Sono nuovo nell'amministrazione del sistema e ho una query relativa all'autorizzazione. Ho un gruppo chiamato administration
. All'interno dell'administration
gruppo, ho gli utenti user1
, user2
, user3
, superuser
. Tutti gli utenti sono nell'administration
gruppo. Ora devo concedere i permessi all'utente superuser
per poter visualizzare il /home
directory degli altri utenti. Tuttavia, non voglio user1
, user2
, user3
per vedere la casa di qualsiasi altro utente diverso da se stesso. (Ovvero, user1
dovrebbe essere in grado di vedere solo user1
è a casa e così via).
Ho creato gli utenti ei gruppi e ho assegnato tutti gli utenti al gruppo. Come devo specificare i permessi per il superuser
adesso?
In altre parole, sto pensando di avere due gruppi (diciamo NormalUsers
e Superuser
). Gli NormalUsers
il gruppo avrà gli utenti user1
, user2
e user3
. Il Superuser
il gruppo avrà solo l'utente Superuser
. Ora ho bisogno del Superuser
per avere pieno accesso ai file degli utenti nel gruppo NormalUsers
. È possibile in Linux?
Risposta accettata:
Se gli utenti collaborano, è possibile utilizzare gli elenchi di controllo di accesso (ACL). Imposta un ACL nella directory home di user1
(e amici) che concede l'accesso in lettura a superuser
. Imposta anche l'ACL predefinito, per i file appena creati, e anche l'ACL per i file esistenti.
setfacl -R -m user:superuser:rx ~user1
setfacl -d -R -m user:superuser:rx ~user1
user1
può modificare l'ACL sui suoi file se lo desidera.
Se vuoi dare sempre superuser
accesso in lettura a user1
's, puoi creare un'altra vista delle home directory degli utenti con permessi diversi, con bindfs.
mkdir -p ~superuser/spyglass/user1
chown superuser ~superuser/spyglass
chmod 700 ~superuser/spyglass
bindfs -p a+rX-w ~user1 ~superuser/spyglass/user1
I file a cui si accede tramite ~superuser/spyglass/user1 sono leggibili dal mondo intero. Oltre alle autorizzazioni, ~superuser/spyglass/user1
è una vista di user1
la home directory di Da superuser
è l'unico utente che può accedere a ~superuser/spyglass
, solo superuser
può trarne vantaggio.