群组共享目录的建置与权限配置.docVIP

群組共享目錄的建置與權限配置範例 作者：徐秉義（Albert Hsu） 使用 Linux 遇到一些問題而卡住，有時候是權限不足所造成。權限調整的太過於安全，比較容易造成使用上的不方便；調整的太過於鬆散，又容易造成資安方面的問題。如何將 Linux 調整成適當的權限、開放的剛剛好，系統管理員對於權限的觀念，一定要特別的清楚才行，底下透過建置群組共享目錄的實際案例，來了解 Linux 設定檔案與目錄的權限觀念。 建置群組共享的目錄 在中小企業營運的期間，往往會接到一些專案，專案則是會有參與成員以及專屬資料夾，而與此專案無關的成員，就不會給予存取專案資料的權利。 接下來假設接到一個 project2 專案，而帳號 foo2、foo3 是 project2 專案的參與成員，於是就在 Linux 建立 project2 群組來實做群組共享目錄功能。 建立帳號與群組 使用指令「useradd foo2」、「useradd foo3」與「useradd foo4」建立帳號 foo2???foo3、foo4，按照原訂計畫，foo2 與 foo3 稍後會附屬於 project2 群組，至於 foo4 則是用來代表『與此專案無關』的使用者。 使用指令「groupadd -g 50000 project2」建立群組 project2 且使用 GID 50000 號。 使用指令「id foo2」、「id foo3」與「id foo4」觀察使用者 UID、GID 以及附屬群組（groups）。 設定 foo2、foo3 附屬於 project2 群組 使用指令「vigr」（vi /etc/group 之意）編輯群組資訊檔案，來到檔案的尾端，會看到『project2:x:50000:』這行修改成『project2:x:50000:foo2,foo3』 請注意此檔案共四個欄位，以冒號（:）作為分隔符號，修改的是第四個欄位，內容填寫的是附屬於此群組的使用者，如果有多位使用者附屬於此群組，使用逗點（,）作為分隔使用者的符號。 溫馨提示：上述設定可仿造 /etc/group 檔案開頭那幾行的格式當成範本，例如：『sys:x:3:root,bin,adm』意思是 sys 群組有 root、bin、adm 這三個成員（member）使用者。 在指令「vigr」結束後，會詢問是否要順道改 /etc/gshadow（群組密碼檔），沒有要改的話按下 Enter 即可；接著二度使用 id 指令觀察 foo2 與 foo3 已經附屬於 project2 群組，而 foo4 依然沒有附屬於 project2 群組。 群組共享目錄權限設定 使用指令「mkdir /home/group_data/」建立此目錄用來放置各個群組共享資料用的，例如未來有 project3、project4 群組的共享目錄都預計建立在這裡。 使用指令「mkdir /home/group_data/project2」建立此目錄用來放置 project2 群組共享資料用的。 使用指令分別觀察 /home/、/home/group_data/ 以及 /home/group_data/project2 預設都屬於 root 使用者、root 群組，權限以數字方式表達是 755，意思是只有 root 可以完全控制這些資料夾，其餘帳號都只能讀取以及進入目錄而無法在這些目錄下產生新的檔案或子目錄。 使用指令「chgrp project2 /home/group_data/project2/」將此目錄改成 project2 群組的。 使用指令「chmod 2770 /home/group_data/project2/」將此目錄權限改成 2770，關於 2770 稍後會有更詳細的解說。 二度使用指令「ls -ld /home/group_data/project2/」觀察設定後的狀態。 上述設定的觀念剖析 上述設定針對 root 擁有者欄位來說，並沒有改變，仍然是完全控制；至於群組則是改成 project2 且開放 project2 群組的成員能夠完全控制此目錄；另外針對不是檔案擁有者 root、且不是 project2 群組的不相關帳號，則是無法存取的狀態。 在指令「ls -ld /home/group_data/project2/」顯示的狀態中： 開頭 rwx 針對檔案擁有者 root 是完全控制的，也就是 chmod 指令 2770 選項的第一個 7 中段 rws 設計給 project2 群組完全控制用的，是 chmod 指令 2770 選項的第二個 7 結尾 --- 是希望不相關帳號完全無法存取，是 chmod 指令 2770 選項的 0 如果讀者有仔細看的話，中段的 rws 不是 rwx 喔！ 這個 s