如何在Linux系統(tǒng)中通過用戶組來管理用戶
本教程可以了解如何通過用戶組和訪問控制表(ACL)來管理用戶。
當(dāng)你需要管理一臺(tái)容納多個(gè)用戶的 Linux 機(jī)器時(shí),比起一些基本的用戶管理工具所提供的方法,有時(shí)候你需要對(duì)這些用戶采取更多的用戶權(quán)限管理方式。特別是當(dāng)你要管理某些用戶的權(quán)限時(shí),這個(gè)想法尤為重要。比如說,你有一個(gè)目錄,某個(gè)用戶組中的用戶可以通過讀和寫的權(quán)限訪問這個(gè)目錄,而其他用戶組中的用戶對(duì)這個(gè)目錄只有讀的權(quán)限。在 Linux 中,這是完全可以實(shí)現(xiàn)的。但前提是你必須先了解如何通過用戶組和訪問控制表(ACL)來管理用戶。
我們將從簡單的用戶開始,逐漸深入到復(fù)雜的訪問控制表(ACL)。你可以在你所選擇的 Linux 發(fā)行版完成你所需要做的一切。本文的重點(diǎn)是用戶組,所以不會(huì)涉及到關(guān)于用戶的基礎(chǔ)知識(shí)。
為了達(dá)到演示的目的,我將假設(shè):
你需要用下面兩個(gè)用戶名新建兩個(gè)用戶:
- olivia
- nathan
你需要新建以下兩個(gè)用戶組:
- readers
- editors
olivia 屬于 editors 用戶組,而 nathan 屬于 readers 用戶組。reader 用戶組對(duì) /DATA 目錄只有讀的權(quán)限,而 editors 用戶組則對(duì) /DATA 目錄同時(shí)有讀和寫的權(quán)限。當(dāng)然,這是個(gè)非常小的任務(wù),但它會(huì)給你基本的信息,你可以擴(kuò)展這個(gè)任務(wù)以適應(yīng)你其他更大的需求。
我將在 Ubuntu 16.04 Server 平臺(tái)上進(jìn)行演示。這些命令都是通用的,***不同的是,要是在你的發(fā)行版中不使用 sudo 命令,你必須切換到 root 用戶來執(zhí)行這些命令。
創(chuàng)建用戶
我們需要做的***件事是為我們的實(shí)驗(yàn)創(chuàng)建兩個(gè)用戶。可以用 useradd 命令來創(chuàng)建用戶,我們不只是簡單地創(chuàng)建一個(gè)用戶,而需要同時(shí)創(chuàng)建用戶和屬于他們的家目錄,然后給他們?cè)O(shè)置密碼。
- sudo useradd -m olivia
- sudo useradd -m nathan
我們現(xiàn)在創(chuàng)建了兩個(gè)用戶,如果你看看 /home 目錄,你可以發(fā)現(xiàn)他們的家目錄(因?yàn)槲覀冇昧?-m 選項(xiàng),可以在創(chuàng)建用戶的同時(shí)創(chuàng)建他們的家目錄。
之后,我們可以用以下命令給他們?cè)O(shè)置密碼:
- sudo passwd olivia
- sudo passwd nathan
就這樣,我們創(chuàng)建了兩個(gè)用戶。
創(chuàng)建用戶組并添加用戶
現(xiàn)在我們將創(chuàng)建 readers 和 editors 用戶組,然后給它們添加用戶。創(chuàng)建用戶組的命令是:
- addgroup readers
- addgroup editors
(LCTT 譯注:當(dāng)你使用 CentOS 等一些 Linux 發(fā)行版時(shí),可能系統(tǒng)沒有 addgroup 這個(gè)命令,推薦使用 groupadd 命令來替換 addgroup 命令以達(dá)到同樣的效果)
圖一:我們可以使用剛創(chuàng)建的新用戶組了。
創(chuàng)建用戶組后,我們需要添加我們的用戶到這兩個(gè)用戶組。我們用以下命令來將 nathan 用戶添加到 readers 用戶組:
