學習案例:設定多人共用的安全 Web 目錄

作者: mtchang

# 實戰案例:設定多人共用的安全 Web 目錄


## 情境介紹 (The Core Problem)

您是公司的系統管理員,目前正在管理一台 Web 伺服器。有兩位網頁開發者,`alice` 和 `bob`,他們需要共同開發一個位於 `/var/www/project_alpha` 的新網站。


**您的核心挑戰是:**

1.  `alice` 和 `bob` 都必須能夠在 `/var/www/project_alpha` 目錄中新增、編輯和刪除檔案。

2.  為了解決協作問題,`alice` 建立的檔案,`bob` 必須能夠編輯,反之亦然。

3.  系統上其他的無關使用者,絕對不能對此目錄有寫入權限。

4.  最終,網站伺服器軟體(例如 Nginx,通常以 `www-data` 使用者身份運行)需要能夠讀取這些檔案,以便將網頁呈現給訪客。


---


## 階段一:【建立協作團隊與成員】


* **問題:** 「首先,我需要為開發者 `alice` 和 `bob` 建立系統帳號,並將他們納入一個名為 `webdevs` 的共同開發群組中。」


* **操作與解說 (以 `root` 或具備 `sudo` 權限的使用者執行):**


    1.  **建立 `webdevs` 群組:**

        ```bash

        sudo groupadd webdevs

        ```

        * **`groupadd`**: 用於建立一個新的使用者群組。


    2.  **建立使用者 `alice`,並將其主要群組設為 `webdevs`:**

        ```bash

        sudo useradd -m -s /bin/bash -g webdevs alice

        ```

        * **`useradd`**: 建立新使用者。

        * `-m`: 自動建立使用者的家目錄 (`/home/alice`)。

        * `-s /bin/bash`: 設定使用者登入後預設使用的 Shell。

        * `-g webdevs`: 將使用者的「主要群組」直接設定為 `webdevs`。


    3.  **建立使用者 `bob`,同樣加入 `webdevs` 群組:**

        ```bash

        sudo useradd -m -s /bin/bash -g webdevs bob

        ```


    4.  **為新使用者設定密碼:**

        ```bash

        sudo passwd alice

        sudo passwd bob

        ```

        * 依提示輸入兩次新密碼。


    5.  **驗證使用者與群組設定:**

        ```bash

        id alice

        # 預期輸出:uid=1001(alice) gid=1001(webdevs) groups=1001(webdevs)

        id bob

        # 預期輸出:uid=1002(bob) gid=1001(webdevs) groups=1001(webdevs)

        ```

        * **`id`**: 檢查使用者的身份識別碼。確認 `gid` (群組ID) 和 `groups` 都指向了 `webdevs`。


---


## 階段二:【準備共用工作區】


* **問題:** 「使用者帳號有了,現在我需要在 `/var/www/` 底下建立專案目錄 `project_alpha`,並將這個目錄的所有權指派給我們的 `webdevs` 團隊。」


* **操作與解說:**


    1.  **建立專案目錄:**

        ```bash

        sudo mkdir -p /var/www/project_alpha

        ```

        * `-p`: 確保上層目錄 `/var/www` 如果不存在,也會一併被建立。


    2.  **變更目錄的群組所有權:**

        為了安全,我們讓目錄的「擁有者」維持為 `root`,但將「所屬群組」變更為 `webdevs`。

        ```bash

        sudo chown root:webdevs /var/www/project_alpha

        ```

        * **`chown`**: "Change Owner",用於變更檔案或目錄的擁有者與群組。格式為 `擁有者:群組`。


    3.  **驗證所有權設定:**

        ```bash

        ls -ld /var/www/project_alpha

        ```

        * **預期輸出:**

        `drwxr-xr-x 2 root webdevs 4096 Oct  2 14:00 /var/www/project_alpha`

        * 確認擁有者是 `root`,群組是 `webdevs`。


---


## 階段三:【設定協作權限的魔法:SGID】


* **問題:** 「如果只設定普通權限,`alice` 建立的檔案,群組會是 `alice`,`bob` 可能無權修改。如何設定一個『繼承』規則,讓任何人在這個目錄裡建立的新檔案或新資料夾,都自動屬於 `webdevs` 群組?」


* **操作與解說:**

    * 這裡的關鍵是設定 **SGID (Set Group ID)** 特殊權限。


    1.  **設定目錄的基礎權限為 `775`:**

        ```bash

        sudo chmod 775 /var/www/project_alpha

        ```

        * **`chmod`**: "Change Mode",用於變更權限。

        * `775` 意義:

