允许用户读取其他用户的主目录

我是系统管理的新手，并且有一个与权限相关的查询。我有一个小组administration。内部administration组，我有用户user1，user2，user3，superuser。所有用户都在administration组中。现在，我需要向用户授予权限，superuser以便能够查看/home其他用户的目录。不过，我不想user1，user2，user3看到本人以外的任何其他用户的家中。（也就是说，user1应该只能看到user1的房屋，依此类推）。

我已经创建了用户和组，并将所有用户分配给该组。我superuser现在应该如何指定权限？

换句话说，我正在考虑有两个小组（say NormalUsers和Superuser）。该NormalUsers组将有用户user1，user2和user3。该Superuser组将只有该用户Superuser。现在，我需要Superuser对群组中的用户文件具有完全访问权限NormalUsers。在Linux中有可能吗？

如果用户合作，则可以使用访问控制列表（ACL）。在user1（和朋友）的主目录上设置ACL，以授予对的读取访问权限superuser。还为新创建的文件设置默认ACL，并为现有文件设置ACL。

setfacl -R -m user:superuser:rx ~user1
setfacl -d -R -m user:superuser:rx ~user1

user1 如果愿意，可以更改其文件上的ACL。

如果您希望始终授予superuser对user1文件的读取权限，则可以使用bindfs创建具有不同权限的用户主目录的另一个视图。

mkdir -p ~superuser/spyglass/user1
chown superuser ~superuser/spyglass
chmod 700 ~superuser/spyglass
bindfs -p a+rX-w ~user1 ~superuser/spyglass/user1

通过〜superuser / spyglass / user1访问的文件是世界可读的。除权限外，~superuser/spyglass/user1还是user1的主目录视图。由于superuser是唯一可以访问的用户，因此~superuser/spyglass只能superuser从中受益。

您可以使用ACL将访问特定目录的权限授予任意组。

例如，如果您运行setfacl -m g:dba:rwx /home/foo，则dba组的成员将对其具有rwx权限，而不管哪个目录拥有该目录。

您可能还需要设置“默认” ACL（目录内新创建对象的ACL），使其也包含此权限。

不幸的是，实际上没有任何方法可以直接在原始Linux上执行此操作。

您也许可以在sudoers中为部分管理员创建一个新组，其中包含您希望允许他们运行的可接受命令的白名单。

但是，要完全实现您的要求，就必须使用Apparmor或SELinux来实现所需的功能。不幸的是，这些工具都不容易设置和使用，并且示例远远超出了此处的快速解答范围。