Application des techniques de gestion multi-tenant dans le système de fichiers Linux

Exemples de questions

Deux comptes justmine001 et justmine002 du même groupe Microsoft doivent détenir conjointement les droits de développement du répertoire /microsoft/eshop afin de travailler ensemble, mais les autres ne sont pas autorisés à accéder et à consulter le répertoire.

Il peut être analysé à partir des exemples de questions :

1. Les comptes du même groupe doivent partager le droit d'utiliser le répertoire et peuvent modifier tous les fichiers qu'il contient.
2. Les autres comptes ne disposent d'aucune autorisation sur ce répertoire.
3. Vous devez utiliser le compte root, créer des comptes, des groupes, définir les autorisations de répertoire, puis configurer un environnement de développement.

Créer des informations relatives au compte

groupadd Microsoft ; Ajouter un nouveau groupe
useradd -G microsoft justmine001 ; Ajoutez un nouveau compte et rejoignez le groupe Microsoft
useradd -G Microsoft Justmine002 ; Ajoutez un nouveau compte et rejoignez le groupe Microsoft

Afficher les propriétés du compte

id justmine001;
identifiant juste le mien002 ;

Environnement de construction

Créer un répertoire de développement

mkdir -p /microsoft/eshop

Requête

ll -d /microsoft/eshop

Définir les autorisations traditionnelles

Comme vous pouvez le voir sur l'image ci-dessus, le propriétaire et le groupe du répertoire de développement sont root et les autorisations sont rwxr-xr-x. Par conséquent, justmine001 et justmine002 peuvent afficher (ls) et entrer (cd) le répertoire, mais. ils ne peuvent pas accéder au répertoire Créer un fichier dans .

Tout d'abord, définissez le groupe d'annuaire sur Microsoft. Deuxièmement, les autres n'ont aucune autorisation sur l'annuaire, les autorisations doivent donc être définies sur 770. Si vous ne comprenez pas, veuillez lire l'article précédent pour expliquer les attributs, les propriétaires, les groupes, les autorisations et les différences des documents Linux

chgrp microsoft /microsoft/eshop ; attribuer un groupe
chmod 770 /microsoft/eshop ; Définir les autorisations

Testez d'abord les autorisations du compte justmine (autres personnes), comme suit :

Les autres ne peuvent pas accéderls和进入cdà ce répertoire, ce qui a produit l'effet souhaité.

Testez les comptes justmine001 et justmine002 dans le même groupe et créez à nouveau les fichiers, comme suit :

Afin de le montrer de manière vivante, j'ai découpé tout le processus d'autorisation de création de fichier, du refus à l'autorisation ! ! !

Comme vous pouvez le voir ci-dessus, les propriétaires et les groupes de fichiers test et test1 sont respectivement justmine001 et justmine002. Bien que l'utilisateur justmine001 puisse supprimer le fichier test1 créé par justmine002 (la portée de contrôle des autorisations du répertoire), il ne peut pas le modifier (le fichier test1 créé par justmine002). portée de contrôle des autorisations de fichiers). Alors que dois-je faire ? Je n'arrive toujours pas à terminer le travail collaboratif. La première méthode consiste à définir les autorisations du fichier test1 sur 777, afin que le fichier puisse être lu, écrit et modifié par n'importe qui. Couplée au contrôle des autorisations du répertoire, d'autres ne peuvent pas accéder au fichier test1, il n'y a donc aucun problème. . La deuxième méthode consiste à remplacer le groupe de fichiers qu'ils ont créé par Microsoft, afin que le travail collaboratif puisse également être réalisé. Il semble que cette méthode soit réaliste. Cependant, si l'administrateur devait faire cela à chaque fois, cela ne serait-il pas trop gênant pour lui ? Comme le dit le proverbe, il doit y avoir un chemin avant la montagne. En utilisant l'autorisation spéciale Linux, SGID peut parfaitement réaliser que les fichiers créés par n'importe quel compte sous le même groupe ont le même groupe Microsoft (pour plus de détails, veuillez lire : Comprendre le mécanisme de sécurité par défaut). et attributs cachés des documents Linux, autorisations spéciales).

Remarque : les autorisations des documents Linux sont contrôlées niveau par niveau, donc la condition préalable pour lire, écrire et modifier des fichiers est d'avoir l'autorisation d'accéder au répertoire auquel appartient le fichier.

Définir des autorisations spéciales

Définir les autorisations SGID pour le répertoire/microsoft/eshop

chmod 2770 /microsoft/eshop

Utilisez le compte justmine002 pour créer des fichiers et interroger les autorisations des fichiers :

Comme vous pouvez le voir sur l'image ci-dessus, le groupe de fichiers auquel justmine002 appartient est automatiquement remplacé par Microsoft, et l'umask est par défaut 002. Les deux appartiennent au même groupe, ils peuvent donc naturellement modifier les fichiers de chacun ! ! !

Résumé

La tâche principale de l'administrateur système Linux est en fait de savoir comment gérer le système de fichiers du système. Ainsi, pour la gestion multi-tenant des documents, créez d'abord un groupe unifié, puis définissez les autorisations du répertoire sur 2770, et enfin ajoutez les utilisateurs qui doivent travailler en collaboration. pour cela, les groupes sont aussi simples que cela. Souvent, les résultats sont très brefs, mais le processus de réflexion et d'analyse revient à rechercher des écritures occidentales. J'espère partager l'ensemble du processus avec tout le monde, non seulement pour savoir de quoi il s'agit, mais aussi pour savoir pourquoi il en est ainsi. nous pouvons tirer des conclusions à partir d'une instance, l'intégrer et atteindre l'objectif d'une application flexible.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!