当你需要管理一台容纳多个使用者的 Linux 机器时,比起一些基本的使用者管理工具所提供的方法,有时候你需要对这些使用者采取更多的使用者许可权管理方式。特别是当你要管理某些使用者的许可权时,这个想法尤为重要。比如说,你有一个目录,某个使用者组中的使用者可以通过读和写的许可权访问这个目录,而其他使用者组中的使用者对这个目录只有读的许可权。在 Linux 中,这是完全可以实现的。但前提是你必须先了解如何通过使用者组和访问控制表(ACL)来管理使用者。
我们将从简单的使用者开始,逐渐深入到复杂的访问控制表(ACL)。你可以在你所选择的 Linux 发行版完成你所需要做的一切。本文的重点是使用者组,所以不会涉及到关于使用者的基础知识。
为了达到演示的目的,我将假设:
你需要用下面两个使用者名称新建两个使用者:
olivia
nathan
你需要新建以下两个使用者组:
readers
editors
olivia 属于 editors 使用者组,而 nathan 属于 readers 使用者组。 reader 使用者组对 /DATA 目录只有读的许可权,而 editors 使用者组则对 /DATA 目录同时有读和写的许可权。当然,这是个非常小的任务,但它会给你基本的资讯,你可以扩充套件这个任务以适应你其他更大的需求。
我将在 Ubuntu 16.04 Server 平台上进行演示。这些命令都是通用的,唯一不同的是,要是在你的发行版中不使用 sudo 命令,你必须切换到 root 使用者来执行这些命令。
建立使用者
我们需要做的第一件事是为我们的实验建立两个使用者。可以用 useradd 命令来建立使用者,我们不只是简单地建立一个使用者,而需要同时建立使用者和属于他们的家目录,然后给他们设定密码。
sudouseradd-m olivia
sudouseradd-m nathan
我们现在建立了两个使用者,如果你看看 /home 目录,你可以发现他们的家目录(因为我们用了 -m 选项,可以在建立使用者的同时建立他们的家目录。
之后,我们可以用以下命令给他们设定密码:
sudopasswd olivia
sudopasswd nathan
就这样,我们建立了两个使用者。
建立使用者组并新增使用者
现在我们将建立 readers 和 editors 使用者组,然后给它们新增使用者。建立使用者组的命令是:
addgroup readers
addgroup editors
(LCTT 译注:当你使用 CentOS 等一些 Linux 发行版时,可能系统没有 addgroup 这个命令,推荐使用 groupadd 命令来替换 addgroup 命令以达到同样的效果)
图一:我们可以使用刚建立的新使用者组了。
建立使用者组后,我们需要新增我们的使用者到这两个使用者组。我们用以下命令来将 nathan 使用者新增到 readers 使用者组:
sudousermod-a -G readers nathan
用以下命令将 olivia 新增到 editors 使用者组:
sudousermod-a -G editors olivia
现在我们可以通过使用者组来管理使用者了。
给使用者组授予目录的许可权
假设你有个目录 /READERS 且允许 readers 使用者组的所有成员访问这个目录。首先,我们执行以下命令来更改目录所属使用者组:
sudochown-R :readers /READERS
接下来,执行以下命令收回目录所属使用者组的写入许可权:
sudochmod-R g-w/READERS
然后我们执行下面的命令来收回其他使用者对这个目录的访问许可权(以防止任何不在 readers 组中的使用者访问这个目录里的档案):
sudochmod-R o-x /READERS
这时候,只有目录的所有者(root)和使用者组 reader 中的使用者可以访问 /READES 中的档案。
假设你有个目录 /EDITORS ,你需要给使用者组 editors 里的成员这个目录的读和写的许可权。为了达到这个目的,执行下面的这些命令是必要的:
sudochown-R :editors /EDITORS
sudochmod-R g+w/EDITORS
sudochmod-R o-x /EDITORS
此时 editors 使用者组的所有成员都可以访问和修改其中的档案。除此之外其他使用者(除了 root 之外)无法访问 /EDITORS 中的任何档案。
使用这个方法的问题在于,你一次只能操作一个组和一个目录而已。这时候访问控制表(ACL)就可以派得上用场了。
使用访问控制表(ACL)
现在,让我们把这个问题变得棘手一点。假设你有一个目录 /DATA 并且你想给 readers 使用者组的成员读取许可权,并同时给 editors 使用者组的成员读和写的许可权。为此,你必须要用到 setfacl 命令。 setfacl 命令可以为档案或资料夹设定一个访问控制表(ACL)。
这个命令的结构如下:
setfacl OPTION X:NAME:Y /DIRECTORY
其中 OPTION 是可选选项,X 可以是 u(使用者)或者是 g (使用者组),NAME 是使用者或者使用者组的名字,/DIRECTORY 是要用到的目录。我们将使用 -m 选项进行修改。因此,我们给 readers 使用者组新增读取许可权的命令是:
sudosetfacl-m g:readers:rx -R /DATA
现在 readers 使用者组里面的每一个使用者都可以读取 /DATA 目录里的档案了,但是他们不能修改里面的内容。
为了给 editors 使用者组里面的使用者读写许可权,我们执行了以下命令:
sudosetfacl-m g:editors:rwx -R /DATA
上述命令将赋予 editors 使用者组中的任何成员读取许可权,同时保留 readers 使用者组的只读许可权。
更多的许可权控制
使用访问控制表(ACL),你可以实现你所需的许可权控制。你可以新增使用者到使用者组,并且灵活地控制这些使用者组对每个目录的许可权以达到你的需求。如果想了解上述工具的更多资讯,可以执行下列的命令:
man usradd
man addgroup
man usermod
man sefacl
man chown
man chmod