【Linux】用户权限管理:创建受限用户并配置特定目录访问权限

本文详细介绍了如何在 Linux 系统中创建一个名为 agent 的新用户,并限制其在特定目录下的权限。通过使用 useradd 命令创建用户,并使用 usermod 命令将新用户添加到现有用户组中,确保其具有适当的权限。接着,通过 chownchmod 命令配置目标目录 /home/yourname/_Project/oh_workspace 的权限,使 agent 用户在该目录下具有读写权限,而在其他目录下只能读取。

为了进一步细化权限控制,文章还介绍了如何使用 ACL(访问控制列表)来限制 agent 用户的写权限,确保其在根目录、/home 目录和 /home/yourname 目录下只能读取。最后,通过复制 .bashrc 文件和更改默认 shell 为 bash,确保 agent 用户获得与主用户相似的使用体验。

本文适合需要对 Linux 系统进行细粒度权限管理的用户,特别是那些希望在特定目录下限制用户访问权限的场景。
Linux ACL

第一步:创建用户并且限制权限

创建一个新用户 agent,并确保其只能在 /home/yourname/_Project/oh_workspace 目录下进行写操作,同时在其他地方只能读取。这确保了系统的安全和灵活性,同时满足了特定的权限要求。

1. 创建用户 agent

sudo useradd -m agent

agent 设置密码:

sudo passwd agent

2. agent 添加到 yourname 所属的组

根据你之前的输出,yourname 属于多个组。我们将 agent 添加到这些组中,使其拥有与 yourname 类似的权限。

sudo usermod -aG adm,tty,cdrom,sudo,dip,video,plugdev,users,lpadmin,ollama,docker agent

3. 配置 /home/yourname/_Project/oh_workspace 目录的权限

agent 能够在 /home/yourname/_Project/oh_workspace 目录下进行读写操作。

  1. 设置目录的所有者为 yourname,组为 yourname

    sudo chown -R yourname:yourname /home/yourname/_Project/oh_workspace
    
  2. 赋予目录的组用户(包括 agent)读写权限:

    sudo chmod -R 775 /home/yourname/_Project/oh_workspace
    

4. 使用 ACL 限制 agent 的写权限

为了确保 agent 只能在 /home/yourname/_Project/oh_workspace 目录下写入,而在其他地方只能读取,我们使用 ACL 进行更细粒度的权限控制。

  1. 确保 agent/home/yourname/_Project/oh_workspace 目录具有读写执行权限:

    sudo setfacl -m u:agent:rwx /home/yourname/_Project/oh_workspace
    
  2. 确保 agent/home/yourname 目录只能读取,不能写入:

    sudo setfacl -m u:agent:rx /home/yourname
    sudo setfacl -m d:u:agent:rx /home/yourname
    

    这个命令表示 agent 可以读取和进入 /home/yourname,但不能写入。

  3. 确保 agent 在根目录 / 下也只能读取,不能写入:

    sudo setfacl -m u:agent:rx /
    
  4. 确保 agent/home 目录下也只能读取,不能写入:

    sudo setfacl -m u:agent:rx /home
    

5. 测试权限

切换到 agent 用户,测试在 /home/yourname/_Project/oh_workspace 下是否可以写入,而在其他地方不能写入。

  1. 切换到 agent 用户:

    su - agent
    
  2. 测试在 /home/yourname/_Project/oh_workspace 目录下创建文件:

    cd /home/yourname/_Project/oh_workspace
    touch testfile
    

    如果可以创建文件,则设置成功。

  3. 测试在其他目录(如 //home/yourname)是否可以创建文件:

    cd /
    touch testfile
    # 应该返回权限错误
    
    cd /home/yourname
    touch testfile
    # 应该返回权限错误
    

第二步:确保agent用户能够进入yourname用户的文件夹

为了确保 agent 用户可以访问 /home/yourname/_Project/oh_workspace 目录,但只能在该目录下进行写操作,而在其他目录只能读取,以下是详细的步骤来修复权限问题。

1. 确保 agent 有权限访问 /home/yourname/home/yourname/_Project

即使你已经为 /home/yourname/_Project/oh_workspace 设置了权限,agent 仍然需要读取和执行(进入)的权限才能导航到这个目录。你需要确保 agent 用户对上级目录 /home/yourname/home/yourname/_Project 具有读取和执行权限。

