本文來自CSDN博客,轉載請標明出處:http://blog.csdn.net/fbysss/archive/2010/07/26/5767148.aspx
之前的開發服務器,所有人都是用root賬號登錄,一開始,用起來確是很爽很自由,也沒發現什么問題。但逐漸的,幾次莫名的文件丟失、數據庫無法正常啟動的問題,使得權限管理問題成為亟待解決的任務。實際上,僅僅是一個簡單的reboot、shutdown或者是rm命令,破壞性是非常大的。而且,誤操作的人也不好定位。root只能掌握在少數人手中。
一、團隊構建環境,文件讀寫共享
??? 項目代碼位于/svn/prj下,通過svn up更新代碼,調用ant來編譯、部署。那么,prj這個目錄,對于每個人都是需要可讀寫的。
我們知道,用什么用戶登錄,新創建的文件宿主,就是當前用戶。而默認的文件權限是644(-rw-r--r--),張三從代碼倉庫中update的文件,或者編譯后生成的class文件,李四是沒法刪除的。執行ant clear必然不成功,每次都用chmod去修改相應文件,總不是個事,那怎么辦呢?
??? 目標很明確:我們希望,開發團隊中,每一個開發人員之間的權限是平等的,誰新建的文件都可以被其他人讀寫。
??? 分解出來是兩個事情:
1.目錄/svn/prj應該屬于開發團隊,即一個用戶組。這很簡單,建立一個組,比如叫dev,使用chown即可
???? #gruopadd dev
???? #useradd zhangshan
???? #useradd lisi
???? #useradd zhangsan -G dev -g dev
???? #useradd lisi -G dev -g dev
???? #chown -R :dev /svn/prj
???? 這里要特別說明一下,-g和-G是有區別的。-G是大家自然理解的,把一個用戶加到一個組或者多個組(逗號分隔)里面去。-g呢,則是
設置用戶的gid。也就是用戶登陸后初始group(initial group)。
???? 使用id zhangsan命令,可以看到,uid=zhangsantest,gid=dev,groups=zhangsan,dev。或者使用groups zhangsan,結果是zhangsan dev
???? 要注意,創建一個用戶,默認會創建一個同名的組,如果不加-g參數,gid就是那個組的id,新建文件,組屬也是用戶同名組。所以在這里,-g和-G都是缺一不可的。???
2.更改文件創建的默認權限為664(-rw-rw-r--)。
??? 這里涉及到一個知識,就是umask,umask主要用來控制默認創建文件或目錄的權限。可以使用umask命令直接修改。在我們的linux環境中,默認的umask是022。
umask:設置哪位為1,則哪位就沒有權限。放開哪位,哪位有權限。但文件例外,最高到666(默認沒有執行權限)。目錄則可以到777
比如設置umask為022,則目錄最高可以到755,umask為002,則最高目錄可以到775
??? 解決思路:每個用戶登錄都會執行一些初始化腳本,可以在腳本中修改用戶的umask。
腳本片段如下:??
