ユーザーが他のユーザーのホームディレクトリを読み取ることを許可する

私はシステム管理の初心者で、権限に関するクエリがあります。というグループがありadministrationます。内部administrationグループ、私は、ユーザーが持っていますuser1、user2、user3、superuser。すべてのユーザーがadministrationグループに属しています。ここで、他のユーザーのディレクトリsuperuserを表示できるように、ユーザーに権限を与える必要があり/homeます。しかし、私はしたくないuser1、user2、user3本人以外の他のユーザーの自宅を見に。（つまり、の家などuser1しか表示できないはずですuser1）。

ユーザーとグループを作成し、すべてのユーザーをグループに割り当てました。superuser現時点での権限を指定するにはどうすればよいですか？

言い換えれば、私は2つのグループ（たとえばNormalUsersとSuperuser）を持つことを考えています。NormalUsersグループは、ユーザーを持つことになりますuser1、user2とuser3。Superuserグループは、ユーザーを持つことになりますSuperuser。ここSuperuserで、グループ内のユーザーのファイルにフルアクセスできるようにする必要がありますNormalUsers。これはLinuxで可能ですか？

ユーザーが協力的であれば、アクセス制御リスト（ACL）を使用できます。user1への読み取りアクセスを許可する（および友達の）ホームディレクトリにACLを設定しsuperuserます。新しく作成されたファイルのデフォルトのACLと、既存のファイルのACLも設定します。

setfacl -R -m user:superuser:rx ~user1
setfacl -d -R -m user:superuser:rx ~user1

user1 必要に応じて、ファイルのACLを変更できます。

のファイルsuperuserへuser1の読み取りアクセスを常に付与したい場合は、bindfsを使用して、異なる権限を持つユーザーのホームディレクトリの別のビューを作成できます。

mkdir -p ~superuser/spyglass/user1
chown superuser ~superuser/spyglass
chmod 700 ~superuser/spyglass
bindfs -p a+rX-w ~user1 ~superuser/spyglass/user1

〜superuser / spyglass / user1を介してアクセスされるファイルは誰でも読み取り可能です。権限以外に、のホームディレクトリの~superuser/spyglass/user1ビューがありますuser1。はにsuperuserアクセスできる唯一のユーザーであるため、この恩恵を受けることができるの~superuser/spyglassはだけsuperuserです。

ACLを使用して、特定のディレクトリへのアクセスを任意のグループに許可できます。

たとえば、を実行した場合setfacl -m g:dba:rwx /home/foo、どのグループがディレクトリを所有しているかに関係なく、dbaグループのメンバーにはrwx権限が付与されます。

また、「デフォルト」のACL（ディレクトリ内に新しく作成されたオブジェクトのACL）を設定して、このアクセス権も含めることもできます。

残念ながら、バニラLinuxでこれを直接行う方法は実際にはありません。

sudoersで、実行を許可する受け入れ可能なコマンドのホワイトリストを使用して、partial-adminsの新しいグループを作成できる場合があります。

ただし、求めていることを正確に達成するには、ApparmorまたはSELinuxを使用して目的を達成する必要があります。残念ながら、これらのツールはどちらも簡単にセットアップして使用することはできず、例はここでの簡単な回答の範囲をはるかに超えています。