00:00
大家好,欢迎大家继续收看上硅谷的云计算课程,我是沈超老师。这节课呢,我们开始学习一个新的章节,权限管理。前面我们就说过,我说我们Linux分了76个基本权限,六个大权限,我们前面已经讲了读写执行这样的基本权限。然后是不是学习了uva可默认学习。对吧,那除了这两个权限之外,我们后面还有一些权限,我们在这个章节来进行学习,各位。权限这个东西啊,一直都不是太好理解的东西,不论是这个Windows还是Windows,有人说老师Windows是不是就没这么麻烦,我说不是。Windows的权限一点都不比Windows简单,甚至有时候一旦结合了域之候,它的结合了域控之后,它反而更加复杂。复杂性这个繁琐。你之所以觉得Windows简单的主要原因是?从来没见过。你以为你的Windows就那点功能,哎,客户端的Windows就是你用的叉P啊,WIN7啊WIN10啊,客户版本,客户端的Windows可能功能就那些。
01:06
但是你们可能没用过服务器端的,那这个时候其实可能就是啊,你们从来没见过,所以你以为他简单,其实不是,任何系统当中权限都是比较复杂,所以这一章也都是重点,因为我们说权限其实是为了以后保护你的这个服务器的最主要的一个手段,OK,大家一定要认真学,那好。我们首先来学一个叫做CL的全解,这是个什么东西?来,我们回顾一下我们上节课做的这个实验啥意思?我们上节课创建了一个3W目录,我说这作为我们班级的作业提交目录,对吧,然后我说把所有者变成我,所属组变成这个这个这个这个你们test group。然后呢,然后呢,我说目的是为了提交作业,所以我们把权限是不是变成了770,这样,除了我们就是包括这组里的用户能访问,其他学员是不能访问。
02:03
对不对。那这个时候就有些问题了,什么问题我问你,假设我突然来了一个试听学员。视听ST啊,试听缩写的意思,我要不要给试听学员访问这个目录的权限要不要?肯定要吧,不给他权限,他是不是就没法上课了,他人家来是不是就算不是政治学员,但是是不是也要来进行学习啊,对吧,那你给他给多少合适呢?各位试听学员,你们学到这点,其实前面的课都讲了,如果正常上课了,讲到这已经讲了一个月了,因为还有基础课要讲什么呢?网络基础啊,这些东西都要学一个月了。等你们学到这儿的时候,试听的学员对你们来讲其实就已经是一个非常,就是就是肯定就是什么都不懂了,这个时候你是肯定不能给他给气的。给期权限,他的权限过高,就像真出出现咱们说的那个事儿,把你的那个文件啊啥的就给你误删了,对不对,那我们认为给他五就是合理的,让他看看就行了,他反正也不用交作业对吧?好,我们现在暂定给试听学员给五权限。
03:11
我画个图啊,这个图稍微复杂一点,所以我这样画,我保存下来。那我们现在有个3W。有个3W目录,这个目录的所有者现在是IC。这个所属组织test group。全县现在是770。那现在我需要给试听学院给一个权限,我给他预设的权限是我,我现在要走给他。那现在的问题在于,我应该如何给他身份?我怎么来安排试听学员的身份?这是个问题啊。对不对,那我现在问你我能怎么办,我告诉你啊,这些身份安排啊,总共就这几种可能,我们试一下看行不行。我怎么来安排他的身份。各位这种可能。
04:01
第一种可能。我把所有者改成。是青学。然后所属组是test group,我用这样的方式保持,就跟咱们那个命令成owner命令的格式一样啊,这是视听学院作为所属组,然后这个test group,你们班级的组还是作为所属组,然后呢,我把权限改成570行不行?行不行?哎,这样的话是不是可以安排他的身份了,有些学员说可以,我说不行,为什么?因为每一个文件或者目录只能有一个所有者。如果我把试听学员变成了所有者。那我去哪了?相当于什么,让试听学员站站在班级里给你们讲课,然后呢,我可以拿凉快点待着,我可以歇着去,行不行?这事是不是肯定是不行的,对吧?所以把试听群员变为这个目录的所有者,这是不行的,这样做是不行的。
05:02
那第二个呢?所有者依然是IC。然后呢,Test group组依然是所属组,然后呢,我把视听学院加到这个组里。然后权限依然是770行不行。这样做行不行?各位这样做是不是肯定也不行,为啥一旦把这个用户加入这个组,那它是不是就是生效了,就是所属组权限了,而所属组现在是七。对不对,那这个时候跟我们预设权限不一样,我们预设我说是要给试听权限,是不是给五对吧?当然这个时候把整个组权限改成五,那更不合理了,那设计权限是不能上交作业了,不能改了,你们也交不了作业了。对不对,所以这里这第二种情况也不行。不行吗?那第三种情况。这三种情况。
06:02
这三种情况。所有者还是IC,是我。然后呢,我给试听学院新建一个组。比如说他建一个这个这个新建的组叫啥随便叫什么,叫叫叫叫叫叫叫。S组吧,S2组。可以吧,试听学院的组,给他新建个组,然后把组所属组改成S2组。然后把权限改成750行不行?行不行?各位。这样做依然不行。原因。我们说了所有者只能对一个文件来讲,只能有一个,那所属组当然是不是也只能有一个?不可能说所属组有两个存在。对不对,那这种情况下,我们就说一旦把S2组变为了它的所属组。那你们这个test group组是不是没有权限?那是不是相当于啥,把你们走出去到教室外边玩去,把视频学员一个人叫过来,我给他上课,合理吗?这肯定是不是也不合理?