            * `7` (擁有者 `root`): 讀 (`r`=4) + 寫 (`w`=2) + 執行 (`x`=1) = 7

            * `7` (群組 `webdevs`): 讀 + 寫 + 執行 = 7

            * `5` (其他人): 讀 + 執行 = 5


    2.  **為目錄加上 SGID 權限:**

        ```bash

        sudo chmod g+s /var/www/project_alpha

        ```

        * `g+s`: 為群組 (`g`) 加上 (`+`) SGID (`s`) 權限。


    3.  **驗證最終權限:**

        ```bash

        ls -ld /var/www/project_alpha

        ```

        * **預期輸出:**

        `drwxr-sr-x 2 root webdevs 4096 Oct  2 14:00 /var/www/project_alpha`

        * **注意看!** 原本群組的執行權 `x`,現在變成了 `s`。這就代表 SGID 已成功設定。


---


## 階段四:【實戰演練與驗證】


* **問題:** 「設定完成了,我們來實際模擬 `alice` 和 `bob` 的協作流程,看看是否真的解決了問題。」


* **操作與解說:**


    1.  **切換為 `alice` 身份:**

        ```bash

        su - alice

        ```

    2.  **`alice` 進入專案目錄並建立檔案:**

        ```bash

        cd /var/www/project_alpha

        echo "Alice's first line" > index.html

        ls -l index.html

        ```

        * **預期輸出:** `-rw-rw-r-- 1 alice webdevs 21 Oct  2 14:05 index.html`

        * **驗證成功!** `index.html` 的所屬群組自動變成了 `webdevs`。


    3.  **登出 `alice`,切換為 `bob` 身份:**

        ```bash

        exit

        su - bob

        ```

    4.  **`bob` 進入專案目錄,並嘗試編輯 `alice` 的檔案:**

        ```bash

        cd /var/www/project_alpha

        echo "Bob added a new line" >> index.html

        cat index.html

        ```

        * **預期結果:** 指令成功執行,證明 `bob` 確實有權限修改 `alice` 建立的檔案!


    5.  **`bob` 建立一個自己的目錄:**

        ```bash

        mkdir images

        ls -ld images

        ```

        * **預期輸出:** `drwxr-sr-x 2 bob webdevs 4096 Oct  2 14:10 images`

        * **驗證成功!** `images` 目錄的群組也是 `webdevs`,並且也繼承了 `s` 權限。


    6.  **最後,讓網站伺服器 `www-data` 也能讀取檔案**

        回到管理者帳號 (`exit` 登出 `bob`),執行:

        ```bash

        sudo usermod -aG webdevs www-data

        ```

        * **`usermod -aG`**: 將一個使用者**附加 (`a`)**到某個**群組 (`G`)**中。


---


## 任務總結

恭喜!您已成功建立並驗證了一個安全、高效的多人協作目錄。透過**使用者/群組管理 (`useradd`, `groupadd`)**、**所有權變更 (`chown`)** 和**權限設定 (`chmod`)**,特別是利用了 **SGID (`g+s`)** 的繼承特性,您從根本上解決了 Linux 環境下團隊協作的權限痛點。這是在真實工作場景中非常實用的一項核心技能。

留言

張貼留言

這個網誌中的熱門文章

Linux 下使用終端機連接 switch (minicom)

作者: mtchang
圖片
RS232 是很多資訊設備仍保留的連接界面,最常用在網路設備上的  console 界面登入。 minicom 是一個 Linux 下可以以終端機模式登入的程式,和以前 dos 時代的鐵力士很相 似 # 安裝 minicom mtchang@debian:~$ sudo apt-get install minicom # 我用的是 usb to rsr232 界面(現在 rs232 port 越來越少見了),藉由 messages 檔案觀看他自動賦予那個 device 編號。這裡抓到的是 ttyUSB0 --> /dev/ttyUSB0 mtchang@debian:~$ sudo tail /var/log/messages -f Dec 11 09:54:34 debian kernel: [ 3454.792199] usb 5-1: USB disconnect, device number 2 Dec 11 10:32:35 debian kernel: [ 5735.764149] usb 4-1: new full-speed USB device number 4 using uhci_hcd Dec 11 10:32:35 debian kernel: [ 5735.980153] usb 4-1: New USB device found, idVendor=5372, idProduct=2303 Dec 11 10:32:35 debian kernel: [ 5735.980162] usb 4-1: New USB device strings: Mfr=1, Product=2, SerialNumber=0 Dec 11 10:32:35 debian kernel: [ 5735.980170] usb 4-1: Product: USB-Serial Controller Dec 11 10:32:35 debian kernel: [ 5735.980175] usb 4-1: Manufacturer: Prolific Technology Inc. Dec 11 10:32:35 debian kernel: [ 5735.982272] pl2303 4-1:1.0: pl23...
閱讀完整內容