- sudo usermod -a -G readers nathan
用以下命令將 olivia 添加到 editors 用戶組:
- sudo usermod -a -G editors olivia
現(xiàn)在我們可以通過用戶組來管理用戶了。
給用戶組授予目錄的權(quán)限
假設(shè)你有個(gè)目錄 /READERS 且允許 readers 用戶組的所有成員訪問這個(gè)目錄。首先,我們執(zhí)行以下命令來更改目錄所屬用戶組:
- sudo chown -R :readers /READERS
接下來,執(zhí)行以下命令收回目錄所屬用戶組的寫入權(quán)限:
- sudo chmod -R g-w /READERS
然后我們執(zhí)行下面的命令來收回其他用戶對(duì)這個(gè)目錄的訪問權(quán)限(以防止任何不在 readers 組中的用戶訪問這個(gè)目錄里的文件):
- sudo chmod -R o-x /READERS
這時(shí)候,只有目錄的所有者(root)和用戶組 reader 中的用戶可以訪問 /READES 中的文件。
假設(shè)你有個(gè)目錄 /EDITORS ,你需要給用戶組 editors 里的成員這個(gè)目錄的讀和寫的權(quán)限。為了達(dá)到這個(gè)目的,執(zhí)行下面的這些命令是必要的:
- sudo chown -R :editors /EDITORS
- sudo chmod -R g+w /EDITORS
- sudo chmod -R o-x /EDITORS
此時(shí) editors 用戶組的所有成員都可以訪問和修改其中的文件。除此之外其他用戶(除了 root 之外)無法訪問 /EDITORS 中的任何文件。
使用這個(gè)方法的問題在于,你一次只能操作一個(gè)組和一個(gè)目錄而已。這時(shí)候訪問控制表(ACL)就可以派得上用場了。
使用訪問控制表(ACL)
現(xiàn)在,讓我們把這個(gè)問題變得棘手一點(diǎn)。假設(shè)你有一個(gè)目錄 /DATA 并且你想給 readers 用戶組的成員讀取權(quán)限,并同時(shí)給 editors 用戶組的成員讀和寫的權(quán)限。為此,你必須要用到 setfacl 命令。setfacl 命令可以為文件或文件夾設(shè)置一個(gè)訪問控制表(ACL)。
這個(gè)命令的結(jié)構(gòu)如下:
- setfacl OPTION X:NAME:Y /DIRECTORY
其中 OPTION 是可選選項(xiàng),X 可以是 u(用戶)或者是 g (用戶組),NAME 是用戶或者用戶組的名字,/DIRECTORY 是要用到的目錄。我們將使用 -m 選項(xiàng)進(jìn)行修改。因此,我們給 readers 用戶組添加讀取權(quán)限的命令是:
- sudo setfacl -m g:readers:rx -R /DATA
現(xiàn)在 readers 用戶組里面的每一個(gè)用戶都可以讀取 /DATA 目錄里的文件了,但是他們不能修改里面的內(nèi)容。
為了給 editors 用戶組里面的用戶讀寫權(quán)限,我們執(zhí)行了以下命令:
- sudo setfacl -m g:editors:rwx -R /DATA
上述命令將賦予 editors 用戶組中的任何成員讀取權(quán)限,同時(shí)保留 readers 用戶組的只讀權(quán)限。
更多的權(quán)限控制
使用訪問控制表(ACL),你可以實(shí)現(xiàn)你所需的權(quán)限控制。你可以添加用戶到用戶組,并且靈活地控制這些用戶組對(duì)每個(gè)目錄的權(quán)限以達(dá)到你的需求。如果想了解上述工具的更多信息,可以執(zhí)行下列的命令:
- man usradd
- man addgroup
- man usermod
- man sefacl
- man chown
- man chmod