07:05
那所以把视频学员加个组,然后改这个用户文件的所属组也是不行了,听清了,那还有一种情况。还有一种情况。这四种情况。知道吧。所有者还是IC,所属组也不动,依然是test group,然后呢,把整个权限改成775,直接给这个,其他所有人都给都权钱行不行?哎,各位这样做。确实是这个这个这个这个视听学院干嘛能够访问这个文件的内容能了,但是除了视听学院能访问,其他是不是所有人都能,包括其他班级的学员是不是也都可以啊?没错吧,合理吗?是不是也不合理对吧,所以各位来看。试听学员的身份如何安排?只有这四种可能,没有其他可能了,你想想是不是?
08:03
只有这四种可能了,当然这块有个变种啊,就是说这。是可以删。可以是770,也可以是或者是750。都不合理。对不对,说我这儿了对吧,全部是所有人都是我,那这样的话干嘛?呃,你们也不能上传作业,所以都不可能,那也就说我们所有的可能就这四个。那哪一个是不是都不行怎么办。各位,这就需要利用到AC权限了,换句话说,我们现有的知识,我们现有的知识就解决不了这个这种情况,那你有有发现一件事啊,每一个文件只能有一个所有者,一个所属组,剩下的都是阿泽其他人。那这个时候你看一旦身份更复杂,比如说试听学员的这个身份,他是不是就没法安排了。不论是改所有者,还是加了所属组,还是改所属组,还是直接改其他人,都不合理,因为什么每一个文件只有所有者、所属组、其他人这样三个身份,这个时候其实是身份有时候很是不够。
09:10
而acr权限就是用来解决文件对用户的身份不足的是有问题的,或者说用户对文件的身份不足的问题的,OK。我。写一句。新建的低价。那我们来开始写一下,现在来说A选项。AR权限。是用于解决。用户对文件身份不足的问题的,OK,各位,那什么叫用户对文件身份不足,我这里这个举的这个例子,是不是就是你ST这个视听学员是不是对这个目录来讲,或者对这个文件来讲,他的身份是没法安排。
10:02
那这就是acr的作用,那acr的解决思路是什么样的呢?那我们来看看Windows的文件啊,它是怎么解决的来看。六七我新建一个文本文档,六七选择属性,然后这里有安全。各位,Windows分配权限的时候,它是这样的。他不再考虑你这个文件属于哪个组,他忽略了所属组的概念啊,当然不是说Windows权限没所属左右啊,Windows权限在这儿是能看到锁住组这。嗯。能啊,但是这个所属组它是啊所有者啊,所有者的概念,它是不参与到这个文件的权限当中了,没有所属组的概念,所有组其实也行,手工往里加是可以的,对吧,但是呢,它其实忽略了这个东西,那我们怎么办,各位。Windows是什么样的?如果我要把这个用户加进来怎么办?看那高级。
11:01
编辑。全家。然后高级,然后在这里搜索你想把哪个用户,让他对他有权限,明白嘛,不用管这个用户是不是他的所有者,也不用管他到底在哪个组里,你只要干嘛。在这里把这个用户找着,比如说我这里有个看似。找到把它双击确定,确定把它加进来给它权限就行了。看到了吗?Windows是这样的一种思路。那也就是说你可以不用管这个。这个这个这个我这哪来的这玩意儿。继承过来,好吧,那各位你我们就可以不用管这个家伙的这个所有者和所属组,你只要干嘛手工想让他是谁的权限,你只要在这里找到,哪怕是所属组也行,是组也行,看Windows当中的用户组是加个SOK,它就是Windows的思路,这就是Windows思路,什么不再管这个文件的所有者,所有者谁想要对他有权限,谁干嘛直接从这里干嘛。
12:04
嗯,就是直接从这个用户里找到它赋予平均就可以了。那么各位acr权限,其实真正的这种做法有点和Windows类似,你现在不是视听用户的这个身份。是没有办法安排,对这个文件对吧,所有者所属组都有了,有了然后试听用户是没法安排,没关系,我不用再考虑所有者所属组,我把视频用户拿出来,直接给他个权限就可以了。这就是A的基本原则或者说原理,好各位,我们这节课呢,解释一下acl是干什么的?Acr是干什么的?Acl是用于解决用户对文件身份不足的,牢牢记得它是解决这个问题了,其他问题还不行,OK,然后呢,它的基本思路就是把用户拿出来,不再考虑它是它的所有者,所属组,直接赋予权限,他就可以使用就可以了。好,这节课的内容就是这样,我们下节课再见。
我来说两句