|
|
什么权限将应用到新建文件受 shell 内置命令 umask 的限制。参见dash(1),bash(1),和内建命令(7)。
(file permissions) = (requested file permissions) & ~(umask value)
表 1.6. umask值举例
umask值 创建的文件权限 创建的目录权限 用法
0022 -rw-r--r-- -rwxr-xr-x 仅所属用户可写
0002 -rw-rw-r-- -rwxrwxr-x 仅所属组可写 Debian 默认使用用户私人组(UPG)。每当一个新用户添加到系统的时候都会创建一个UPG。UPG 的名字和创建它的用户相同,这个用户是这个UPG的唯一成员。自从每个用户都有自己的私人组之后,把umask设置成0002变得更安全了。(在某些 Unix 变体中,把所有普通用户设置到一个叫users的组是非常常见的做法,在这种情况下,出于安全考虑把umask设为0022是一个好主意)
[提示] 提示
通过把 “umask 002” 写入 ~/.bashrc 文件打开UPG。
1.2.5. 一组用户的权限(组)
[警告] 警告
Please make sure to save unsaved changes before doing reboot or similar actions.
In order to make group permissions to be applied to a particular user, that user needs to be made a member of the group using "sudo vigr" for /etc/group and "sudo vigr -s" for /etc/gshadow. You need to login after reboot (or run "kill -TERM -1") [1] to enable the new group configuration.
[注意] 注意
或者,你可以通过添加一行 “auth optional pam_group.so”到 “/etc/pam.d/common-auth” 以及配置 “/etc/security/group.conf” ,使得在身份验证过程动态添加用户到组。(参见第 4 章 认证和访问控制。)
在 Debian 系统中,硬件设备是另一种文件。如果你从一个用户账户访问某些设备出现问题,例如CD-ROM和USB记忆棒,你需要使这个用户成为相关组的成员。
一些著名的由系统提供的组允许其成员不需要 root 权限访问某些特定的文件和设备。
表 1.7. 关于文件访问的由系统提供的著名组列表
[url=]组 可访问文件和设备的描述
dialout完全及直接的访问串口端口(“/dev/ttyS[0-3]”)
dip有限的访问串口,创建到信任点的拨号 IP 连接
cdromCD-ROM, DVD+/-RW 驱动器
audio音频设备
video视频设备
scanner扫描仪
adm系统监控日志
staff一些用于初级管理工作的目录:“/usr/local”,“/home”
[提示] 提示
你需要属于 dialout 组才能重配置调制解调器、拨号到任意地方,等等。但如果root 用户在 “/etc/ppp/peers/” 为受信任点创建了预定义配置文件的话,你只需要属于dip 组,就可以创建拨号 IP来连接到那些受信任的点上,需使用的命令行工具包括 pppd(8)、pon(1)以及poff(1)。
某些著名的由系统提供的组允许它们的成员不带 root 权限运行特定的命令。
表 1.8. 著名的由系统提供用于特定命令运行的组列表
[url=]组 可访问命令
sudo不带它们的密码运行 sudo
lpadmin执行命令以从打印机数据库添加、修改、移除打印机由系统提供的用户和组的完整列表,参见由 base-passwd包提供的“/usr/share/doc/base-passwd/users-and-groups.html”中,当前版本的“用户和组”。
用户和组系统的管理命令,参见passwd(5),group(5),shadow(5),newgrp(1),vipw(8),vigr(8),以及pam_group(8)。
[/url]
[/url]
|
|
IP卡
狗仔卡
发表于 2024-1-2 16:12:52
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