######例######
同じグループにある 2 つのアカウント justmine001 と justmine002 Microsoft は、共同で作業するために、ディレクトリ /microsoft/eshop の開発権限を共同で所有する必要がありますが、他のユーザーはディレクトリに入って表示することはできません。 。
例から分析できます:
他のアカウントには、このディレクトリに対する権限がありません。
groupaddmicrosoft ; 新しいグループを追加 useradd -G microsoft justmine001; 新しいアカウントを追加し、microsoft
グループに参加します useradd -G microsoft justmine002; 新しいアカウントを追加し、microsoftグループに参加しますid justmine001;
アカウント属性を確認する
id justmine002;
構築環境
開発ディレクトリの作成
mkdir -p /microsoft/eshopお問い合わせ
従来の権限を設定する
上の図からわかるように、開発ディレクトリの所有者とグループは root で、権限は rwxr-xr-x であるため、justmine001 と justmine002 はディレクトリを表示 (ls) し、ディレクトリに入る (cd) ことができます。ただし、どちらもディレクトリにファイルを作成することはできません。
まず、ディレクトリ グループを Microsoft に設定します。次に、他の人はディレクトリに対するアクセス許可を持っていないため、アクセス許可を 770 に設定する必要があります。理解できない場合は、Linux ドキュメントの属性、所有者、グループ、権限、および違いについて説明した前の記事を読んでください。
chgrp Microsoft /microsoft/eshop; グループの割り当て
chmod 770 /microsoft/eshop; アクセス許可の設定
まず、次のように justmine アカウント (他の人) の権限をテストします。
他の人は
ls にアクセスして、このディレクトリに
cd を入力することはできません。これにより、期待どおりの効果が得られます。
同じグループ内の justmine001 アカウントと justmine002 アカウントをテストし、次のようにファイルを再度作成します。
それを鮮明に見せるために、ファイル作成許可の拒否から許可までの全プロセスを傍受しました。 ! !
上記からわかるように、ファイル test と test1 の所有者とグループは、それぞれ justmine001 と justmine002 です。ユーザー justmine001 は、justmine002 (ディレクトリ権限の制御範囲) によって作成されたファイル test1 を削除できますが、編集することはできません (ファイルの権限制御の範囲)。ではどうすればよいでしょうか? まだ共同作業を完了できません。 1 つ目は、ファイル test1 の権限を 777 に設定して、誰でもファイルの読み取り、書き込み、編集ができるようにする方法です。ディレクトリ権限の制御と合わせて、他の人はファイル test1 にアクセスできないので問題ありません。 。 2つ目は、作成したファイルグループをMicrosoftに変更して共同作業も可能にする方法で、この方法が現実的と思われます。でも、これを毎回管理者がやらないといけないとなると、面倒ですよね?恥ずかしいですね、ふふ。ことわざにあるように、道の先には道があるはずです。Linux の特別なアクセス許可 SGID を使用すると、同じグループ内のどのアカウントによって作成されたファイルでも同じグループが Microsoft であることを完全に認識できます (詳細については、「デフォルトのセキュリティ メカニズムについて」を参照してください) Linux ドキュメントの隠し属性、特別な権限)。
注: Linux ドキュメントのアクセス許可はレベルごとに制御されるため、ファイルの読み取り、書き込み、編集を行うための前提条件は、ファイルが属するディレクトリに入るアクセス許可を持っていることです。
特別な権限を設定するディレクトリ
/microsoft/eshop の SGID アクセス許可を設定します
chmod 2770 /microsoft/eshop
上の図からわかるように、justmine002 が属するファイル グループは自動的に Microsoft に変更され、umask のデフォルトは 002 になります。この 2 つは同じグループに属しているため、自然にお互いのファイルを変更できます。 ! ! !
要約
Linux システム管理者の主なタスクは、実際にはシステムのファイル システムを管理することです。そのため、ドキュメントのマルチテナント管理では、まず統合グループを作成し、次にディレクトリのアクセス許可を 2770 に設定し、最後に必要なユーザーを追加します。このグループに参加するのはとても簡単です。多くの場合、結果は非常に短いものですが、思考と分析のプロセスは西洋から経典を探すようなもので、それが何であるかを知るだけでなく、なぜそうなるのかを知るために、そのプロセス全体を皆さんと共有したいと思っています。 1 つのインスタンスから推論を引き出し、統合して、柔軟なアプリケーションの目的を達成できます。
以上がLinux ファイル システムにおけるマルチテナント管理技術の適用の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。