USERGROUP=`/usr/bin/id -Gn $USER`
echo $USERGROUP | grep -q dev
if [ $? -eq 0 ]; then
??? umask 0002
fi
意思很簡單,這里不贅述。要注意的是,Linux中,應該放在/etc/bashrc里面,而不是/etc/profile中。
登錄shell配置文件執行順序
????????? /etc/profile-->/etc/profile.d/*.sh-->~/.bash_profile-->~/.bashrc-->/etc/bashrc
我們應該把這個設置放在最后執行的文件/etc/bashrc的末尾位置,以防止設置被覆蓋(實際上,linux的/etc/bashrc文件開頭就有一段類似的umask設置)。
??? 要說明一點:控制用戶對某個目錄的默認讀寫權限,是沒有直接支持的。在實際中,暫時也沒必要,如果真有特殊需要,可以通過crontab設置監控進程定時進行修改,也很簡單,在此不做說明。
二、普通用戶的特權身份
??? OK,在第一部分中,我們解決了多人文件共享讀寫,該運行服務器了。不就是tomcat嗎,startup一下。事情沒想象那么簡單,Tomcat運行過程中,會寫日志文件,一開始,簡單的把logs目錄組屬劃分給dev,但后來陸續又遇到一系列不同的權限問題。于是反思一下:與其一點點修改運行Tomcat涉及的那么多文件權限,不如把自己身份臨時換一下?這就是我們要說的sudo。
??? sudo命令就是sudoer用來執行root操作的。sudoer配置,通過visudo來編輯。
visudo實際上就是vi /etc/sudoers的包裝版。但用這個命令的最大好處是,它有語法檢查。
%dev ALL =NOPASSWORD: /usr/local/tomcat/bin/startup.sh
%dev ALL =NOPASSWORD: /usr/local/tomcat/bin/shutdown.sh
百分號表示組,如果是多個組,用%dev,%dev2
ALL為所有主機。如果要指定主機,可換成某個ip地址。
NOPASSWORD表示不需要sudoer輸入密碼。
最后為授權執行的命令全路徑。
sudoer的配置還有很多,比如可以設置別名等,請讀者自行學習。
執行:組員只需要在原有命令前面加上sudo 即可。
如此一來,Tomcat停啟問題也解決了。
補充:sudo命令通配符的設置,如果某個目錄下的所有命令都可以給sudoers開放,可以使用xxxx/*.sh,但這樣一來,使用者必須使用絕對路徑執行。而在當前路徑也不能使用./xxx.sh。是何原因,待研究。
三、sftp用戶的umask設置
似乎萬事大吉了。但有一天,發現還是有一些文件沒有權限覆蓋,為什么呢?后來發現這部分文件,都是使用winscp上傳的。
解決辦法:
vi /etc/ssh/sshd_config文件,找到SubSystem sftp /usr/libexec/openssh/sftp-server這一行,修改為
SubSystem sftp /usr/libexec/openssh/sftp-server.sh
然后vi /usr/libexec/openssh/sftp-server.sh
添加
umask 0002
/usr/libexec/openssh/sftp-server
chmod 755? /usr/libexec/openssh/sftp-server.sh 即可。
當然,umask 0002這行可以跟上面的策略一致
變成
USERGROUP=`/usr/bin/id -Gn $USER`
echo $USERGROUP | grep -q developers
if [ $? -eq 0 ]; then
??? umask 0002
fi
四、NFS文件設置問題
A、B 兩臺服務器,A為NFS服務器,B為掛載服務器。開發中,發現這個目錄老是出現權限問題。但查看組屬又沒什么問題。甚是奇怪。
具體事例:
一個NFS的源路徑,比如是hostA:/share,該目錄在hostA上的屬于用戶組dev,hostB mount了這個目錄,看到該目錄用戶組是一個組號,比如105,其實就是hostA上的dev用戶組號。但這個組號,在hostB上并不存在(hostB上也有一個dev組),如何讓hostB上的用戶也能讀寫該目錄?最后,終于發現癥結所在:兩邊的組號不一致,而文件的擁有者和組屬,本質是認id不認name的。修改了哪邊,都會讓另一邊無法寫,產生了沖突。
解決辦法:把兩邊的組號修改為一致。
1.首先,保證hostB上沒有105號的組,如果有,則需要協調一個兩邊都不產生沖突的組號,可能需要修改兩邊的組號。
2.組號確定之后,假設105就行,在hostB上執行:groupmod –g 105 dev。變化可以通過/etc/group查看
3.重新設置改組涉及到的文件的組屬。
4.屬于該組的用戶需要重新登錄,這樣才會生效。
五、root用戶的行為限制
權限問題中,還有root的濫用。如果使用root來編譯部署,root產生的文件,dev用戶又無權訪問了。也就是說,既然已經劃分好了小組構建目錄,每個用戶都應該是dev組成員才對。root用戶應該只在授權或普通用戶無法解決的時候,再切換使用。
?