透過 curl 的 timeout 設定識別 http 的網路連線壅塞問題

作者:
網路連線壅塞是一個難解的問題, 因為網路會產生抖動(Jitter)現象, 抖動發生時, 連線會突然變得很慢. 當狀況改善後就會回復. 但很大的原因是因為是因為 DNS 解析或是 TCP 交握的過程產生的問題.  當 curl 連線到一個 HTTP 網址時,其工作流程包括以下幾個主要步驟: 1. DNS 查詢 目標 :解析主機名 (如 example.com ) 對應的 IP 位址。 過程 : curl 通過 DNS 伺服器進行查詢,獲取目標伺服器的 IP 地址。 結果 :若查詢成功,返回 IP 地址, curl 將繼續下一步。若查詢失敗, curl 則返回 DNS 錯誤並中止。 2. TCP 三向交握 (Three-Way Handshake) 目標 :建立與目標伺服器的 TCP 連線。 過程 : curl 通過系統內核發送一個 SYN 封包,目標伺服器回應 SYN-ACK ,然後 curl 返回 ACK 完成三向交握,建立起 TCP 連線。 結果 :若在 --connect-timeout 設定時間內未完成三向交握,則連線失敗並返回超時錯誤。 3. 發送 HTTP 請求 目標 :向伺服器發送具體的 HTTP 請求,根據 URL 設定不同的請求方法(如 GET 、 POST )。 過程 : curl 構建 HTTP 請求標頭並附加任何所需的數據(如表單數據),然後通過已建立的 TCP 連線將請求發送到伺服器。 結果 :伺服器接收請求並準備回應,若過程中出現網路問題,則請求可能中止或失敗。 4. 伺服器處理請求並返回回應 目標 :伺服器根據請求的 URL 路徑處理並生成對應的回應內容。 過程 :伺服器確認請求內容後,由 HTTP 伺服器(如 httpd )根據需求(例如讀取靜態文件或調用後端服務)生成回應,並加上適當的 HTTP 狀態碼和標頭。 結果 :伺服器將回應內容傳回給 curl 客戶端。 5. 接收 HTTP 回應 目標 : curl 從伺服器接收回應數據,並在終端或指定的輸出目標中顯示。 過程 : curl 讀取 HTTP 回應標頭(包括狀態碼,如 200 OK 、 404 Not Found 等)及內容,並根據需要顯示、保存或處理該回應。 結果 :若指定了輸出文件, curl 將回應寫入文件;若未指定,則在終端中顯示。...
閱讀完整內容

VMWARE VM linux 擴充硬碟空間

作者: mtchang
可以參考 AWS 上面的文章  https://docs.aws.amazon.com/zh_tw/AWSEC2/latest/UserGuide/recognize-expanded-volume-linux.html  但 EC2 流程更簡單, 你在EC2調整後他自動幫你最佳化到好. Linux 內部他幫你處理了. VMWARE ESXi 就自己動手流程是 先調整 VMWARE 的VM硬碟空間 再去 LINUX 擴大硬碟分割區 然後把  FileSystem 放大 就好了...XD but 很重要的是, 因為這些有風險建議先備份免得出意外!!!  VMWARE ESXi Ubuntu Linux 放大VM硬碟 ESXi 把要放大硬碟的VM主機關機, 調整外部的硬碟容量設定大小(增大) 重開機, 從 ESXi console 登入 root 調整 可以先檢查目前的 disk 容量 # fdisk /dev/sda -l 重新掃描磁碟, ex: /dev/sda # echo 1 | sudo tee -a /sys/block/sda/device/rescan 延伸VM磁碟配置表 , 延伸後可以再檢查看看VM硬碟容量是否已經改變 #  growpart /dev/sda 3 重新讀取磁碟配置表 #  partprobe -s /dev/sda 延伸 LVM 的 Physical Extent (PE) , pvdisplay 可以檢查pv容量是否變化 #  pvresize -v /dev/sda3 延伸 LVM 的 Logical Volume (LV) * 完全延展 # lvextend -l +100%FREE /dev/ubuntu-vg/ubuntu-lv * 指定容量延展 # lvextend -L +100G /dev/ubuntu-vg/ubuntu-lv 延伸檔案系統 size , 可以用 df -lh 檢查容量 # resize2fs /dev/ubuntu-vg/ubuntu-lv
閱讀完整內容