如何通过用户组和访问控制表(ACL)来管理用户
当你需要管理一台容纳多个用户的 linux 机器时,比起一些基本的用户管理工具所提供的方法,有时候你需要对这些用户采取更多的用户权限管理方式。特别是当你要管理某些用户的权限时,这个想法尤为重要。比如说,你有一个目录,某个用户组中的用户可以通过读和写的权限访问这个目录,而其他用户组中的用户对这个目录只有读的权限。在 linux 中,这是完全可以实现的。但前提是你必须先了解如何通过用户组和访问控制表(acl)来管理用户。
我们将从简单的用户开始,逐渐深入到复杂的访问控制表(acl)。你可以在你所选择的 linux 发行版完成你所需要做的一切。本文的重点是用户组,所以不会涉及到关于用户的基础知识。
为了达到演示的目的,我将假设:
你需要用下面两个用户名新建两个用户:
olivia
nathan
你需要新建以下两个用户组:
readers
editors
olivia 属于 editors 用户组,而 nathan 属于 readers 用户组。reader 用户组对/data目录只有读的权限,而 editors 用户组则对/data目录同时有读和写的权限。当然,这是个非常小的任务,但它会给你基本的信息,你可以扩展这个任务以适应你其他更大的需求。
我将在 ubuntu 16.04 server 平台上进行演示。这些命令都是通用的,唯一不同的是,要是在你的发行版中不使用sudo命令,你必须切换到 root 用户来执行这些命令。
创建用户 我们需要做的第一件事是为我们的实验创建两个用户。可以用useradd命令来创建用户,我们不只是简单地创建一个用户,而需要同时创建用户和属于他们的家目录,然后给他们设置密码。
sudouseradd-molivia
sudouseradd-mnathan
我们现在创建了两个用户,如果你看看 /home 目录,你可以发现他们的家目录(因为我们用了 -m 选项,可以在创建用户的同时创建他们的家目录。
之后,我们可以用以下命令给他们设置密码:
sudo passwd olivia
sudo passwdnathan
就这样,我们创建了两个用户。
创建用户组并添加用户
现在我们将创建 readers 和 editors 用户组,然后给它们添加用户。创建用户组的命令是:
addgroup readers
addgroupeditors
(lctt 译注:当你使用 centos 等一些 linux 发行版时,可能系统没有addgroup这个命令,推荐使用groupadd命令来替换addgroup命令以达到同样的效果)
图一:我们可以使用刚创建的新用户组了。
创建用户组后,我们需要添加我们的用户到这两个用户组。我们用以下命令来将 nathan 用户添加到 readers 用户组:
sudousermod-a-greadersnathan
用以下命令将 olivia 添加到 editors 用户组:
sudousermod-a-geditorsolivia
现在我们可以通过用户组来管理用户了。
给用户组授予目录的权限
假设你有个目录 /readers 且允许 readers 用户组的所有成员访问这个目录。首先,我们执行以下命令来更改目录所属用户组:
sudochown-r:readers/readers
接下来,执行以下命令收回目录所属用户组的写入权限:
sudochmod-rg-w/readers
然后我们执行下面的命令来收回其他用户对这个目录的访问权限(以防止任何不在 readers 组中的用户访问这个目录里的文件):
sudochmod-ro-x/readers
这时候,只有目录的所有者(root)和用户组 reader 中的用户可以访问 /reades 中的文件。
假设你有个目录 /editors ,你需要给用户组 editors 里的成员这个目录的读和写的权限。为了达到这个目的,执行下面的这些命令是必要的:
sudochown-r:editors/editors
sudochmod-rg+w/editors
sudochmod-ro-x/editors
此时 editors 用户组的所有成员都可以访问和修改其中的文件。除此之外其他用户(除了 root 之外)无法访问 /editors 中的任何文件。
使用这个方法的问题在于,你一次只能操作一个组和一个目录而已。这时候访问控制表(acl)就可以派得上用场了。
使用访问控制表(acl)
