가장 낮은 수준의 권한을 기반으로 함

가장 낮은 수준의 권한을 기반으로 함

내 사용자 계정은 samjaques그룹에 속해 있습니다 sams. 두 개의 폴더가 모두 sams그룹으로 구성되어 있습니다. 폴더 1은 루트와 폴더 2의 소유입니다 . samjaques두 가지 모두에 대한 권한은 으로 설정되어 있습니다 ---rwx---. 터미널에서( samjaques및 로 실행 sams) 폴더 1만 열 수 있고 폴더 2는 열 수 없습니다(폴더 2에서 제공 Permission denied).

내 생각엔 시스템이 사용자의 권한, 그룹, 기타 권한을 차례로 확인하고, 그룹을 확인하지 않고 사용자를 거부하면 권한을 거부하는 것 같습니다. 이것이 예상되는 동작입니까? 이유가 있나요?

일반적으로 사용자 권한보다 그룹 권한을 갖는 것이 합리적이거나 나쁜 습관이 아닙니까?

답변1

예, 액세스 프로세스의 EUID가 소유 사용자와 일치하는 경우에만 사용자 권한이 확인됩니다. 그렇지 않지만 프로세스의 GID가 해당 프로세스가 속한 그룹과 일치하는 경우 그룹 권한을 확인합니다. 그렇지 않으면 "기타" 권한을 사용하십시오. 공은 첫 번째로 일치하는 ID에서 멈춥니다.

일반적으로 소유 사용자는 권한을 변경하고 자신에게 원하는 액세스 권한을 부여할 수 있으므로 사용자가 그룹보다 적은 액세스 권한을 갖는 것은 별로 의미가 없습니다. (SELinux 등은 제외)

그러나 그룹과 다른 그룹의 경우에는 어느 정도 의미가 있을 수 있습니다. 즉, 특정 그룹에 대한 액세스를 거부하고 다른 그룹에 대한 액세스를 허용할 수 있습니다. 예를 들어, 소유된 파일의 경우 그룹 구성원은 someuser:somegroup권한이 있으면 해당 파일에 액세스할 수 없지만 그룹 구성원이 아닌 사람은 누구나 파일을 읽을 수 있습니다.rw----r--somegroupsomegroup

관련 정보