Créer un groupe en essayant de ne pas utiliser Sudo ni 777

Comment créer un groupe tel que je puisse utiliser les programmes d'un autre utilisateur du PC dans mon compte utilisateur sans les autorisations 777 ni avec sudo?

J'ai créé un nouvel utilisateur par sudo adduser masi. J'ai besoin soit de modifier les autorisations de chaque programme pour qu'ils soient 777 dans / usr / bin OU pour les utiliser. sudo pour exécuter chaque programme.

Cependant, ces deux manières sont terribles pour la sécurité et la facilité d'utilisation. Je devrais apparemment être créer un groupe brothers puis attribuez quel programme les deux frères peuvent utiliser sans sudo.

(disclaimer: connecté à Windows pour le moment) Créer un groupe

addgroup SomeName

Ajoutez ensuite chaque utilisateur au groupe

usermod -G SomeName,other,groups user1
usermod -G SomeName,other,groups user2

Changer les permissions sur le fichier

chgrp SomeName theFile
chmod g+rx theFile

Vous n'avez pas besoin d'ajouter l'autorisation d'écriture à un binaire pour l'exécuter. Vous pouvez simplement les rendre 755 racine: racine. Si vous souhaitez limiter les programmes à tous les groupes sauf un groupe, vous pouvez chmod 750 et les chgrp à votre nouveau groupe.

Vous ne devriez pas jouer avec les permissions dans / usr / bin - votre distribution le gère rootet 755 autorisations.

Si vous souhaitez avoir des programmes que vous et le seul autre utilisateur pouvez utiliser, mais que les autres utilisateurs ne peuvent pas, créez un répertoire différent, ajoutez-le à vos PATH et définissez les autorisations de manière appropriée.

Je pense que vous devez fournir les messages d'erreur que vous voyez, car l'autorisation 755 est suffisante pour exécuter un programme.

L'autorisation 777 (rwxrwxrwx) impliquerait également des autorisations en écriture pour tout le monde, ce qui n'est absolument pas nécessaire pour exécuter un fichier binaire. La permission qui compte est la permission x, le bit le moins significatif de chaque numéro de mode octal à 3 chiffres (7 = 111, également appelé rwx). Pour exécuter un fichier binaire, vous devez également disposer d'une autorisation de lecture.

Normalement, les permissions des programmes installés dans / usr / bin sont déjà définies pour pouvoir être exécutées par tout le monde (normalement détenues par root, racine du groupe, permissions 755 ou 555). Ainsi, à moins d’avoir apporté des modifications spéciales tout besoin de faire quelque chose.

Vérifiez l’autorisation pour les fichiers binaires dans / usr / bin et, à moins que ce ne soit différent de 755 ou 755, vous êtes prêt à partir.

Une autre alternative intéressante consiste à utiliser des listes de contrôle d'accès étendues (vous devrez monter le système de fichiers correspondant avec l'indicateur 'acl').

L'utilisation de acls vous permettra d'accorder / refuser à des utilisateurs / groupes individuels un accès spécifique à des fichiers / répertoires sans avoir à ajouter de groupe pour chaque "séparation de droits / autorisations".

man getfacl, setfacl, chacl pour plus d'informations, aussi simple soit-il:

Accorder à un utilisateur supplémentaire (lisa) r-x (lecture / exécution) l'accès à un fichier

          setfacl -m u:lisa:rx file

Suppression d'une entrée de groupe nommé de la liste de contrôle d'accès d'un fichier

          setfacl -x g:staff file

J'espère que cela vous met sur la bonne voie ......