OTHER”)

 title=

我们可以把每一行分解成五部分。第一部分标志着它是文件还是目录:文件用 -(连字符)标记,目录用 d 来标记。接下来的三个部分分别是用户、组和其他人的对应权限。最后一部分是访问控制列表 (ACL)的标志,是记录着特定用户或者用户组对该文件的操作权限的列表。

 title=

Linux 的权限级别可以用字母或数字标识。有三种权限类型:

  • 可读取:r4
  • 可写入:w2
  • 可执行:x1

(LCTT 译注:原文此处对应的字母标示 x 误写为 e,已更正)

 title=

每个字母符号(rwx)表示有该项权限,而 - 表示无该项权限。在下面的示例中,文件的所有者可读可写,用户组成员仅可读,其他人可读可执行。转换成数字表示法,对应的是 645(如何计算,请参见下图的图示)。

 title=

以下是一些示例:

 title=

完成下面的测试,检查你是否掌握了权限管理相关的知识。

 title=


via: https://opensource.com/article/19/6/understanding-linux-permissions

作者:Bryant Son 选题:lujun9972 译者:qfzy1233 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

在 Linux 上查看文件权限时,有时你会看到的不仅仅是普通的 r、w、x 和 -。如何更清晰地了解这些字符试图告诉你什么以及这些权限如何工作?

在 Linux 上查看文件权限时,有时你会看到的不仅仅是普通的 rwx-。除了在所有者、组和其他中看到 rwx 之外,你可能会看到 s 或者 t,如下例所示:

drwxrwsrwt

要进一步明确的方法之一是使用 stat 命令查看权限。stat 的第四行输出以八进制和字符串格式显示文件权限:

$ stat /var/mail
  File: /var/mail
  Size: 4096            Blocks: 8          IO Block: 4096   directory
Device: 801h/2049d      Inode: 1048833     Links: 2
Access: (3777/drwxrwsrwt)  Uid: (    0/    root)   Gid: (    8/    mail)
Access: 2019-05-21 19:23:15.769746004 -0400
Modify: 2019-05-21 19:03:48.226656344 -0400
Change: 2019-05-21 19:03:48.226656344 -0400
 Birth: -

这个输出提示我们,分配给文件权限的位数超过 9 位。事实上,有 12 位。这些额外的三位提供了一种分配超出通常的读、写和执行权限的方法 - 例如,3777(二进制 011111111111)表示使用了两个额外的设置。

该值的第一个 1 (第二位)表示 SGID(设置 GID),为运行文件而赋予临时权限,或以该关联组的权限来使用目录。

011111111111
 ^

SGID 将正在使用该文件的用户作为该组成员之一而分配临时权限。

第二个 1(第三位)是“粘连”位。它确保只有文件的所有者能够删除或重命名该文件或目录。

011111111111
  ^

如果权限是 7777 而不是 3777,我们知道 SUID(设置 UID)字段也已设置。

111111111111
^

SUID 将正在使用该文件的用户作为文件拥有者分配临时权限。

至于我们上面看到的 /var/mail 目录,所有用户都需要访问,因此需要一些特殊值来提供它。

但现在让我们更进一步。

特殊权限位的一个常见用法是使用 passwd 之类的命令。如果查看 /usr/bin/passwd 文件,你会注意到 SUID 位已设置,它允许你更改密码(以及 /etc/shadow 文件的内容),即使你是以普通(非特权)用户身份运行,并且对此文件没有读取或写入权限。当然,passwd 命令很聪明,不允许你更改其他人的密码,除非你是以 root 身份运行或使用 sudo

$ ls -l /usr/bin/passwd
-rwsr-xr-x 1 root root 63736 Mar 22 14:32 /usr/bin/passwd
$ ls -l /etc/shadow
-rw-r----- 1 root shadow 2195 Apr 22 10:46 /etc/shadow

现在,让我们看一下使用这些特殊权限可以做些什么。

如何分配特殊文件权限

与 Linux 命令行中的许多东西一样,你可以有不同的方法设置。 chmod 命令允许你以数字方式或使用字符表达式更改权限。

要以数字方式更改文件权限,你可以使用这样的命令来设置 SUID 和 SGID 位:

$ chmod 6775 tryme

或者你可以使用这样的命令:

