例题
同一群组microsoft下的两个账号justmine001和justmine002需要共同拥有目录/microsoft/eshop
的开发权,以便进行协同工作,但是其他人不允许进入和查阅该目录。
从例题可以分析出:
创建账户相关信息
groupadd microsoft ; 新增群组
useradd -G microsoft justmine001; 新增账户,并加入到群组microsoft
useradd -G microsoft justmine002; 新增账户,并加入到群组microsoft
查阅账号属性
id justmine001;
id justmine002;
搭建环境
创建开发目录
mkdir -p /microsoft/eshop
查询
ll -d /microsoft/eshop
设置传统权限
从上图可以看到,开发目录的拥有者和群组都是root,权限为rwxr-xr-x,所以justmine001和justmine002可以查阅(ls)和进入(cd)该目录,但是都不能在目录中创建文件。
首先,设置目录群组为microsoft,其次,其他人对该目录没有任何权限,所以应该设置权限为770。如果不理解,请阅读上一篇详解Linux文档属性、拥有者、群组、权限、差异
chgrp microsoft /microsoft/eshop; 分配群组
chmod 770 /microsoft/eshop; 设置权限
首先测试justmine账号(其他人)的权限,如下:
其他人无法访问ls
和进入cd
该目录,已达到预期效果。
测试同群组下的justmine001和justmine002账号,再次创建文件,如下:
为了淋漓尽致的展现,我将文件创建权限从拒绝到许可的整个过程都截取下来了!!!
从上面可以看到,文件test和test1的拥有者和群组分别为justmine001和justmine002,虽然用户justmine001可以删除justmine002创建的文件test1(目录权限的控制范围),但是却不能编辑它(文件权限的控制范围)。那该肿么办呢,还是无法完成协作工作啊。第一种方法是我们将文件test1权限设置为777,这样文件对任何人都可读、可写、可编辑,再加上目录权限的控制,其他人访问不了文件test1,没毛病。第二种方法,变更它们创建的文件群组为microsoft,这样也可以实现协作工作,貌似这种方法才是切合现实的。不过,每次都要管理员去做这件事情,那岂不是太麻烦他老人家,多不好意思啊,嘿嘿。正所谓,车道山前必有路,使用Linux特殊权限SGID可以完美实现同一群组下的任何账户创建的文件都拥有相同的群组microsoft(详情请阅读:理解Linux文档的默认安全机制、隐藏属性、特殊权限)。
备注:Linux文档权限是一级一级的往下控制的,所以任何读、写、编辑文件的前提就是要拥有能够进入文件所属目录的权限。
设置特殊权限
为目录/microsoft/eshop
设置SGID权限
chmod 2770 /microsoft/eshop
使用justmine002账号创建文件,查询文件权限:
从上图可以看到,justmine002所属的文件群组自动变更成microsoft,而umask默认为002,两人同属一个群组,自然就可以互相修改彼此的文件了!!!
总结
Linux系统管理员的主要任务其实就是如何管理好系统的文件系统,那么对于文档多租户管理,首先新建一个统一的群组,然后将目录权限设置为2770,最后把需要协作工作的用户加入这个群组,就是这么简单。往往,结果很简短,但是思考分析过程就如同西天取经,希望把整个过程分享给大家,不仅要知其然,更要知其所以然,这样才能举一反三,融汇贯通,达到灵活运用的目的。
相关文章: