Вопросы Теги

ограничьте студенческие полномочия учетной записи, предоставьте доступ способности

В случае, если /bin/sh Тире, он должен быть настроен --with-libedit перед компиляцией. Иначе можно все еще работать set -o vi в оболочке, но это не делает ничего полезного.

4
30.11.2013, 15:12
3 ответа

Я думаю, что попытался бы сделать это использование ACLs также. Единственный другой метод, который я могу задумать выполнения этого, был бы следующие.

  1. Создайте 2 группы students & faculty

  2. Домашний dir каждого пользователя был бы похож на это:

    drwxrws---. 253 student1 faculty 32768 Nov 29 16:39 student1

    Это позволило бы любому войти faculty групповой доступ к student1каталог, но никто больше, кроме владельца, student1.

  3. chown-R student1.faculty/home/student1

  4. найдите/home/student1 - тип d - должностное лицо chmod ug+rwx, g+s, o-rwx {} +

Проблема с этим подходом состоит в том, что это может быть немного хрупко, если владелец должен был смешать с владением группы или был к mv файлы в этот каталог. Только недавно созданные файлы/каталоги сохранили бы владения + setgid бит.

Эта установка требует, чтобы все существующие ранее файлы/каталоги под / домой были скорректированы с помощью шагов № 3 и № 4 выше.

ACLs

Как я сказал выше, я думаю, что все еще сделал бы это использование ACLs. Я консультировался бы с этим учебным руководством по поводу ACLs, названного: Используя ACLs с Core 2 Fedora (Ядро Linux 2.6.5). Заголовок заставляет его звучать датированным, но команды все еще релевантны.

2
27.01.2020, 20:56

Что необходимо смотреть на то, когда установка таких детализированных полномочий должна настроить Списки управления доступом, которые дадут Вам способность включить доступ Пользователю + Способность.

На командах существует много страниц справочника setfacl и getfacl это позволит Вам настраивать правильно.

1
27.01.2020, 20:56
  • 1
    Спасибо, я не знаком с acl установка, я буду смотреть. Кажется будто система должна быть смонтирована с этой активированной опцией. Я не уверен, что смогу сделать это, так как я использую VM Ubuntu через платформу MicroSoft Azure, но я должен более тщательно изучить и эту команду и установку VM (диски не смонтированы с acl в этой точке я думаю - по крайней мере, mount | grep acl не привел ни к чему, что было тем, рекомендуемым способ проверить на это). –  Levon 29.11.2013, 19:27
  • 2
    @Levon Обычно acl пакет не установлен на Ubuntu, таким образом, необходимо будет установить его вручную. В дополнение к этому mountoptions будет нужен он, включают acl для включения ACL в файловой системе, как описано в ссылке Списка управления доступом, я добавил. –  Karlson 29.11.2013, 19:40

Первая вещь состоит в том, чтобы создать две группы students и faculty и удостоверяться, что все студенты и преподаватели находятся в своей соответствующей группе. Сделайте это вторичной группой: оставьте установку по умолчанию на месте, где каждый новый пользователь получает их собственную специализированную группу.

Измените значение по умолчанию umask так, чтобы все файлы были частными по умолчанию. Изменитесь UMASK строка в /etc/login.defs к 027 (т.е. пользователь может все, может читать группа, другие ничто не могут). Таким образом, все файлы будут частными по умолчанию.

Это также поможет подвергнуть студенческие корневые каталоги специализированному каталогу; например, если Alice является преподавателем, и Bob является студентом, сделайте их соответствующие корневые каталоги /home/faculty/alice и /home/students/bob.

Можно обеспечить дискреционный доступ способности к студенческим каталогам путем установки списков управления доступом в студенческих каталогах. Предоставить faculty доступ для чтения группы к файлам всех студентов, и также предоставить доступ в недавно созданные файлы по умолчанию, выполняет команду

sudo setfacl -R -d -m g:faculty:rX /home/students
sudo setfacl -R -m g:faculty:rX /home/students

Студенты могут все еще make-файлы, частные путем явного изменения их режима (например. chmod go= somefile.

Можно пойти далее и дать способности обязательный доступ для чтения ко всем файлам. Я не рекомендую делать это, потому что студентам нужно разрешить иметь частные файлы. Если Вы действительно хотите установить вещи тот путь, консультируйтесь с адвокатом сначала (даже если студентам не разрешают личное пользование этих машин, которые могут дать Вам право удалить их, если они не соответствуют, но не обязательно считать их частные письма). Таким образом, это технически возможно и не все что трудно: посмотрите Пользователя с доступом для чтения к / домой

1
27.01.2020, 20:56

Теги

Похожие вопросы