$ chmod ug+s tryme <== 用于 SUID 和 SGID 权限

如果你要添加特殊权限的文件是脚本,你可能会对它不符合你的期望感到惊讶。这是一个非常简单的例子:

$ cat tryme
#!/bin/bash

echo I am $USER

即使设置了 SUID 和 SGID 位,并且 root 是文件所有者,运行脚本也不会产生你可能期望的 “I am root”。为什么?因为 Linux 会忽略脚本的 SUID 和 SGID 位。

$ ls -l tryme
-rwsrwsrwt 1 root root 29 May 26 12:22 tryme
$ ./tryme
I am jdoe

另一方面,如果你对一个编译的程序之类进行类似的尝试,就像下面这个简单的 C 程序一样,你会看到不同的效果。在此示例程序中,我们提示用户输入文件名并创建它,并给文件写入权限。

#include <stdlib.h>

int main()
{
    FILE *fp;   /* file pointer*/
    char fName[20];

    printf("Enter the name of file to be created: ");
    scanf("%s",fName);

    /* create the file with write permission */
    fp=fopen(fName,"w");
    /* check if file was created */
    if(fp==NULL)
    {
        printf("File not created");
        exit(0);
    }

    printf("File created successfully\n");
    return 0;
}

编译程序并运行该命令以使 root 用户成为所有者并设置所需权限后,你将看到它以预期的 root 权限运行 - 留下新创建的 root 为所有者的文件。当然,你必须具有 sudo 权限才能运行一些需要的命令。

$ cc -o mkfile mkfile.c            <== 编译程序
$ sudo chown root:root mkfile       <== 更改所有者和组为 “root”
$ sudo chmod ug+s mkfile        <== 添加 SUID and SGID 权限
$ ./mkfile              <== 运行程序
Enter name of file to be create: empty
File created successfully
$ ls -l empty
-rw-rw-r-- 1 root root 0 May 26 13:15 empty

请注意,文件所有者是 root - 如果程序未以 root 权限运行,则不会发生这种情况。

权限字符串中不常见设置的位置(例如,rwsrwsrwt)可以帮助提醒我们每个位的含义。至少第一个 “s”(SUID) 位于所有者权限区域中,第二个 (SGID) 位于组权限区域中。为什么粘连位是 “t” 而不是 “s” 超出了我的理解。也许创造者想把它称为 “tacky bit”,但由于这个词的不太令人喜欢的第二个定义而改变了他们的想法。无论如何,额外的权限设置为 Linux 和其他 Unix 系统提供了许多额外的功能。


via: https://www.networkworld.com/article/3397790/a-deeper-dive-into-linux-permissions.html

作者:Sandra Henry-Stocker 选题:lujun9972 译者:geekpi 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

目标

了解特殊权限的工作原理,以及如何识别和设置它们。

要求

难度

简单

约定

  • # - 要求直接以 root 用户或使用 sudo 命令执行指定的命令
  • $ - 用普通的非特权用户来执行指定的命令

介绍

通常,在类 Unix 操作系统上,文件和目录的所有权是基于文件创建者的默认 uid(user-id)和 gid(group-id)的。启动一个进程时也是同样的情况:它以启动它的用户的 uidgid 运行,并具有相应的权限。这种行为可以通过使用特殊的权限进行改变。

setuid 位

当使用 setuid (设置用户 ID)位时,之前描述的行为会有所变化,所以当一个可执行文件启动时,它不会以启动它的用户的权限运行,而是以该文件所有者的权限运行。所以,如果在一个可执行文件上设置了 setuid 位,并且该文件由 root 拥有,当一个普通用户启动它时,它将以 root 权限运行。显然,如果 setuid 位使用不当的话,会带来潜在的安全风险。

使用 setuid 权限的可执行文件的例子是 passwd,我们可以使用该程序更改登录密码。我们可以通过使用 ls 命令来验证:

ls -l /bin/passwd
-rwsr-xr-x. 1 root root 27768 Feb 11 2017 /bin/passwd

如何识别 setuid 位呢?相信您在上面命令的输出已经注意到,setuid 位是用 s 来表示的,代替了可执行位的 x。小写的 s 意味着可执行位已经被设置,否则你会看到一个大写的 S。大写的 S 发生于当设置了 setuidsetgid 位、但没有设置可执行位 x 时。它用于提醒用户这个矛盾的设置:如果可执行位未设置,则 setuidsetgid 位均不起作用。setuid 位对目录没有影响。

setgid 位

setuid 位不同,setgid (设置组 ID)位对文件和目录都有影响。在第一个例子中,具有 setgid 位设置的文件在执行时,不是以启动它的用户所属组的权限运行,而是以拥有该文件的组运行。换句话说,进程的 gid 与文件的 gid 相同。

