サーバーのメイン管理者として、ユーザーがお互いのホームフォルダを表示できないようにしたいと思います。 (私は私のフォルダを含むホームフォルダを750にchmodして私のフォルダを見ることができますが、他の人のフォルダを見ることはできません。)
ユーザーのフォルダを確認する必要がある場合は、ユーザーを 'su'に変更できますが、ルートはフォルダに移動してコンテンツを表示できると仮定しますが、明らかに 'sudo'はできません。 'または'sudo ls'です。
それで、すべてのユーザーを私が所属できる「ユーザーグループ」に入れようと思います。それともこれは悪い考えですか?ただ「su」する必要がありますか?それとも私が考えることができない回避策がありますか?
ソリューションを検索しましたが、想像できるように、見つかったソリューションの99.9%は、この特定のシナリオと一般的なより多くの権限については議論しません。
要約すると、「su」をしなくてもユーザーフォルダの内容を見ることができますが、他のユーザーは互いのフォルダ内容を見ることができないようにしたいと思います。
答え1
ACLを使用せずにこれを達成する唯一の方法は、権限を設定し、750
ユーザー名が異なるすべてのユーザーの基本グループのメンバーになることです。たとえば、次のユーザーがいるとします。
me
user1
otheruser
/home
次のようになります。
drwxr-x--- 2 me me 4096 Mar 3 12:14 me
drwxr-x--- 24 user1 user1 4096 Apr 8 05:33 user1
drwxr-x--- 2 otheruser otheruser 4096 Feb 11 09:27 otheruser
グループファイルに以下が表示されます。
me:x:500:
user1:x:501:
otheruser:x:502:
他のユーザーのプライマリグループに自分を追加すると、グループの人口は次のようになります。
me:x:500:
user1:x:501:me
otheruser:x:502:me
答え2
All Usersグループのメンバーになることはお勧めできませんが、拡張ACLを見てください。
setfacl
とのWebページまたはマニュアルページを読み、getfacl
他のホームディレクトリに入ることができるデフォルトのACLを設定します。