0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

如何通过用户组和访问控制表(ACL)来管理用户

Linux爱好者 2017-12-25 14:30 次阅读

当你需要管理一台容纳多个用户的 Linux 机器时,比起一些基本的用户管理工具所提供的方法,有时候你需要对这些用户采取更多的用户权限管理方式。特别是当你要管理某些用户的权限时,这个想法尤为重要。比如说,你有一个目录,某个用户组中的用户可以通过读和写的权限访问这个目录,而其他用户组中的用户对这个目录只有读的权限。在 Linux 中,这是完全可以实现的。但前提是你必须先了解如何通过用户组和访问控制表(ACL)来管理用户。

我们将从简单的用户开始,逐渐深入到复杂的访问控制表(ACL)。你可以在你所选择的 Linux 发行版完成你所需要做的一切。本文的重点是用户组,所以不会涉及到关于用户的基础知识。

为了达到演示的目的,我将假设:

你需要用下面两个用户名新建两个用户:

  • olivia

  • nathan

你需要新建以下两个用户组:

olivia 属于 editors 用户组,而 nathan 属于 readers 用户组。reader 用户组对/DATA目录只有读的权限,而 editors 用户组则对/DATA目录同时有读和写的权限。当然,这是个非常小的任务,但它会给你基本的信息,你可以扩展这个任务以适应你其他更大的需求。

我将在 Ubuntu 16.04 Server 平台上进行演示。这些命令都是通用的,唯一不同的是,要是在你的发行版中不使用sudo命令,你必须切换到 root 用户来执行这些命令。

创建用户

我们需要做的第一件事是为我们的实验创建两个用户。可以用useradd命令来创建用户,我们不只是简单地创建一个用户,而需要同时创建用户和属于他们的家目录,然后给他们设置密码。

sudouseradd-molivia

sudouseradd-mnathan

我们现在创建了两个用户,如果你看看 /home 目录,你可以发现他们的家目录(因为我们用了 -m 选项,可以在创建用户的同时创建他们的家目录。

之后,我们可以用以下命令给他们设置密码:

sudo passwd olivia

sudo passwdnathan

就这样,我们创建了两个用户。

创建用户组并添加用户

现在我们将创建 readers 和 editors 用户组,然后给它们添加用户。创建用户组的命令是:

addgroup readers

addgroupeditors

(LCTT 译注:当你使用 CentOS 等一些 Linux 发行版时,可能系统没有addgroup这个命令,推荐使用groupadd命令来替换addgroup命令以达到同样的效果)

如何通过用户组和访问控制表(ACL)来管理用户

图一:我们可以使用刚创建的新用户组了。

创建用户组后,我们需要添加我们的用户到这两个用户组。我们用以下命令来将 nathan 用户添加到 readers 用户组:

sudousermod-a-Greadersnathan

用以下命令将 olivia 添加到 editors 用户组:

sudousermod-a-Geditorsolivia

现在我们可以通过用户组来管理用户了。

给用户组授予目录的权限

假设你有个目录 /READERS 且允许 readers 用户组的所有成员访问这个目录。首先,我们执行以下命令来更改目录所属用户组:

sudochown-R:readers/READERS

接下来,执行以下命令收回目录所属用户组的写入权限:

sudochmod-Rg-w/READERS

然后我们执行下面的命令来收回其他用户对这个目录的访问权限(以防止任何不在 readers 组中的用户访问这个目录里的文件):

sudochmod-Ro-x/READERS

这时候,只有目录的所有者(root)和用户组 reader 中的用户可以访问 /READES 中的文件。

假设你有个目录 /EDITORS ,你需要给用户组 editors 里的成员这个目录的读和写的权限。为了达到这个目的,执行下面的这些命令是必要的:

sudochown-R:editors/EDITORS

sudochmod-Rg+w/EDITORS

sudochmod-Ro-x/EDITORS

此时 editors 用户组的所有成员都可以访问和修改其中的文件。除此之外其他用户(除了 root 之外)无法访问 /EDITORS 中的任何文件。

使用这个方法的问题在于,你一次只能操作一个组和一个目录而已。这时候访问控制表(ACL)就可以派得上用场了。

使用访问控制表(ACL)

现在,让我们把这个问题变得棘手一点。假设你有一个目录 /DATA 并且你想给 readers 用户组的成员读取权限,并同时给 editors 用户组的成员读和写的权限。为此,你必须要用到 setfacl 命令。setfacl 命令可以为文件或文件夹设置一个访问控制表(ACL)。