当在一个目录上使用时,setgid 位与一般的行为不同,它使得在所述目录内创建的文件,不属于创建者所属的组,而是属于父目录所属的组。这个功能通常用于文件共享(目录所属组中的所有用户都可以修改文件)。就像 setuid 一样,setgid 位很容易识别(我们用 test 目录举例):

ls -ld test
drwxrwsr-x. 2 egdoc egdoc 4096 Nov 1 17:25 test

这次 s 出现在组权限的可执行位上。

sticky 位

sticky (粘连)位的工作方式有所不同:它对文件没有影响,但当它在目录上使用时,所述目录中的所有文件只能由其所有者删除或移动。一个典型的例子是 /tmp 目录,通常系统中的所有用户都对这个目录有写权限。所以,设置 sticky 位使用户不能删除其他用户的文件:

$ ls -ld /tmp
drwxrwxrwt. 14 root root 300 Nov 1 16:48 /tmp

在上面的例子中,目录所有者、组和其他用户对该目录具有完全的权限(读、写和执行)。sticky 位在可执行位上用 t 来标识。同样,小写的 t 表示可执行权限 x也被设置了,否则你会看到一个大写字母 T

如何设置特殊权限位

就像普通的权限一样,特殊权限位可以用 chmod 命令设置,使用数字或者 ugo/rwx 格式。在前一种情况下,setuidsetgidsticky 位分别由数值 4、2 和 1 表示。例如,如果我们要在目录上设置 setgid 位,我们可以运行:

$ chmod 2775 test

通过这个命令,我们在目录上设置了 setgid 位(由四个数字中的第一个数字标识),并给它的所有者和该目录所属组的所有用户赋予全部权限,对其他用户赋予读和执行的权限(目录上的执行位意味着用户可以 cd 进入该目录或使用 ls 列出其内容)。

另一种设置特殊权限位的方法是使用 ugo/rwx 语法:

$ chmod g+s test

要将 setuid 位应用于一个文件,我们可以运行:

$ chmod u+s file

要设置 sticky 位,可运行:

$ chmod o+t test

在某些情况下,使用特殊权限会非常有用。但如果使用不当,可能会引入严重的漏洞,因此使用之前请三思。


via: https://linuxconfig.org/how-to-use-special-permissions-the-setuid-setgid-and-sticky-bits

作者:Egidio Docile 译者:jessie-pang 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

在 Linux 中查找文件并不是什么大问题。市面上也有很多可靠的自由开源的可视化查找工具。但对我而言,查找文件,用命令行的方式会更快更简单。我们已经知道 如何根据访问和修改文件的时间寻找或整理文件。今天,在基于 Unix 的操作系统中,我们将见识如何通过权限查找文件。

本段教程中,我将创建三个文件名为 file1file2file3 分别赋予 777766655 文件权限,并分别置于名为 ostechnix 的文件夹中。

mkdir ostechnix && cd ostechnix/
install -b -m 777 /dev/null file1
install -b -m 766 /dev/null file2
install -b -m 655 /dev/null file3

现在,让我们通过权限来查找一下文件。

根据权限查找文件

根据权限查找文件最具代表性的语法:

find -perm mode

mode 可以是代表权限的八进制数字(777、666 …)也可以是权限符号(u=x,a=r+x)。

在深入之前,我们就以下三点详细说明 mode 参数。

  1. 如果我们不指定任何参数前缀,它将会寻找具体权限的文件。
  2. 如果我们使用 - 参数前缀, 寻找到的文件至少拥有 mode 所述的权限,而不是具体的权限(大于或等于此权限的文件都会被查找出来)。
  3. 如果我们使用 / 参数前缀,那么所有者、组或者其他人任意一个应当享有此文件的权限。

