Linuxドキュメントマルチテナント管理方法
/microsoft/eshop
例題から次のように分析できます。
groupadd microsoft ; 新規グループ
useradd -G microsoft justmine001; アカウントを追加し、グループmicrosoftに追加
useradd -G microsoft justmine002; アカウントを追加し、グループmicrosoftに追加
アカウントのプロパティを確認
id justmine001;id justmine002;
環境の構築
開発ディレクトリの作成
mkdir -p /microsoft/eshop
検索ll -d /microsoft/eshop
従来の権限の設定
上図から分かるように、開発ディレクトリの所有者とグループはrootであり、権限はrwxr-xr-xであるため、justmine 001とjustmine 002は(ls)を参照したり(cd)にアクセスしたりすることができるが、ディレクトリにファイルを作成することはできない。
まず、ディレクトリグループをmicrosoftに設定します。次に、他の人はディレクトリに権限を持っていないので、770に権限を設定する必要があります。理解できない場合は、前のLinuxドキュメントのプロパティ、所有者、グループ、権限、差異の詳細を参照してください。
chgrp microsoft /microsoft/eshop; グループの割り当て
chmod 770 /microsoft/eshop; 権限の設定
まずjustmineアカウント(他の人)の権限をテストします。以下のようにします。
ls
cd
同グループのjustmine 001とjustmine 002のアカウントをテストし、次のようにファイルを再作成します。
徹底的に表現するために、ファイル作成権限を拒否から許可までのプロセス全体を切り取りました!!!
以上から分かるように、ファイルtestとtest 1の所有者とグループはそれぞれjustmine 001とjustmine 002であり、ユーザjustmine 001はjustmine 002によって作成されたファイルtest 1(ディレクトリ権限の制御範囲)を削除することができるが、それ(ファイル権限の制御範囲)を編集することはできない。では、どうすればいいのか、やはり協力の仕事ができないのではないでしょうか。1つ目の方法は、ファイルtest 1権限を777に設定することです。これにより、ファイルは誰に対しても読み取り可能、書き込み可能、編集可能になり、ディレクトリ権限の制御に加えて、他の人はファイルtest 1にアクセスできず、問題ありません。2つ目の方法は、作成したファイルグループをmicrosoftに変更することで、コラボレーション作業を実現することもできます。この方法こそ現実的なようです。でも、毎回管理人がこのことをしなければならないので、お年寄りに迷惑をかけるのではないでしょうか。耻ずかしいですね。へへへ。いわゆる、車道の山の前には必ず道があり、Linux特殊権限SGIDを使用すると、同じグループの下の任意のアカウントで作成されたファイルが同じグループmicrosoftを持っていることを完璧に実現することができます(詳細は、Linuxドキュメントのデフォルトのセキュリティメカニズム、非表示属性、特殊権限を理解してください)。
注記:Linuxドキュメントの権限は1レベル1レベルで制御されているため、ファイルの読み取り、書き込み、編集の前提は、ファイルが属するディレクトリにアクセスできる権限を持つことです。
特別な権限の設定
/microsoft/eshop
chmod 2770 /microsoft/eshopjustmine 002アカウントを使用してファイルを作成し、ファイル権限をクエリーします。