管理共享帐户访问的最佳实践？

管理共享帐户的最佳做法是锁定共享帐户。

您应该将所有开发人员添加到一个组（即app_development），将测试人员添加到另一个组（即app_testing），等等，而不是管理对共享帐户的访问 - 这由于多种原因而不好。是仅供一个人使用）根据当前正在执行的作业和/或任务放置在组中，授予组对文件的适当权限。

对于此示例，受雇开发 Web 应用程序的软件开发人员将属于software_development和web_development（开发本地应用程序的开发人员可能属于application_development而不是web_development）。团队的测试员/QA 成员将属于software_testing和web_testing组。

组中的用户wheel始终有权通过 root 进行读写（除非您使用 SELinux 直接限制他们的访问权限）。

sudo -i
groupadd software_development
groupadd web_development
groupadd software_testing
groupadd web_testing
mkdir -p /home/software_development/web_development/staging`

POSIX 访问控制列表

制定协作目录结构，为组授予最低权限

chown -R root:software_development /home/software_development
chmod 550 /home/software_development
setfacl -m g:software_development:r-x /home/software_development
setfacl -m g:software_testing:r-x /home/software_development

chown -R root:web_development /home/software_development/web_development
chmod -R 2570 /home/software_development/web_development
setfacl -R -m g:web_development:rwx /home/software_development/web_development
setfacl -R -m d:g:web_development:rwx /home/software_development/web_development
setfacl -m g:web_testing:r-x /home/software_development/web_development
setfacl -m d:g:web_testing:0 /home/software_development/web_development
setfacl -m d:g:web_testing:r-x /home/software_development/web_development/staging
setfacl -R -m d:u:root:r-x /home/software_development

1. root群组中的任何人software_development都software_testing可以进入/home/software_testing并查看其内容。
2. 所有人都web_developers可以查看和修改所有子目录的内容/home/software_development/web_development（当前存在的以及将来可能创建的所有子目录）。
3. 所有人都web_testers可以看到 的直接内容/home/software_development/web_development，但看不到除 之外的任何子目录staging。
4. 请注意，web_testing并且software_testing没有任何写入权限 - 因为他们不需要它来完成他们的工作。

Web 开发人员了解他们的项目应该放在一个子目录of web_development（通常是项目名称：ie. web_development/project_1，从而拒绝测试人员访问当前正在开发的源代码。当准备好进行测试/QA 时，他们会将其复制到 staging 子目录。