为了让你更好的理解,让我举些例子。

首先,我们将要看到基于数字权限查找文件。

基于数字(八进制)权限查找文件

让我们运行下列命令:

find -perm 777

这条命令将会查找到当前目录权限为确切为 777 权限的文件。

1

如你看见的屏幕输出,file1 是唯一一个拥有确切为 777 权限的文件。

现在,让我们使用 - 参数前缀,看看会发生什么。

find -perm -766

如你所见,命令行上显示两个文件。我们给 file2 设置了 766 权限,但是命令行显示两个文件,什么鬼?因为,我们设置了 - 参数前缀。它意味着这条命令将在所有文件中查找文件所有者的“读/写/执行”权限,文件用户组的“读/写”权限和其他用户的“读/写”权限。本例中,file1 和 file2 都符合要求。换句话说,文件并不一样要求时确切的 766 权限。它将会显示任何属于(高于)此权限的文件 。

然后,让我们使用 / 参数前置,看看会发生什么。

find -perm /222

上述命令将会查找某些人(要么是所有者、用户组,要么是其他人)拥有写权限的文件。这里有另外一个例子:

find -perm /220

这条命令会查找所有者或用户组中拥有写权限的文件。这意味着匹配所有者和用户组任一可写的文件,而其他人的权限随意。

如果你使用 - 前缀运行相同的命令,你只会看到所有者和用户组都拥有写权限的文件。

find -perm -220

下面的截图会告诉你这两个参数前缀的不同。

如我之前说过的一样,我们也可以使用符号表示文件权限。

请阅读:

基于符号的文件权限查找文件

在下面的例子中,我们使用例如 u(所有者)、g(用户组) 和 o(其他) 的符号表示法。我们也可以使用字母 a 代表上述三种类型。我们可以通过特指的 r (读)、 w (写)、 x (执行)分别代表它们的权限。

例如,寻找用户组中拥有 权限的文件,执行:

find -perm -g=w

上面的例子中,file1 和 file2 都拥有 权限。请注意,你可以等效使用 =+ 两种符号标识。例如,下列两行相同效果的代码。

find -perm -g=w
find -perm -g+w

查找文件所有者中拥有写权限的文件,执行:

find -perm -u=w

查找所有用户中拥有写权限的文件,执行:

find -perm -a=w

查找所有者和用户组中同时拥有写权限的文件,执行:

find -perm -g+w,u+w

上述命令等效与 find -perm -220

查找所有者或用户组中拥有写权限的文件,执行:

find -perm /u+w,g+w

或者,

find -perm /u=w,g=w

上述命令等效于 find -perm /220

更多详情,参照 man 手册。

man find

了解更多简化案例或其他 Linux 命令,查看man 手册

然后,这就是所有的内容。希望这个教程有用。更多干货,敬请关注。

干杯!


via: https://www.ostechnix.com/find-files-based-permissions/

作者:SK 译者:CYLeft 校对:校对者ID

本文由 LCTT 原创编译,Linux中国 荣誉推出

groups

本教程可以了解如何通过用户组和访问控制表(ACL)来管理用户。

当你需要管理一台容纳多个用户的 Linux 机器时,比起一些基本的用户管理工具所提供的方法,有时候你需要对这些用户采取更多的用户权限管理方式。特别是当你要管理某些用户的权限时,这个想法尤为重要。比如说,你有一个目录,某个用户组中的用户可以通过读和写的权限访问这个目录,而其他用户组中的用户对这个目录只有读的权限。在 Linux 中,这是完全可以实现的。但前提是你必须先了解如何通过用户组和访问控制表(ACL)来管理用户。

我们将从简单的用户开始,逐渐深入到复杂的访问控制表(ACL)。你可以在你所选择的 Linux 发行版完成你所需要做的一切。本文的重点是用户组,所以不会涉及到关于用户的基础知识。

为了达到演示的目的,我将假设:

你需要用下面两个用户名新建两个用户:

  • olivia
  • nathan

你需要新建以下两个用户组:

  • readers
  • editors

olivia 属于 editors 用户组,而 nathan 属于 readers 用户组。reader 用户组对 /DATA 目录只有读的权限,而 editors 用户组则对 /DATA 目录同时有读和写的权限。当然,这是个非常小的任务,但它会给你基本的信息,你可以扩展这个任务以适应你其他更大的需求。

我将在 Ubuntu 16.04 Server 平台上进行演示。这些命令都是通用的,唯一不同的是,要是在你的发行版中不使用 sudo 命令,你必须切换到 root 用户来执行这些命令。