现在,让我们把这个问题变得棘手一点。假设你有一个目录 /data 并且你想给 readers 用户组的成员读取权限,并同时给 editors 用户组的成员读和写的权限。为此,你必须要用到 setfacl 命令。setfacl 命令可以为文件或文件夹设置一个访问控制表(acl)。
这个命令的结构如下:
setfacloptionx:name:y/directory
其中 option 是可选选项,x 可以是 u(用户)或者是 g (用户组),name 是用户或者用户组的名字,/directory 是要用到的目录。我们将使用 -m 选项进行修改。因此,我们给 readers 用户组添加读取权限的命令是:
sudosetfacl-mg:readers:rx-r/data
现在 readers 用户组里面的每一个用户都可以读取 /data 目录里的文件了,但是他们不能修改里面的内容。
为了给 editors 用户组里面的用户读写权限,我们执行了以下命令:
sudosetfacl-mg:editors:rwx-r/data
上述命令将赋予 editors 用户组中的任何成员读取权限,同时保留 readers 用户组的只读权限。
更多的权限控制 使用访问控制表(acl),你可以实现你所需的权限控制。你可以添加用户到用户组,并且灵活地控制这些用户组对每个目录的权限以达到你的需求。如果想了解上述工具的更多信息,可以执行下列的命令:
man usradd
man addgroup
man usermod
man sefacl
man chown
man chmod
背板连接器能取代串行连接中的SCSI应用程序
便携式投影如何选?当贝C1用实力说话
STT结构涡轮增压MRAM的分析,它的潜力究竟有多大
Silicon Lab bSi5372/71主要特性及电路图解析
助听器专用的锌空电池存储
如何通过用户组和访问控制表(ACL)来管理用户
如何解决小芯片(Chiplet)互联问题
超百亿元电池大单即将落地!
云计算运维管理的优化与改进
物联网网络层的关键技术是什么
手把手教你学LabVIEW视觉设计
电子制图设计以及DFX
如何同时使用Canny和 Sobel边缘检测器检测图像中的边缘
ZigBee模块在RFID射频识别阅读器中有着怎样的作用
重磅发布 | 国内首款4GHz,12bit高分辨率示波器 & 8G放大器芯片
OPPO Find X怎么样?它的处理器是什么?
大唐移动推出面向市场成熟可用的C-V2X车联网系统解决方案
虚拟专用服务器如何利用Ai来重塑
苹果正努力为下一代iPhone搭载更强大的AI技术
电子继电器典型故障处理流程
我们将从简单的用户开始,逐渐深入到复杂的访问控制表(acl)。你可以在你所选择的 linux 发行版完成你所需要做的一切。本文的重点是用户组,所以不会涉及到关于用户的基础知识。
为了达到演示的目的,我将假设:
你需要用下面两个用户名新建两个用户:
olivia
nathan
你需要新建以下两个用户组:
readers
editors
olivia 属于 editors 用户组,而 nathan 属于 readers 用户组。reader 用户组对/data目录只有读的权限,而 editors 用户组则对/data目录同时有读和写的权限。当然,这是个非常小的任务,但它会给你基本的信息,你可以扩展这个任务以适应你其他更大的需求。
我将在 ubuntu 16.04 server 平台上进行演示。这些命令都是通用的,唯一不同的是,要是在你的发行版中不使用sudo命令,你必须切换到 root 用户来执行这些命令。
创建用户 我们需要做的第一件事是为我们的实验创建两个用户。可以用useradd命令来创建用户,我们不只是简单地创建一个用户,而需要同时创建用户和属于他们的家目录,然后给他们设置密码。
sudouseradd-molivia
sudouseradd-mnathan
我们现在创建了两个用户,如果你看看 /home 目录,你可以发现他们的家目录(因为我们用了 -m 选项,可以在创建用户的同时创建他们的家目录。
之后,我们可以用以下命令给他们设置密码:
sudo passwd olivia
sudo passwdnathan
就这样,我们创建了两个用户。
创建用户组并添加用户
现在我们将创建 readers 和 editors 用户组,然后给它们添加用户。创建用户组的命令是:
addgroup readers
addgroupeditors
(lctt 译注:当你使用 centos 等一些 linux 发行版时,可能系统没有addgroup这个命令,推荐使用groupadd命令来替换addgroup命令以达到同样的效果)
