Tôi có thể dựa vào quyền 701 để ngăn người dùng trong cùng một nhóm làm hỏng dữ liệu của nhau không?

Cách đây một thời gian, tôi đã biết rằng việc chỉ định tất cả người dùng vào cùng một nhóm và đặt 701 cho các thư mục chính của họ sẽ ngăn họ làm hỏng dữ liệu của nhau, nhưng vẫn cho phép một chương trình hệ thống, chẳng hạn như máy chủ web, truy cập dữ liệu.

Vì vậy, tôi tạo ra một nhóm người dùng sau đó hai người dùng, alice: người dùng và bob: người dùng với /opt/www/alice và /opt/www/bob thư mục nhà tương ứng. Sau đó, sau khi đăng nhập dưới alice tôi không thể vào /opt/www/bob và ngược lại.

Vì vậy, đối với tôi, có vẻ như các quyền không phải lúc nào cũng được kiểm tra cho mọi loại (người dùng, nhóm, mọi người) mà thay vào đó dần dần, về cơ bản dừng lại sau một kết quả khớp tiêu cực. Tức là, trong trường hợp của tôi

• khi một người dùng trong cùng một nhóm cố gắng mở thư mục:
  • đầu tiên, chúng tôi đang kiểm tra một người dùng, nó không giống nhưng 7 chúng ta hãy đi xa hơn
  • sau đó 0 ngăn chúng tôi truy cập thư mục và cũng dừng kiểm tra quyền tiếp theo
  • để chúng ta không rơi vào trường hợp x-cho-mọi người từ 1
• trong khi đối với người dùng từ nhóm khác:
  • đầu tiên, chúng tôi đang kiểm tra một người dùng, nó không giống nhưng 7 chúng ta hãy đi xa hơn
  • sau đó chúng tôi đang kiểm tra một nhóm, đó là 0 nhưng nhóm khác nhau, vì vậy chúng ta hãy vượt qua
  • vì vậy chúng tôi có thể mở thư mục nhờ 1 là "mọi người" trong thư mục này

Liệu phỏng đoán này có đúng không? Tôi có thể dựa vào hành vi này? Nhược điểm có thể có từ thiết lập này là gì?

Tôi nghĩ rằng bạn đã hiểu sai một chút, nhưng kết quả là như nhau. 701 có nghĩa là:

• người dùng được đánh dấu là chủ sở hữu có đầy đủ quyền, 7
• người dùng trong nhóm được đánh dấu là chủ sở hữu nhóm không có quyền, 0
• mọi người đều có quyền thực thi, 1

Vì vậy, nếu chủ sở hữu & quyền trên /opt/www/bob là bob: người dùng và 701 tương ứng, sau đó bồng bềnh được toàn quyền và mọi người có thể 'thực thi' thư mục. Điều này có nghĩa là bất kỳ ai cũng có thể truy cập các tệp của riêng họ hoặc các tệp thuộc sở hữu của nhóm trong thư mục, nhưng họ không thể liệt kê nội dung.

Ví dụ:

$> kiểm tra mkdir
$> echo 'foo' > test/foo.txt
$> kiểm tra chmod 100/
$> ls -l kiểm tra/
Quyền bị từ chối
$> kiểm tra mèo/foo.txt
foo
$>

Vì vậy, có, những người dùng khác trong nhóm sẽ không có quyền, nhưng mọi người đều có quyền thực thi. Bạn nên đặt quyền thành 740 nếu bạn muốn cho phép nhóm đọc và không ai khác. Hoặc 741 để đạt được những gì bạn có, nhưng rõ ràng hơn một chút?