如何使用Linux组限制其他用户对目录的读取，写入和执行访问？

我不知道如果只有一个“来宾”（通常只应有一个来宾），为什么需要一个“不受信任的”组。可以将“来宾”组用作“不受信任”的组。无论如何，我会尽量简短地解释一下，以指出正确的方向：

??? （到目前为止，我是否正确执行了上述操作？？）-我仍然希望其他超级用户能够看到来宾的文件。

登录到帐户“ root”的任何人都可以执行此操作。使用su -c "do something"或sudo do something。要以root用户身份登录，请使用su root（或正好su默认为不带args的root用户）或sudo -i（但要知道，不建议新手用户以root用户身份登录）。

无论如何，建立“不受信任的”小组有什么意义？我看不出它如何改变任何东西。

恰恰。但是，例如在文件服务器上，具有用于特定访问目的的特定组可能非常有用。开发和测试环境可能会受益于运行具有较少特权的流程，测试不受信任的二进制文件（尽管监狱对此更好）。通常，拥有不受信任的用户在企业中可能很有用，但对于普通台式机或工作站则无济于事。可能还有更多的用例，因此在此之前，我将止步于此，其余内容供您阅读。

撤消所有其他主目录上的读，写和执行（rwx）组和其他权限：??? 如果我执行chmod go-rwx / home / * /，则其他sudoer甚至无法读取来宾的目录，这不是我想要的！我只希望来宾无法读取其他人的目录

不，你当然不会。在这种情况下，撤消g（组）访问权限将使事情变得很混乱，并且无法实现您的目标（以防止访客与其他用户的住所发生混乱）。阅读以下简短说明：

通过adduser添加新用户的默认性质是：

1. 使用匹配的主要组ID创建的新用户。
2. 新用户会收到一个主文件夹，通常是/ home / USERNAME /，该用户具有rwx特权。
3. 默认情况下，没有给予其他特权，也没有向用户分配任何补充组（我听说有些配置可以这样做，但这不是“普通”行为）。
4. 因此，只需创建用户即可实现您已声明要实现的所有功能。换句话说，首先删除用户和用户的主目录，然后再进行任何更改，直到您知道需要更改的内容为止。使用创建帐户后，您可以查看该帐户的组id USER。因此，如果系统的默认行为异常，则可以删除来​​宾不应进入的任何组。

我只希望访客无法阅读其他人的目录

默认情况下，guest虚拟机可以只读其他文件。如果要将文件设为私有文件（仅对所有者，组和根chmod -R o-rwx目录可见），请选择其目录。“ o”表示“其他”或“世界”。该标志指向不是文件所有者或拥有该文件的组成员的任何人（不包括root，而root基本上是您的全能用户）。需要使用“ ox”来确保无法执行目录列表，因为目录是可执行的（超出范围）

获取您希望“来宾”有权访问的任何目录的所有权。请注意，由于我们在上面使用了adduser，因此来宾已经可以访问其“ / home / guest”主文件夹。但是，可以按以下步骤为用户提供“访客”其他目录：sudo chown -hR guest / any / directory / you / want / guest / to / own

否。如果要共享文件夹，请创建一个名为“ shareful”的新组（这很容易，因为您必须“小心”），然后将所有要共享目录的用户添加到该组（usermod -aG shareful myuser）。然后将所述文件夹的组所有权授予共享组（chown -R :shareful /this/path/），并chmod权限，使该组具有rwx（chmod -R g+rwx /this/path）。此时，您将开始想要研究umask，但这超出了本文的范围。

以下是指向umask信息的链接，但是首先，我认为您需要重新阅读基本的* NIX文件权限（前两个链接）。

文件权限：（Wikipedia）https://en.wikipedia.org/wiki/File_system_permissions（UNIX.com）http://www.unix.com/tips-and-tutorials/19060-unix-file-permissions.html

Linux和umask ：（不熟悉的源代码）https://www.cyberciti.biz/tips/understanding-linux-unix-umask-value-usage.html

希望这至少可以澄清一些事情，以实现您想要的目标。