Как создать пользователя с правами на чтение и запись в домашний каталог другого пользователя

1386
Simon

Я новичок в Linux и мне нужна помощь, как я могу создать пользователя с особыми правами.

Я прочитал несколько статей и «как работают разрешения Linux», но еще не понял, как это работает на практике.

Я хочу создать пользователя, который не получает никаких прав на использование «su / sudo» или имеет какой-либо доступ на чтение / запись к остальной части системы в дополнение к своему собственному домашнему каталогу. Кроме того, пользователи получают права на чтение, запись и изменение домашнего каталога другого указанного пользователя.

Это возможно? Объяснение и необходимые команды очень ценятся :)

  • Часть «чтение / запись для остальной части системы» не является обязательной. Важной частью является доступ на чтение / запись / изменение к домашней папке другого пользователя.
0
Пожалуйста, уточните подробнее, чего вы пытаетесь достичь. Часть того, что вы описываете, довольно проста, но часть неясна. По умолчанию (в большинстве дистрибутивов) пользователи не имеют права запускать sudo. Но остальная часть этого абзаца не очень понятна. Опять же по умолчанию пользователи могут читать / писать только свои собственные домашние каталоги. Если вам нужны пользователи для обмена файлами и т. Д., Вероятно, наиболее удобно создать «глобальный» каталог, принадлежащий выделенной группе, и назначить пользователей этой группе. Вы можете добиться того же с несколькими вариантами, который лучше всего зависит от того, чего вы хотите достичь. Bram 11 лет назад 0
Хорошо. Забудьте о части sudo, так как вместо этого я настроил «разрешенные sudoers». У меня уже есть запущенные сервисы som, которые работают в существующей домашней папке. Вместо этого рекомендуется создать еще одну глобальную папку, однако потребуется много времени для перенастройки моих работающих служб. Я добавил всех пользователей, которые будут иметь права доступа к папке в группе. Сценарий; Андерсу принадлежит папка / home / anders /. Группа «Исследования» также должна иметь полный доступ к / home / anders. Андерс должен иметь те же права, что и всегда. С уважением Simon 11 лет назад 0
Я вроде знаю, как это сделать (через некоторое прибегание к гуглу в отношении разрешений), но я не уверен, и действительно не хочу испортить существующие разрешения для пользователя "anders", поскольку некоторые службы уже запущены и работают. Simon 11 лет назад 0
Файлы, используемые группой, не должны находиться ни в одном из домашних каталогов членов группы. Домашний каталог пользователя является «частным», потому что он содержит вещи, к которым другой пользователь не должен иметь доступ. Например, многие файлы конфигурации могут содержать пароли и другие личные данные. Предоставление доступа другим пользователям создает угрозу боли и других угроз безопасности. Намного проще и, что более важно, безопаснее создать каталог для исследований и предоставить Андерсу и другим членам «исследовательской» группы (группы) доступ к этому каталогу. Что касается сервисов, то их лучше всего запускать из / opt, / var или / usr / local. Bram 11 лет назад 0
Используется ли «указанный пользователь» только для хранения этого общего каталога? Если это так, просто дайте всем пользователям, которые должны иметь доступ к указанному пользователю, право "sudo" для указанного пользователя. Это даст им все права этого пользователя, включая права на их домашний каталог. (Что должно быть все, что у них есть.) David Schwartz 11 лет назад 0
Я знаю, что это далеко не лучшая практика, и я знаю, что совершенно неправильно делать это таким образом. Однако на перенастройку уйдет примерно 1 день, и эта машина не запускает какие-либо критически важные компоненты, поэтому не так важно, что она «должна быть сделана правильно». Пользовательская папка хранит только некоторые данные и работает с файлами, добавленными в папку в домашнем каталоге «anders». И да, этот пользователь используется только для хранения каталога общего доступа. Никто из пользователей в исследовательской группе, или «Андерс», на самом деле ничего не делает на сервере. @Bram Simon 11 лет назад 0
Андерс запускает несколько сервисов, которые сохраняют и работают с файлами в своем домашнем каталоге. Пользователи в «исследовательской» группе подключаются только через sFTP для чтения / записи / изменения файлов в домашней папке. Что я думаю, я не могу просто добавить группу, чтобы иметь возможность sudo "anders", так как она не будет работать через sFTP. @DavidSchwartz Simon 11 лет назад 0
Это меняет то, чего вы хотите достичь, поэтому я рекомендовал вам четко указать назначение сервера и учетных записей. Не поймите это неправильно, но вы действительно должны приложить усилия, чтобы настроить систему правильно. Может показаться, что работа в течение дня выглядит много, но через пару месяцев, когда вам нужно что-то исправить после добавления всевозможных дополнительных услуг и т. Д. В эту систему, вы обнаружите, что тратите гораздо больше времени, чем это. , Я напишу короткий ответ, который должен позволять то, что вам нужно. Bram 11 лет назад 0

2 ответа на вопрос

1
michel-slm

Вы можете предоставить разрешение нужному пользователю setfacl(установить список контроля доступа к файлам)

например:

setfacl -R -m u:snooper:rw target-user
0
Bram
  1. Создайте выделенного пользователя и группу «resaerch» для запуска сервисов с домашним каталогом за пределами обычного, /homeнапример/research
  2. Добавьте всех пользователей, которым необходим доступ к каталогу исследований, в группу «исследования» и установите для них домашний каталог /researchи запретите вход в систему, установив для оболочки входа значение/sbin/nologin
  3. Настройте демон FTP для привязки пользователей к их домашнему каталогу, чтобы они могли видеть только этот каталог

Похожие вопросы