ACL jogok

UNIX kezdő

hello

egy olyan dolgot kéne megvalósítanom hogy egy könyvtárban lévő fájlokra csak a tulajnak, egy csoportnak és 1 bizonyos embernek legyen joga (ő nem tulaj és nem is a csoport tagja) másnak létező usernek pedig ne legyen hozzáférése a létező fájlokhoz. + az újonnan létrejövő fájlokat már mindenki más tudja olvasni.

na ez első 3 lépés még meg is tudom csinálni:
chmod 2770 tulaj:csoport
setfacl user::rwx

viszont az utolsó, hogy az újonnan létrejövő állományokat mindenki tudja olvasni...
esetleg setfacl -d mint default ACL? de ezt úgy tudom hogy csak könyvtárra lesz érvényes, valamint ha beállítom akkor az olyan mint ha adnék egy ilyet: chmod ***1 és így nem lesz érvényes hogy az eredeti fájlokat
a jogosultakon kívül más nem tudja olvasni.

van valami ötletek hogy oldhatnám ezt meg?

  • 7060 megtekintés

( freeoli v | 2012. 08. 30., cs – 17:01 )

getfacl? ls -la ... feltehetően users group read joga miatt van

pl: setfacl -mR u:felhasznalo:rwx konyvtar

( jupiter2005ster v | 2012. 08. 31., p – 10:29 )

Az umask mit is csinálhatnék? Azzal csak elvenni tudok jogosultságot, továbbá minden egyes fájl létrehozáskor futtatnom kellene, azza figyelnem kell hogy mikor jön létre valami.
Letudnád írni hogy mire és hogyan gondoltál? mert ez nekem most nem áll össze.

setfacl -mR u:felhasznalo:rwx konyvtar
ez a megoldás rekurzívan beállítja a felhasználonak az rwx jogot a könyvtárra, de nekem nem ez kell sajna.

nekem valami default mask vagy hasonló kellene ami csak a új állományokra lesz érvényes.
u.i.
az ACL mask nem jó. az ugyan is érvényes lesz mindenkire és mindenkinek olyan joga lesz mint amilyen a mask.

--
A legértékesebb idő a pillanat amelyben élsz.
http://phoenix-art.hanzo.hu/
https://sites.google.com/site/jupiter2005ster/

( zsalab | 2012. 08. 31., p – 14:04 )

A setfacl -d a te baratod, az nem csak a konyvtarakra vonatkozik hanem az ujonan letrejovo falokra is, viszont a nagy szivas az alap ACL implementacioban hogy ha be van kapcsolva az ACL akkor a chmod es baratai eseteben a csoport helyett az ACL mask-ot allitod.

Szoval ha figyelsz arra, hogy az ACL mask is rendben legyen akkor meg tudod oldani a dolgot.

Ha nagyon zavaro az ACL ezen mukodese akkor tudok patch-t adni a 3.2.x-es kernel szeriahoz amivel a group megmarad group-nak, persze akkor csak setfacl-el tudod az ACL mask-ot allitani (en peldaul gyuloltem, ezert csinaltam meg a patch-t).

itt egy konyvtar, amiben ha letrejon egy fajl akkor azt tudja majd olvasni az ACL-ben megadott plusz felhasznalo es csoport is.... termeszetesen

# file: /var/log/service
# owner: root
# group: root
user::rwx
user:www-data:r-x
group::r-x
group:sdevel:r-x
mask::r-x
other::r-x
default:user::rwx
default:user:www-data:r--
default:group::r--
default:group:sdevel:r--
default:mask::r-x
default:other::r-x

letrejott file (termeszetesen ha logrotate nem ugy van beallitva, hogy 640-val hozza letre a fajlt akkor az other-nek is maradt volna read):

# file: var/log/service/error.log
# owner: root
# group: adm
user::rw-
user:www-data:r--
group::r--
group:sdevel:r--
mask::r-x
other::---