Exemples de questions
Deux comptes justmine001 et justmine002 du même groupe Microsoft doivent détenir conjointement les droits de développement du répertoire /microsoft/eshop
afin de travailler ensemble, mais les autres ne sont pas autorisés à accéder et à consulter le répertoire.
Il peut être analysé à partir des exemples de questions :
Créer des informations relatives au compte
groupadd Microsoft ; Ajouter un nouveau groupe
useradd -G microsoft justmine001 ; Ajoutez un nouveau compte et rejoignez le groupe Microsoft
useradd -G Microsoft Justmine002 ; Ajoutez un nouveau compte et rejoignez le groupe Microsoft
Afficher les propriétés du compte
id justmine001;
identifiant juste le mien002 ;
Environnement de construction
Créer un répertoire de développement
mkdir -p /microsoft/eshop
Requête
ll -d /microsoft/eshop
Définir les autorisations traditionnelles
Comme vous pouvez le voir sur l'image ci-dessus, le propriétaire et le groupe du répertoire de développement sont root et les autorisations sont rwxr-xr-x. Par conséquent, justmine001 et justmine002 peuvent afficher (ls) et entrer (cd) le répertoire, mais. ils ne peuvent pas accéder au répertoire Créer un fichier dans .
Tout d'abord, définissez le groupe d'annuaire sur Microsoft. Deuxièmement, les autres n'ont aucune autorisation sur l'annuaire, les autorisations doivent donc être définies sur 770. Si vous ne comprenez pas, veuillez lire l'article précédent pour expliquer les attributs, les propriétaires, les groupes, les autorisations et les différences des documents Linux
chgrp microsoft /microsoft/eshop ; attribuer un groupe
chmod 770 /microsoft/eshop ; Définir les autorisations
Testez d'abord les autorisations du compte justmine (autres personnes), comme suit :
Les autres ne peuvent pas accéderls
和进入cd
à ce répertoire, ce qui a produit l'effet souhaité.
Testez les comptes justmine001 et justmine002 dans le même groupe et créez à nouveau les fichiers, comme suit :
Afin de le montrer de manière vivante, j'ai découpé tout le processus d'autorisation de création de fichier, du refus à l'autorisation ! ! !
Comme vous pouvez le voir ci-dessus, les propriétaires et les groupes de fichiers test et test1 sont respectivement justmine001 et justmine002. Bien que l'utilisateur justmine001 puisse supprimer le fichier test1 créé par justmine002 (la portée de contrôle des autorisations du répertoire), il ne peut pas le modifier (le fichier test1 créé par justmine002). portée de contrôle des autorisations de fichiers). Alors que dois-je faire ? Je n'arrive toujours pas à terminer le travail collaboratif. La première méthode consiste à définir les autorisations du fichier test1 sur 777, afin que le fichier puisse être lu, écrit et modifié par n'importe qui. Couplée au contrôle des autorisations du répertoire, d'autres ne peuvent pas accéder au fichier test1, il n'y a donc aucun problème. . La deuxième méthode consiste à remplacer le groupe de fichiers qu'ils ont créé par Microsoft, afin que le travail collaboratif puisse également être réalisé. Il semble que cette méthode soit réaliste. Cependant, si l'administrateur devait faire cela à chaque fois, cela ne serait-il pas trop gênant pour lui ? Comme le dit le proverbe, il doit y avoir un chemin avant la montagne. En utilisant l'autorisation spéciale Linux, SGID peut parfaitement réaliser que les fichiers créés par n'importe quel compte sous le même groupe ont le même groupe Microsoft (pour plus de détails, veuillez lire : Comprendre le mécanisme de sécurité par défaut). et attributs cachés des documents Linux, autorisations spéciales).
Remarque : les autorisations des documents Linux sont contrôlées niveau par niveau, donc la condition préalable pour lire, écrire et modifier des fichiers est d'avoir l'autorisation d'accéder au répertoire auquel appartient le fichier.
Définir des autorisations spéciales
Définir les autorisations SGID pour le répertoire/microsoft/eshop
chmod 2770 /microsoft/eshop
Utilisez le compte justmine002 pour créer des fichiers et interroger les autorisations des fichiers :
Comme vous pouvez le voir sur l'image ci-dessus, le groupe de fichiers auquel justmine002 appartient est automatiquement remplacé par Microsoft, et l'umask est par défaut 002. Les deux appartiennent au même groupe, ils peuvent donc naturellement modifier les fichiers de chacun ! ! !
Résumé
La tâche principale de l'administrateur système Linux est en fait de savoir comment gérer le système de fichiers du système. Ainsi, pour la gestion multi-tenant des documents, créez d'abord un groupe unifié, puis définissez les autorisations du répertoire sur 2770, et enfin ajoutez les utilisateurs qui doivent travailler en collaboration. pour cela, les groupes sont aussi simples que cela. Souvent, les résultats sont très brefs, mais le processus de réflexion et d'analyse revient à rechercher des écritures occidentales. J'espère partager l'ensemble du processus avec tout le monde, non seulement pour savoir de quoi il s'agit, mais aussi pour savoir pourquoi il en est ainsi. nous pouvons tirer des conclusions à partir d'une instance, l'intégrer et atteindre l'objectif d'une application flexible.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!