admin
关于组的Debian 与 Mac OS X
在Mac OS X上,为了使文件只有所有者和管理员可以访问,我将文件的组设置为admin
,并将文件的权限模式设置为770(rwxrwx---)、750( rwxr-x---) 或 640 (rw-r-----)。
chgrp admin FILE
chmod 750 FILE
# or
chmod 770 FILE
# or
chmod 640 FILE
# or
chmod g+r,o-rwx FILE
因此,ls -la FILE
输出类似于以下内容,其中 bob 是所有者。
rwxr-x--- bob admin
然而,Debian 缺少该admin
小组。该组的 Debian 对应部分是什么admin
? Debian 上的哪个组使文件只能由所有者和管理员访问(在 chmod 删除其他人的 rwx 之后)?
通过命令id -Gn
,Mac OS X 上的管理员似乎属于该admin
组,而 Debian 上的管理员似乎属于该sudo
组。sudo
Debian 上的组与admin
Mac OS X 上的组相同吗?
我犹豫是否将文件的组设置为sudo
.该命令find / -group sudo
显示 Debian 上绝对没有文件sudo
默认具有该组。相比之下,该命令find / -group admin
显示 Mac OS X 上的许多文件admin
默认都有该组。因此,Debian 上的组似乎sudo
并不真正等同于admin
Mac OS X 上的组。
答案1
出于文件所有权的目的,在 Debian 默认创建的组中最接近的等效项可能是 组adm
。
在 Linux 系统上,组往往更细粒度:因此sudo
组授予 root 访问权限通过 sudo
(但不限于此,因为可以单独授予用户访问权限)、adm
授予对某些日志文件的访问权限的组等。请参阅Debian 维基查看这些系统组的列表。
您始终可以创建自己的admin
组并将其用于您所描述的目的;您不必将自己限制在系统组中。
答案2
如果“管理员”是指在需要时可以使用 sudo (和 sudoers 文件)成为 root 的人(或者只能以 root 身份访问某些所需的管理员命令)的人,那么就不要使用该“admin”组作为用户文件的组:root (id 0) 可以访问几乎所有内容。
使用“组”部分来指定哪个组(或“团队”)也容易获得对该用户的文件/目录的某种访问权限。
例如:用户 (foo) 是团队 (teambar) 的一部分。
对于 foo 文件,您可以 : chown foo:teambar teambarfile(s) and teambardirs
,然后chmod 600 personnal_files ; chmod 700 personnal_dirs ; chmod 640 ~/teambarsubdirs/teambarfiles ; chmod 750 ~ ~/teambarsubdirs ~/teambardirs/executables
即,对于所有“团队目录”和“团队文件”:
- 为这些文件的所有者提供完全访问权限 (= foo)(rw,如果需要的话还可以访问 x [目录和可执行文件])
- 为团队提供适当的访问权限(仅限 r?如果可执行文件或目录,则为 rx?)
- 限制对其他人的访问(即不是 foo 也不是
- 不用担心:如果需要,管理员将能够访问它。
- 对于“个人文件和目录”:只有 foo 可以读/写(/exec)这些文件和目录
(不要忘记,如果团队文件/目录位于某个层次结构下,则团队需要能够访问该层次结构,因此通常上面的顶级目录也需要授予他们“r & x”访问权限。)