Files
為什麼普通使用者不能創建和管理使用者組?
我一直想知道普通使用者是否有充分的理由不能創建自己的組。文件所有者能夠設置組和管理文件權限是有意義的。例如,使用者可以只允許系統上的親密朋友讀取他們的主文件夾,因此他們建立自己的組來管理對他們擁有所有權的文件的文件權限。
有沒有我在這裡沒有看到的安全問題?我不明白為什麼 sysadm 必須維護系統上的所有組。
組是系統範圍的資源,儲存在由
root. 目前的group格式除了 GID 範圍之外沒有區分“使用者”和“系統”組,即使有,它也無法將文件部分的訪問權限授予不同的人。因此,您必須想出一個新系統來允許非管理員添加和刪除組,而無需通過sudo和等效項提供完全訪問權限。顯然對這個特性沒有足夠的需求(可能是因為 Unix 安裝最初是製度性的),但是有足夠的需求來實現一個相關的特性。您可以委派使用者使用修改組成員資格
gpasswd。如果您授予使用者對組的管理控制權,則他們可以添加或刪除成員而無需root訪問(預設情況下,沒有組管理員,因此只能root進行更改。)鑑於以下(如root):# groupadd newgroup # gpasswd -A owner -M member1,member2 newgroup使用者
owner現在可以修改組newgroup而無需獲得任何其他權限:$ gpasswd -a member3 newgroup Adding user member3 to group newgroup(您會注意到組管理員實際上不必是成員。)