这个命令的结构如下:

setfaclOPTIONX:NAME:Y/DIRECTORY

其中 OPTION 是可选选项,X 可以是 u(用户)或者是 g (用户组),NAME 是用户或者用户组的名字,/DIRECTORY 是要用到的目录。我们将使用 -m 选项进行修改。因此,我们给 readers 用户组添加读取权限的命令是:

sudosetfacl-mg:readers:rx-R/DATA

现在 readers 用户组里面的每一个用户都可以读取 /DATA 目录里的文件了,但是他们不能修改里面的内容。

为了给 editors 用户组里面的用户读写权限,我们执行了以下命令:

sudosetfacl-mg:editors:rwx-R/DATA

上述命令将赋予 editors 用户组中的任何成员读取权限,同时保留 readers 用户组的只读权限。

更多的权限控制

使用访问控制表(ACL),你可以实现你所需的权限控制。你可以添加用户到用户组,并且灵活地控制这些用户组对每个目录的权限以达到你的需求。如果想了解上述工具的更多信息,可以执行下列的命令:

  • man usradd

  • man addgroup

  • man usermod

  • man sefacl

  • man chown

  • man chmod


声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • Linux
    +关注

    关注

    87

    文章

    11219

    浏览量

    208872
  • ACL
    ACL
    +关注

    关注

    0

    文章

    61

    浏览量

    11963

原文标题:如何在 Linux 系统中通过用户组来管理用户

文章出处:【微信号:LinuxHub,微信公众号:Linux爱好者】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    Linux用户用户组的知识科普

    在 linux 中,用户帐号,用户密码,用户组信息和用户组密码均是存放在不同的配置文件中的。
    发表于 10-16 16:50 379次阅读
    Linux<b class='flag-5'>用户</b>与<b class='flag-5'>用户组</b>的知识科普

    [bug反馈] 为什么会无缘无故降级用户组!!

    你好,最近不清楚啥原因,我的用户组本来是高级工程师,用好多心血才达到的,一下子突然变为技术员,是什么原因能说明一下吗管理员,或是帮我恢复一下可以吗?现在发邮件 发QQ反馈没有任何回复,这样子我不开心咯。谢谢
    发表于 01-04 23:10

    水贴——用户组显示等待验证会员

    我的用户组一直显示等待验证会员,多次验证邮箱,可是显示邮件发送,但是邮箱却从来没收到过验证邮件,哪位管理员能帮忙解决一下这个问题,谢谢!
    发表于 08-02 13:13

    用户组问题

    我的用户组验证不了,怎么弄啊谢谢
    发表于 10-12 10:50

    想问一下如何升级用户组

    我已经输入了手机验证码了,但用户组却没有变化,是还需要什么别的条件吗?
    发表于 10-15 09:52

    我己经通过实名认证,怎么还在等待验证会员用户组

    我己经通过实名认证,怎么还在等待验证会员用户组?在用户组里点立即验证也没用。请版主解决,谢谢!
    发表于 10-20 16:16

    我己经通过实名认证,怎么还在等待验证会员用户组?再想验证己经没有可点的按钮。

    我己经通过实名认证,怎么还在等待验证会员用户组?在用户组里点立即验证也没用。请版主解决,谢谢!
    发表于 10-21 11:22

    【4412开发板】理解和掌握linux用户用户组、权限等方法

    的列表中。可以以为单位分配资源。隶属于同一个的成员可以访问同一资源。4.4.1 用户组的操作使用
    发表于 11-18 13:45

    Linux如何管理用户用户组

    用户用户组管理的作用Linux如何管理用户用户组
    发表于 12-17 07:41

    【鲁班猫】通过添加udev规则实现用户组访问SPI和I2C设备

    | 在使用鲁班猫的过程中,发现cat用户并没有配置好外设的使用权限。最简单的办法就是sudo改权限,让cat用户能临时访问设备(重启后会失效)。有没有什么办法能一劳永逸的呢?当然有 ,就是通过
    发表于 04-08 10:35

    通过添加udev规则实现用户组访问SPI和I2C及GPIO设备

    \" 这个配置规则,是告诉udev,只要是子系统硬件匹配spidev和i2c-dev的,就把该设备的用户组调整成devuser,权限改成0660 接下来我们需要新建devuser,并把
    发表于 08-25 21:58

    什么是接入控制表(ACL)

    什么是接入控制表(ACL) 访问控制列表(Access Control List,ACL) 是路由器接口的指令列表,用来
    发表于 04-06 09:05 1198次阅读

    整理了 Linux 用户用户组管理的相关内容

    用户进行跟踪,并控制他们对系统资源的访问;另一方面也可以帮助用户组织文件,并为用户提供安全性保护。 每个
    的头像 发表于 02-06 15:16 2929次阅读
    整理了 Linux <b class='flag-5'>用户</b>及<b class='flag-5'>用户组</b><b class='flag-5'>管理</b>的相关内容

    Linux用户用户组的关系详解

    在 linux 中,用户帐号,用户密码,用户组信息和用户组密码均是存放在不同的配置文件中的。
    的头像 发表于 06-13 14:30 7068次阅读

    访问控制列表什么?ACL的功能特点

    访问控制列表(Access Control List,简称ACL)是一种网络安全机制,用于定义和实施对网络资源或系统对象的访问权限。ACL
    的头像 发表于 04-03 13:57 698次阅读