CentOS中LibreOffice权限设置指南
一 核心原则与适用说明
- LibreOffice 的权限控制依赖 Linux 文件/目录权限 与 ACL,软件本身不直接提供文档级权限。
- 基本要素:权限由 r(4)/w(2)/x(1) 构成,身份分为 所有者/组/其他;常用命令为 chmod、chown、getfacl/setfacl;遵循 最小权限原则,避免对文档目录使用 777。
二 对文档与目录的权限设置
- 查看权限与属主
- 查看:ls -l /path/to/dir
- 递归查看:ls -lR /path/to/dir
- 设置目录权限(示例)
- 仅所有者可写,组与其他只读执行:chmod 755 /opt/libreoffice(目录需执行位以便进入)
- 共享协作目录(组内成员可读写,其他只读):chmod 775 /data/docs
- 设置文件权限(示例)
- 普通文档只读:chmod 644 /data/docs/*.docx
- 需要脚本/程序执行时再添加执行位(如转换脚本):chmod +x /usr/local/bin/convert.sh
- 修改属主与属组(示例)
- 变更所有者:sudo chown alice /data/docs/file.docx
- 变更属组:sudo chgrp editors /data/docs
- 同时变更所有者和组:sudo chown alice:editors /data/docs/file.docx
- 递归变更:sudo chown -R alice:editors /data/docs
- 批量与默认权限
- 目录树统一权限:chmod -R 755 /opt/libreoffice
- 新建文件/目录的默认权限由 umask 决定,常见为 022(文件默认 644、目录默认 755)。
三 使用ACL实现细粒度授权
- 为特定用户单独授权(示例)
- 授予 bob 对目录的读写执行:setfacl -m u:bob:rwx /data/docs
- 仅授予 alice 对单个文件的读写:setfacl -m u:alice:rw /data/docs/spec.docx
- 查看与撤销
- 查看 ACL:getfacl /data/docs
- 撤销某用户的 ACL:setfacl -x u:bob /data/docs
- 适用场景:需要跨部门/多用户协作但又不希望开放 777 时使用 ACL 更稳妥。
四 以服务账户运行LibreOffice时的权限要点
- 选择专用系统账户(如 libreoffice)运行转换/服务,避免使用 root
- 创建账户:sudo useradd -m -s /bin/bash libreoffice
- 变更目录属主:sudo chown -R libreoffice:libreoffice /opt/libreoffice /data/docs
- 无头转换常用命令(示例)
- 将 input.docx 转为 output.pdf:/usr/bin/libreoffice --headless --invisible --convert-to pdf input.docx -o output.pdf
- 字体目录权限(中文不乱码)
- 拷贝 Windows 字体至 /usr/share/fonts/win,设置权限并刷新字体缓存:
- chmod -Rf 755 /usr/share/fonts/win
- fc-cache -fv
- 权限建议
- 运行账户对文档目录至少具备 读 权限,对输出目录具备 写 权限;对程序目录具备 读/执行 权限。
五 通过Samba共享时的权限联动
- 共享目录示例配置(/etc/samba/smb.conf)
- 路径与权限:path = /data/docs;valid users = alice, bob;read only = no;writable = yes
- 本地目录权限先行:sudo chown alice:libreoffice /data/docs;sudo chmod 770 /data/docs
- 启动服务
- sudo systemctl start smbd;sudo systemctl enable smbd
- 说明:Samba 共享的访问控制最终仍受 Linux 权限/ACL 约束,需两端一致配置。
