Beispielfragen
Zwei Konten justmine001 und justmine002 unter derselben Microsoft-Gruppe müssen gemeinsam die Entwicklungsrechte des Verzeichnisses besitzen /microsoft/eshop
, um zusammenarbeiten zu können, andere dürfen das Verzeichnis jedoch nicht betreten und anzeigen.
Es kann anhand der Beispielfragen analysiert werden:
Erstellen Sie kontobezogene Informationen
groupadd microsoft; Eine neue Gruppe hinzufügen
Kontoeigenschaften anzeigen
useradd -G microsoft justmine001; Fügen Sie ein neues Konto hinzu und treten Sie der Gruppe microsoft bei useradd -G microsoft justmine002; Fügen Sie ein neues Konto hinzu und treten Sie der Gruppe microsoft bei
id justmine001;
id justmine002;
Umgebung erstellen
Entwicklungsverzeichnis erstellen
mkdir -p /microsoft/eshop
Abfrage
ll -d /microsoft/eshop
Legen Sie herkömmliche Berechtigungen fest
Wie Sie auf dem Bild oben sehen können, sind der Eigentümer und die Gruppe des Entwicklungsverzeichnisses root und die Berechtigungen sind rwxr-xr-x. Daher können justmine001 und justmine002 das Verzeichnis anzeigen (ls) und betreten (cd). Sie können das Verzeichnis nicht betreten.
Stellen Sie zunächst die Verzeichnisgruppe auf Microsoft ein. Zweitens haben andere keine Berechtigungen für das Verzeichnis, daher sollten die Berechtigungen auf 770 eingestellt werden. Wenn Sie es nicht verstehen, lesen Sie bitte den vorherigen Artikel, um die Attribute, Eigentümer, Gruppen, Berechtigungen und Unterschiede von Linux-Dokumenten zu erläutern
chgrp microsoft /microsoft/eshop; Gruppe zuweisen
chmod 770 /microsoft/eshop; Berechtigungen festlegenTesten Sie zunächst die Berechtigungen des justmine-Kontos (andere Personen) wie folgt:
Andere können nicht auf dieses Verzeichnis zugreifen
, was den gewünschten Effekt erzielt hat.
ls
和进入cd
Testen Sie die Konten justmine001 und justmine002 in derselben Gruppe und erstellen Sie die Dateien wie folgt erneut:
Um es anschaulich zu zeigen, habe ich den gesamten Prozess der Dateierstellungsberechtigungen von der Verweigerung bis zur Erlaubnis herausgeschnitten! ! !
Wie Sie oben sehen können, sind die Eigentümer und Gruppen der Dateien test und test1 jeweils justmine001 und justmine002. Der Benutzer justmine001 kann zwar die von justmine002 erstellte Datei test1 löschen (Kontrollbereich der Verzeichnisberechtigungen), sie jedoch nicht bearbeiten (Kontrollbereich der Dateiberechtigungen). Was soll ich also tun? Ich kann die gemeinsame Arbeit immer noch nicht abschließen. Die erste Methode besteht darin, die Berechtigungen der Datei test1 auf 777 zu setzen, sodass die Datei von jedem gelesen, geschrieben und bearbeitet werden kann. In Verbindung mit der Kontrolle der Verzeichnisberechtigungen können andere nicht auf die Datei test1 zugreifen, sodass kein Problem besteht . Die zweite Methode besteht darin, die von ihnen erstellte Dateigruppe auf Microsoft umzustellen, sodass auch eine gemeinsame Arbeit möglich ist. Diese Methode scheint realistisch zu sein. Wenn der Administrator dies jedoch jedes Mal tun muss, wäre es dann nicht zu mühsam für ihn, hehe? Wie das Sprichwort sagt, muss es einen Weg vor dem Berg geben. Mithilfe der Linux-Sonderberechtigung kann SGID perfekt erkennen, dass Dateien, die von einem beliebigen Konto unter derselben Gruppe erstellt wurden, derselben Gruppe von Microsoft angehören (weitere Informationen finden Sie unter: Den Standardsicherheitsmechanismus verstehen). und versteckte Attribute von Linux-Dokumenten, Sonderberechtigungen).
Hinweis: Linux-Dokumentberechtigungen werden Ebene für Ebene gesteuert. Voraussetzung für das Lesen, Schreiben und Bearbeiten von Dateien ist daher die Berechtigung zum Betreten des Verzeichnisses, zu dem die Datei gehört.
Sonderberechtigungen festlegen
Legen Sie SGID-Berechtigungen für das Verzeichnis fest
/microsoft/eshop
chmod 2770 /microsoft/eshop
Verwenden Sie das Konto justmine002, um Dateien zu erstellen und Dateiberechtigungen abzufragen:
Wie Sie auf dem Bild oben sehen können, wird die Dateigruppe, zu der justmine002 gehört, automatisch in Microsoft geändert, und die Umask ist standardmäßig auf 002 eingestellt. Die beiden gehören zur selben Gruppe, sodass sie natürlich die Dateien des anderen ändern können! ! !
ZusammenfassungDie Hauptaufgabe des Linux-Systemadministrators besteht eigentlich darin, das Dateisystem des Systems zu verwalten. Erstellen Sie für die mandantenfähige Verwaltung von Dokumenten zunächst eine einheitliche Gruppe, legen Sie dann die Verzeichnisberechtigungen auf 2770 fest und fügen Sie schließlich die Benutzer hinzu, die arbeiten müssen So einfach ist die Zusammenarbeit mit diesen Gruppen. Oft sind die Ergebnisse sehr kurz, aber der Prozess des Denkens und Analysierens ist wie die Suche nach heiligen Schriften aus dem Westen. Ich hoffe, den gesamten Prozess mit allen teilen zu können, nicht nur um zu erfahren, was es ist, sondern auch um zu verstehen, warum es so ist Wir können Schlussfolgerungen aus einer Instanz ziehen, diese integrieren und den Zweck einer flexiblen Anwendung erreichen.
Das obige ist der detaillierte Inhalt vonAnwendung mandantenfähiger Verwaltungstechniken im Linux-Dateisystem. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!