设置 /home/yourname 的权限:
sudo chmod o+rx /home/yourname

这条命令给予其他用户(包括 agent)对 /home/yourname 目录的读取和执行权限,允许他们进入该目录。

设置 /home/yourname/_Project 的权限:
sudo chmod o+rx /home/yourname/_Project

同样,这条命令允许 agent 进入 /home/yourname/_Project 目录。

2. 确保 agent/home/yourname/_Project/oh_workspace 具有读写权限

现在再次确保 agent 对目标目录 /home/yourname/_Project/oh_workspace 具有读写权限:

sudo setfacl -m u:agent:rwx /home/yourname/_Project/oh_workspace

这条命令确保 agent 可以在该目录下读、写和执行(进入目录)。

3. 测试

重新切换到 agent 用户并测试:

su - agent
cd /home/yourname/_Project/oh_workspace

如果这次可以正常进入该目录,说明权限问题已经解决。

测试创建文件:
touch testfile

如果能成功创建文件,说明 agent 在该目录下具备读写权限。

测试在其他目录是否禁止写入:
cd /
touch testfile
# 应该收到权限错误

cd /home/yourname
touch testfile
# 应该收到权限错误

第三步:把yourname用户的.bashrc复制过去确保获得和主用户相同的使用体验


sudo cp /home/yourname/.bashrc /home/agent/.bashrc
sudo chown agent:agent /home/agent/.bashrc

第四步:把agent的默认shell改成bash

sudo chsh -s /bin/bash agent

第五步:重新登录agent


su - agent

如果没有显示,尝试重新激活conda

source /home/yourname/anaconda3/etc/profile.d/conda.sh
conda activate base

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/905815.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

获英伟达二次投资!AI制药公司Terray完成1.2亿美元融资,构建全球最大化学数据集

近日,AI 制药公司 Terray Therapeutics 宣布完成 1.2 亿美元 B 轮融资,本轮融资将用于推进其内部免疫学项目的临床试验,并进一步完善公司的生成式 AI 平台 tNova。 据悉,本次 Terray 的融资由英伟达风险投资部门 NVentures 和新投…

LeetCode 热题 100之二叉树

1.二叉树的中序遍历 思路分析1(递归):通过一个辅助函数 inorderHelper,递归地访问左子树、根节点和右子树,实现中序遍历。 具体实现代码(详解版): class Solution { public:void i…

LLC电路 - 变压器匝比改变时的连锁反应

1.谐振电路等效电阻Rac 等效电阻从负载一侧映射过来,假定负载电阻为R,功率计算公式为U_out^2/R,则理想变压器因为Uin N*Uout,所以等效电阻的阻值变化是平方关系:Rref K*R*N^2.具体的计算公式为: Vp为变压…

Podman+Minikube:MacBook 运行 Kubernetes 最佳实践

简介 在现代软件开发中,Kubernetes作为容器编排的事实标准,已成为云原生应用的核心组成部分。对于开发者来说,在本地环境中搭建和测试Kubernetes集群显得尤为重要。而在这方面,结合MacBook、Podman和Minikube的组合,提…

【制造业&盒子】食品物品检测系统源码&数据集全套:改进yolo11-MultiSEAMHead

改进yolo11-efficientViT等200全套创新点大全:食品物品检测系统源码&数据集全套 1.图片效果展示 项目来源 人工智能促进会 2024.11.01 注意:由于项目一直在更新迭代,上面“1.图片效果展示”和“2.视频效果展示”展示的系统图片或…

性价比高的宠物净化器推荐!铲屎官们双十一不容错过的必备好物

秋天到了,我家毛孩子又开始爆毛!一点都没有夸张,不仅家里到处都是它掉的毛,而且它自己也“膨胀”起来,身上都是脱落的毛发。 有时候没来得及清理,风一吹那些浮毛就飘到空气当中,呼吸的时候都感…

创建线程池时为什么不建议使用Executors进行创建

有没有想过为什么在创建线程池的时候我们一般都是通过ThreadPoolExecutor来创建线程池,很少使用Executors来创建线程池? 实践出真知,让我们具体在代码里面看看是什么原因~ 我们先用Executors来创建一个固定线程的线程池: Testpub…

基于STM32+华为云IOT设计的大棚育苗管理系统

文章目录 一、前言1.1 项目介绍【1】项目开发背景【2】设计实现的功能【3】项目硬件模块组成 1.2 设计思路1.3 系统功能总结1.4 开发工具的选择【1】设备端开发【2】上位机开发 1.5 模块的技术详情介绍【1】NBIOT-BC26模块【2】MQ135传感器【4】SHT30传感器【5】B1750传感器 二…

