Я думаю, что попытался бы сделать это использование ACLs также. Единственный другой метод, который я могу задумать выполнения этого, был бы следующие.
students
& faculty
Домашний dir каждого пользователя был бы похож на это:
drwxrws---. 253 student1 faculty 32768 Nov 29 16:39 student1
Это позволило бы любому войти faculty
групповой доступ к student1
каталог, но никто больше, кроме владельца, student1
.
chown-R student1.faculty/home/student1
Проблема с этим подходом состоит в том, что это может быть немного хрупко, если владелец должен был смешать с владением группы или был к mv
файлы в этот каталог. Только недавно созданные файлы/каталоги сохранили бы владения + setgid бит.
Эта установка требует, чтобы все существующие ранее файлы/каталоги под / домой были скорректированы с помощью шагов № 3 и № 4 выше.
Как я сказал выше, я думаю, что все еще сделал бы это использование ACLs. Я консультировался бы с этим учебным руководством по поводу ACLs, названного: Используя ACLs с Core 2 Fedora (Ядро Linux 2.6.5). Заголовок заставляет его звучать датированным, но команды все еще релевантны.
Что необходимо смотреть на то, когда установка таких детализированных полномочий должна настроить Списки управления доступом, которые дадут Вам способность включить доступ Пользователю + Способность.
На командах существует много страниц справочника setfacl
и getfacl
это позволит Вам настраивать правильно.
acl
установка, я буду смотреть. Кажется будто система должна быть смонтирована с этой активированной опцией. Я не уверен, что смогу сделать это, так как я использую VM Ubuntu через платформу MicroSoft Azure, но я должен более тщательно изучить и эту команду и установку VM (диски не смонтированы с acl
в этой точке я думаю - по крайней мере, mount | grep acl
не привел ни к чему, что было тем, рекомендуемым способ проверить на это).
– Levon
29.11.2013, 19:27
acl
пакет не установлен на Ubuntu, таким образом, необходимо будет установить его вручную. В дополнение к этому mountoptions будет нужен он, включают acl
для включения ACL в файловой системе, как описано в ссылке Списка управления доступом, я добавил.
– Karlson
29.11.2013, 19:40
Первая вещь состоит в том, чтобы создать две группы students
и faculty
и удостоверяться, что все студенты и преподаватели находятся в своей соответствующей группе. Сделайте это вторичной группой: оставьте установку по умолчанию на месте, где каждый новый пользователь получает их собственную специализированную группу.
Измените значение по умолчанию umask так, чтобы все файлы были частными по умолчанию. Изменитесь UMASK
строка в /etc/login.defs
к 027 (т.е. пользователь может все, может читать группа, другие ничто не могут). Таким образом, все файлы будут частными по умолчанию.
Это также поможет подвергнуть студенческие корневые каталоги специализированному каталогу; например, если Alice является преподавателем, и Bob является студентом, сделайте их соответствующие корневые каталоги /home/faculty/alice
и /home/students/bob
.
Можно обеспечить дискреционный доступ способности к студенческим каталогам путем установки списков управления доступом в студенческих каталогах. Предоставить faculty
доступ для чтения группы к файлам всех студентов, и также предоставить доступ в недавно созданные файлы по умолчанию, выполняет команду
sudo setfacl -R -d -m g:faculty:rX /home/students
sudo setfacl -R -m g:faculty:rX /home/students
Студенты могут все еще make-файлы, частные путем явного изменения их режима (например. chmod go= somefile
.
Можно пойти далее и дать способности обязательный доступ для чтения ко всем файлам. Я не рекомендую делать это, потому что студентам нужно разрешить иметь частные файлы. Если Вы действительно хотите установить вещи тот путь, консультируйтесь с адвокатом сначала (даже если студентам не разрешают личное пользование этих машин, которые могут дать Вам право удалить их, если они не соответствуют, но не обязательно считать их частные письма). Таким образом, это технически возможно и не все что трудно: посмотрите Пользователя с доступом для чтения к / домой