图一:我们可以使用刚创建的新用户组了。
创建用户组后,我们需要添加我们的用户到这两个用户组。我们用以下命令来将 nathan 用户添加到 readers 用户组:
sudousermod-a-greadersnathan
用以下命令将 olivia 添加到 editors 用户组:
sudousermod-a-geditorsolivia
现在我们可以通过用户组来管理用户了。
给用户组授予目录的权限
假设你有个目录 /readers 且允许 readers 用户组的所有成员访问这个目录。首先,我们执行以下命令来更改目录所属用户组:
sudochown-r:readers/readers
接下来,执行以下命令收回目录所属用户组的写入权限:
sudochmod-rg-w/readers
然后我们执行下面的命令来收回其他用户对这个目录的访问权限(以防止任何不在 readers 组中的用户访问这个目录里的文件):
sudochmod-ro-x/readers
这时候,只有目录的所有者(root)和用户组 reader 中的用户可以访问 /reades 中的文件。
假设你有个目录 /editors ,你需要给用户组 editors 里的成员这个目录的读和写的权限。为了达到这个目的,执行下面的这些命令是必要的:
sudochown-r:editors/editors
sudochmod-rg+w/editors
sudochmod-ro-x/editors
此时 editors 用户组的所有成员都可以访问和修改其中的文件。除此之外其他用户(除了 root 之外)无法访问 /editors 中的任何文件。
使用这个方法的问题在于,你一次只能操作一个组和一个目录而已。这时候访问控制表(acl)就可以派得上用场了。
使用访问控制表(acl)
现在,让我们把这个问题变得棘手一点。假设你有一个目录 /data 并且你想给 readers 用户组的成员读取权限,并同时给 editors 用户组的成员读和写的权限。为此,你必须要用到 setfacl 命令。setfacl 命令可以为文件或文件夹设置一个访问控制表(acl)。
这个命令的结构如下:
setfacloptionx:name:y/directory
其中 option 是可选选项,x 可以是 u(用户)或者是 g (用户组),name 是用户或者用户组的名字,/directory 是要用到的目录。我们将使用 -m 选项进行修改。因此,我们给 readers 用户组添加读取权限的命令是:
sudosetfacl-mg:readers:rx-r/data
现在 readers 用户组里面的每一个用户都可以读取 /data 目录里的文件了,但是他们不能修改里面的内容。
为了给 editors 用户组里面的用户读写权限,我们执行了以下命令:
sudosetfacl-mg:editors:rwx-r/data
上述命令将赋予 editors 用户组中的任何成员读取权限,同时保留 readers 用户组的只读权限。
更多的权限控制 使用访问控制表(acl),你可以实现你所需的权限控制。你可以添加用户到用户组,并且灵活地控制这些用户组对每个目录的权限以达到你的需求。如果想了解上述工具的更多信息,可以执行下列的命令:
man usradd
man addgroup
man usermod
man sefacl
man chown
man chmod
背板连接器能取代串行连接中的SCSI应用程序
便携式投影如何选?当贝C1用实力说话
STT结构涡轮增压MRAM的分析,它的潜力究竟有多大
Silicon Lab bSi5372/71主要特性及电路图解析
助听器专用的锌空电池存储
如何通过用户组和访问控制表(ACL)来管理用户
如何解决小芯片(Chiplet)互联问题
超百亿元电池大单即将落地!
云计算运维管理的优化与改进
物联网网络层的关键技术是什么
手把手教你学LabVIEW视觉设计
电子制图设计以及DFX
如何同时使用Canny和 Sobel边缘检测器检测图像中的边缘
ZigBee模块在RFID射频识别阅读器中有着怎样的作用
重磅发布 | 国内首款4GHz,12bit高分辨率示波器 & 8G放大器芯片
OPPO Find X怎么样?它的处理器是什么?
大唐移动推出面向市场成熟可用的C-V2X车联网系统解决方案
虚拟专用服务器如何利用Ai来重塑
苹果正努力为下一代iPhone搭载更强大的AI技术
电子继电器典型故障处理流程