创建用户

我们需要做的第一件事是为我们的实验创建两个用户。可以用 useradd 命令来创建用户,我们不只是简单地创建一个用户,而需要同时创建用户和属于他们的家目录,然后给他们设置密码。

sudo useradd -m olivia
sudo useradd -m nathan

我们现在创建了两个用户,如果你看看 /home 目录,你可以发现他们的家目录(因为我们用了 -m 选项,可以在创建用户的同时创建他们的家目录。

之后,我们可以用以下命令给他们设置密码:

sudo passwd olivia
sudo passwd nathan

就这样,我们创建了两个用户。

创建用户组并添加用户

现在我们将创建 readers 和 editors 用户组,然后给它们添加用户。创建用户组的命令是:

addgroup readers
addgroup editors

(LCTT 译注:当你使用 CentOS 等一些 Linux 发行版时,可能系统没有 addgroup 这个命令,推荐使用 groupadd 命令来替换 addgroup 命令以达到同样的效果)

groups

图一:我们可以使用刚创建的新用户组了。

创建用户组后,我们需要添加我们的用户到这两个用户组。我们用以下命令来将 nathan 用户添加到 readers 用户组:

sudo usermod -a -G readers nathan

用以下命令将 olivia 添加到 editors 用户组:

sudo usermod -a -G editors olivia

现在我们可以通过用户组来管理用户了。

给用户组授予目录的权限

假设你有个目录 /READERS 且允许 readers 用户组的所有成员访问这个目录。首先,我们执行以下命令来更改目录所属用户组:

sudo chown -R :readers /READERS 

接下来,执行以下命令收回目录所属用户组的写入权限:

sudo chmod -R g-w /READERS

然后我们执行下面的命令来收回其他用户对这个目录的访问权限(以防止任何不在 readers 组中的用户访问这个目录里的文件):

sudo chmod -R o-x /READERS

这时候,只有目录的所有者(root)和用户组 reader 中的用户可以访问 /READES 中的文件。

假设你有个目录 /EDITORS ,你需要给用户组 editors 里的成员这个目录的读和写的权限。为了达到这个目的,执行下面的这些命令是必要的:

sudo chown -R :editors /EDITORS
sudo chmod -R g+w /EDITORS
sudo chmod -R o-x /EDITORS

此时 editors 用户组的所有成员都可以访问和修改其中的文件。除此之外其他用户(除了 root 之外)无法访问 /EDITORS 中的任何文件。

使用这个方法的问题在于,你一次只能操作一个组和一个目录而已。这时候访问控制表(ACL)就可以派得上用场了。

使用访问控制表(ACL)

现在,让我们把这个问题变得棘手一点。假设你有一个目录 /DATA 并且你想给 readers 用户组的成员读取权限,并同时给 editors 用户组的成员读和写的权限。为此,你必须要用到 setfacl 命令。setfacl 命令可以为文件或文件夹设置一个访问控制表(ACL)。

这个命令的结构如下:

setfacl OPTION X:NAME:Y /DIRECTORY

其中 OPTION 是可选选项,X 可以是 u(用户)或者是 g (用户组),NAME 是用户或者用户组的名字,/DIRECTORY 是要用到的目录。我们将使用 -m 选项进行修改。因此,我们给 readers 用户组添加读取权限的命令是:

sudo setfacl -m g:readers:rx -R /DATA

现在 readers 用户组里面的每一个用户都可以读取 /DATA 目录里的文件了,但是他们不能修改里面的内容。

为了给 editors 用户组里面的用户读写权限,我们执行了以下命令:

sudo setfacl -m g:editors:rwx -R /DATA 

上述命令将赋予 editors 用户组中的任何成员读取权限,同时保留 readers 用户组的只读权限。

更多的权限控制

使用访问控制表(ACL),你可以实现你所需的权限控制。你可以添加用户到用户组,并且灵活地控制这些用户组对每个目录的权限以达到你的需求。如果想了解上述工具的更多信息,可以执行下列的命令:

  • man usradd
  • man addgroup
  • man usermod
  • man sefacl
  • man chown
  • man chmod

via: https://www.linux.com/learn/intro-to-linux/2017/12/how-manage-users-groups-linux

作者:[Jack Wallen] 译者:imquanquan 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出