树莓集团:智慧园区的绿色生态与可持续发展

智慧园区作为现代信息技术与园区管理深度融合的新兴概念,已然成为当下备受瞩目的发展热点。简单来讲,它借助各类智能技术手段,全方位提升园区的管理、服务效率以及居住体验,绝非仅仅局限于一个物理空间,而是打造出一个…

心情追忆- AI dify工具

之前我独自开发了一个名为“心情追忆”的小程序,旨在帮助用户记录日常的心情变化及重要时刻。 项目需求来源->设计->前端(小程序)->后端->部署均由我一人完成. 上线一个月. 通过群聊分享等. 用户量也有了100多人. 我希望持续发展. 然后今天又产生了一…

.net framework 3.5sp1开启错误进度条不动如何解决

浏览器地址栏输入www.dnz9.com远程解决netframework问题 在Windows操作系统上安装或启用.NET Framework 3.5 SP1时,如果遇到进度条不动的问题,可能由多种原因引起。以下是一些可能的解决方案: 1. 使用Windows功能对话框 1.打开“控制面板”。…

微信小程序之流浪动物救助:爱与希望同行

作者介绍:✌️大厂全栈码农|毕设实战开发,专注于大学生项目实战开发、讲解和毕业答疑辅导。 🍅获取源码联系方式请查看文末🍅 推荐订阅精彩专栏 👇🏻 避免错过下次更新 Springboot项目精选实战案例 更多项目…

深度解析:Android APP集成与拉起微信小程序开发全攻略

目录 一、背景以及功能介绍 二、Android开发示例 2.1 下载 SDK 2.2 调用接口 2.3 获取小程序原始Id 2.4 报错提示:bad_param 2.4.1 错误日志 2.4.2 解决方案 相关推荐 一、背景以及功能介绍 需求:产品经理需要APP跳转到公司的小程序(最好指定页…

linux 安装php扩展:xlswriter

这里以xlswriter扩展为例 进入官方扩展:https://pecl.php.net查询自己php对应版本的扩展包 下载扩展 wget https://pecl.php.net/get/xlswriter-1.5.5.tgz 解压扩展 tar -zxvf xlswriter-1.5.5.tgz 进入扩展目录 cd xlswriter-1.5.5 查找对应php版本的phpiz…

【99.9%解决】vue3+vite+typescript+vscode使用@alias路径别名配置不正确导致红色波浪线的解决办法

相信很多人设置了别名“”后在编辑器内产生了大量的红色波浪线,警告无法读取相关模块。网上针对这个问题都没有好好分析原因,并且提供真正理解之下的解决方案。我在历经各种失败后,总结出这篇文章,希望对大家有所帮助。 当然我因为…

Qt限制QGraphicsScene QGraphicsItem内部的移动范围

用过QGraphicsView的都知道,原点一般设定在view和item的中心,所以帮助文档和这个网友说的不一定跟我们对的上: 关于Qt限制QGraphicsScene内部Item的移动范围_qgraphicsitem限制移动范围-CSDN博客 首先,设定view的scenerect&…

前端 react 面试题(二)

文章目录 hooks的使用规则为什么hooks要确保在函数组件的最顶层,而不能放置在循环或者条件语句中。react的事件模型react的合成事件是如何实现的react事件传参,可以使用箭头函数或bind方法,这两种哪一种更好使用箭头函数:使用`bind`方法:react的事件模型和vue的区别React …

在IDEA2024中生成SpringBoot模板

1、创建新项目 根据自己想要创建的工程类型选择,这里创建的时web工程 生成项目: 注意:SpringBoot只会扫描主程序所在的包及其下面的子包

(实战)WebApi第10讲:Swagger配置、RESTful与路由重载

一、Swagger配置 1、导入SwashBuckle.AspNetCore包 2、在.NET Core 5框架里的startup.cs文件里配置swagger 3、在.NET Core 6框架里的Program.cs文件里配置swagger 二、RESTful风格:路由重载,HttpGet()括号中加参数 (1)原则&…

【AI工作流】Coze - 知识库全面指南:功能、应用场景及使用方法详解

文章目录 Coze知识库介绍功能概述应用场景更多文章功能特性丰富的数据源灵活的内容分割 使用限制创建并使用知识库 创建知识库并上传文本内容创建知识库并上传表格数据 维护知识库内容管理知识库管理分段单个分段操作:使用知识库在工作流内使用 Knowledge 节点 更多…