예시 질문
동일한 Microsoft 그룹에 속한 두 계정 justmine001과 justmine002가 함께 작업하려면 디렉터리의 개발 권한을 공동으로 소유해야 합니다/microsoft/eshop
. 하지만 다른 사람이 디렉터리에 들어가거나 볼 수는 없습니다.
예제 질문을 통해 분석할 수 있습니다.
계정 관련 정보 생성
groupadd microsoft
그룹에 가입하세요.
추가 useradd -G microsoft justmine001; 새 계정을 추가하고 microsoft
그룹에 가입하세요. useradd -G microsoft justmine002 새 계정을 추가하고 microsoft
계정 속성 보기
id는 justmine001;
아이디는 justmine002;
환경 구축
개발 디렉터리 만들기
mkdir -p /microsoft/eshop
쿼리
ll -d /microsoft/eshop
기존 권한 설정
위 사진에서 볼 수 있듯이 개발 디렉터리의 소유자와 그룹은 root이고, 권한은 rwxr-xr-x입니다. 따라서 justmine001과 justmine002는 해당 디렉터리를 조회(ls)하고 입장(cd)할 수 있지만, 에 파일을 생성할 수 없습니다.
먼저 디렉터리 그룹을 microsoft로 설정하세요. 둘째, 다른 사람은 해당 디렉터리에 대한 권한이 없으므로 권한을 770으로 설정해야 합니다. 이해가 되지 않는다면 이전 글을 읽고 Linux 문서 속성, 소유자, 그룹, 권한 및 차이점을 설명하세요
chgrp microsoft /microsoft/eshop 그룹 할당
chmod 770 /microsoft/eshop 권한 설정
먼저 다음과 같이 justmine 계정(다른 사람)의 권한을 테스트합니다.
다른 사람은 예상한 효과를 달성한 이 디렉터리에 액세스할 수 없습니다ls
和进入cd
.
같은 그룹에 있는 justmine001과 justmine002 계정을 테스트하고 다음과 같이 파일을 다시 생성하세요.
생생하게 보여드리기 위해 파일 생성 권한 거부부터 승인까지 전 과정을 생략했습니다! ! !
위에서 볼 수 있듯이 파일 test 및 test1의 소유자 및 그룹은 각각 justmine001 및 justmine002입니다. 사용자 justmine001은 justmine002(디렉터리 권한의 제어 범위)가 생성한 파일 test1을 삭제할 수 있지만 편집할 수는 없습니다. 파일 권한의 제어 범위). 그러면 어떻게 해야 합니까? 여전히 공동 작업을 완료할 수 없습니다. 첫 번째 방법은 test1 파일의 권한을 777로 설정하여 누구나 파일을 읽고 쓰고 편집할 수 있도록 하는 것이며, 디렉토리 권한 제어와 함께 다른 사람은 test1 파일에 접근할 수 없으므로 문제가 없습니다. . 두 번째 방법은 자신이 만든 파일 그룹을 마이크로소프트로 변경해 협업도 가능하게 하는 방법이 현실적일 것으로 보인다. 그런데 관리자가 매번 이런 일을 해야 한다면 너무 곤란하지 않을까요? 속담처럼, 길 앞에 길이 있어야 합니다. Linux 특수 권한 SGID를 사용하면 동일한 그룹의 모든 계정에서 생성된 파일이 동일한 Microsoft 그룹을 가지고 있음을 완벽하게 인식할 수 있습니다. 자세한 내용은 기본 보안 메커니즘 이해를 참조하세요. Linux 문서의 숨겨진 속성, 특수 권한).
참고: Linux 문서 권한은 레벨별로 제어되므로 파일을 읽고, 쓰고, 편집하려면 파일이 속한 디렉터리에 들어갈 수 있는 권한이 있어야 합니다.
특별 권한 설정
디렉토리에 대한 SGID 권한 설정/microsoft/eshop
chmod 2770 /microsoft/eshop
justmine002 계정을 사용하여 파일을 만들고 파일 권한을 쿼리하세요.
위 사진에서 볼 수 있듯이 justmine002가 속한 파일 그룹은 자동으로 microsoft로 변경되고, umask는 기본적으로 002로 설정되어 있습니다. 두 개가 같은 그룹에 속해 있어서 자연스럽게 서로의 파일을 수정할 수 있어요! ! !
요약
Linux 시스템 관리자의 주요 임무는 실제로 시스템의 파일 시스템을 관리하는 방법입니다. 따라서 문서 다중 테넌트 관리를 위해서는 먼저 통합 그룹을 만든 다음 디렉터리 권한을 2770으로 설정하고 마지막으로 작업이 필요한 사용자를 추가합니다. 이 그룹과의 협력은 매우 간단합니다. 종종 결과는 매우 간단하지만 생각하고 분석하는 과정은 마치 서양의 경전을 찾는 것과 같습니다. 그것이 무엇인지뿐만 아니라 왜 그런지 알기 위해 모든 과정을 모든 사람과 공유하고 싶습니다. 하나의 인스턴스에서 추론을 도출하고 이를 통합하여 유연한 적용이라는 목적을 달성할 수 있습니다.
위 내용은 Linux 파일 시스템의 멀티 테넌트 관리 기술 적용의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!