» »

Kako najlaže rešiti problem z unix permissioni

Kako najlaže rešiti problem z unix permissioni

eVro ::

Kako najlaže v Linuxu narediti da user2 lahko dostopa do vseh datotek, ki jih ima user1 (npr. /home/user1) in seveda obratno (npr. ko user2 ustvari datoteko v /home/user1 do le-te user1 še vedno lahko dostopa)?

OrkAA ::

setfacl -R -d -m u:user2:rwx /home/user1
setfacl -R -m u:user2:rwx /home/user1

setfacl -R -d -m u:user1:rwx /home/user2
setfacl -R -m u:user1:rwx /home/user2

Če ne dela ti manka acl pod fs options v /etc/fstab.

Brane22 ::

Tole z ACL-i bo vserjetno delalo samo za obstoječe datoteke.

Kar pomeni, da bi po vsakem updateu moral osvežiti stanje s ponovitvijo teh ukazov.

Končna rešitev je odvisna od tega kaj bi rad dosegel.

Če ni nujno deljenje vseh ampak samo nekaterih datotek, bi mogoče lahko kreiral neko mapo kjer bi oba imela skupni dostop.

Tudi ni razvidno, ali želiš samo izmenjavo podatkov med dvema od mnogih userjev - članov iste skupine ali med vsemi.

Če med vsemi, potem lahko nastaviš UMASK tako, da vsi novoustvarjeni fajli in mape dovoljujejo dani dostop članom skupine.

Tudi ni jasno kaj misliš pod dostop- samo branje ali tudi brisanje in vpis.

SynTax64 ::

chmod -R 777 /


Tega ne delaj saj boš s tem dal vse pravice rekurzivno od korenske mape navzdol

lahko pa z ukazom chown dodeliš user1 da lahko dostopa do datotek kjer je v skupini user2 in obratno.

Zgodovina sprememb…

  • odbrisal: Mavrik ()

Brane22 ::

Lahko bi tudi uporabil mehanizem file monitoringa in pač s posebnim progamom, ki bi ga prožil ob spremembi ponastavil dovoljenja novonastalih map in datotek.

Detejlov ne vem na pamet, bi bilo treba pobrskat po dokumentaciji.

eVro ::

SynTax64 je izjavil:

lahko pa z ukazom chown dodeliš user1 da lahko dostopa do datotek kjer je v skupini user2 in obratno.


Sem že poskusil uporabnika user1 dodati v skupino user2 in obratno, celo najprej sem pomislil na to, ampak ne deluje kot bi moralo, pa ne vem zakaj.

@Brane22: rad bi dosegel le to, kar sem napisal, brez nepotrebnih varnostnih lukenj.

Konkretno potrebujem na serverju več uporabnikov, ki lahko dostopajo do skupne mape, ki pa spet ne sme biti kar world-readable. Tudi programje, ki ga lavfa vsak tak uporabnik mora imeti dostop (npr. vsak uporabnik lavfa svoj transmission, prenašajo pa v skupno mapo). Z umaski je križ, ker programi ustvarjajo datoteke po svoje (ponavadi npr. je za /home/user1 kar hardcodan user1:user1, vsaj Samba ni delovala na ta način, pa čeprav sem imel nastavljen sticky bit, pa setgid, pa še kej).

Zgodovina sprememb…

  • odbrisal: Mavrik ()

SynTax64 ::

Potem pa ustvari novo skupino recimo "users" ji dodeli ustrezne pravice ter mape, in nato vse userje za katere želiš, da imajo iste pravice pomeči noter.

SasoS ::

Brane, če nastaviš default ACL (-d) potem vsak nov fajl/dir dobi default ACL-je.

Brane22 ::

Sem že poskusil uporabnika user1 dodati v skupino user2 in obratno, celo najprej sem pomislil na to, ampak ne deluje kot bi moralo, pa ne vem zakaj.


Se mi je že dogajalo, da je ssitem take spremembe dojel šele po restartu.

Brane, če nastaviš default ACL (-d) potem vsak nov fajl/dir dobi default ACL-je.


Potem bi to znala biti najelegantnejša rešitev.

Zgodovina sprememb…

  • spremenilo: Brane22 ()

pegasus ::

Sej imamo tudi setuid in setgid bite ... take scenarije smo imeli v produkciji preden je linux vedel kaj je to acl

man chmod ...

Brane22 ::

Sej imamo tudi setuid in setgid bite ... take scenarije smo imeli v produkciji preden je linux vedel kaj je to acl


Tako imam to rešeno jaz. Ampak stvar ima omejitve. Če recimo vedno v taki situaciji včlabniš vse relevantne userje v novo grupo in daš mapi skupinski access, potem si hitro lahko na suhem, ker imaš pri vsakem userju na voljo samo omejeno število sekundarnih grup...

eVro ::

A v teoriji bi potem moralo delati da se userja doda v skupino od drugega userja in obratno?

Invictus ::

Tud v praksi gre. Ampak ponavadi za dostop datotek skreiraš posebno grupo.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

eVro ::

Ja, in si nastaviš permissione kot želiš. Nato pa ti nek program, ki je pametnejši od tebe, skreira neko novo datoteko s permissioni po svoje (pač user:user), ker ga lavfaš kot "user".

Sem povedal svoj primer, sem naštudiral 'man chown', nastavil setgid in vse datoteke ki sem jih potem naredil preko Sambe, so imele group po svoje, umaska pa Samba tudi ne upošteva kot bi morala. Če ji specificiraš umask v smb.conf, ga sicer upošteva na celotnem sharu, če pa ne specificiraš nič, pa dela po svoje. Ne upošteva kot bi pričakoval (umask direktorija, dedovanje group zaradi setgida). Mi lahko en bolj unix tip pove kje je fora, meni se zdi debilno, da ne upošteva.

Pa čas bi že bil, da se NFS uveljavi bolj na splošno...

Brane22 ::

Če vsi dostopajo preko sambe, potem je simpl.

Nastaviš pač na koga se vsi userji mapirajo in vsi fajli bodo njegovi.

SasoS ::

ACL in pa inherit acls = yes na sharu.

eVro ::

Brane22 je izjavil:

Če vsi dostopajo preko sambe, potem je simpl.

Nastaviš pač na koga se vsi userji mapirajo in vsi fajli bodo njegovi.


To že, imam tako rešeno, kaj pa če program tega ne omogoča?

Drugače pa, mapiranje si mislil s "force user" ali kako drugače?


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Pravice skupine na Ubuntu serveru

Oddelek: Pomoč in nasveti
6706 (524) fx3zRejSz0cS
»

Samba

Oddelek: Programska oprema
242430 (1722) kiFni
»

izklop naprav in procesov pri bootu

Oddelek: Pomoč in nasveti
51059 (973) Spajky
»

kako prestaviti uporabniške profile (Documents and Settings) na drug disk

Oddelek: Operacijski sistemi
91644 (1359) sidd
»

Pravice uporabnikov v linuxu

Oddelek: Operacijski sistemi
91058 (915) simon

Več podobnih tem