Fájlrendszer jogosultságok

Linux-kezdő

Sziasztok!

Lehet, hogy alég alap dolgok lesznek amitkérdezek nézzétek el légyszi.

Tehát, kezdem az elején. Van a SUSE 9.2 szerveren egy pub nevű megosztás amit mindenki a cégen belül írhat és olvashat. Ebben létrehoztam egy könyvtárat amiben statikus weboldal lesz (csak intraneten kell menjen) viszont ezt csak 4 ember olvashatja (böngészővel : \\server\pub\directory\index.html) és az egyik ember írhatja is. Jogi korlátozás nélkül megy, de a korlátozás már nem jött össze.

Ahogy próbálkoztam:

1. A kérdéses könyvtárat és annak tartalmát (index.html) annak a személynek a tulajdonába tettem aki írhatja is.

2. Létrehoztam egy xxx nevű csoportot és a /etc/group file-t szerkesztve idetettem a 4 usert akik olvashatják.

3. chod 750 jogosultságot állítottam be a html fájlokat tartalmazó könyvtárra és a html fájlokra is. Ugye mit jelent ez?

7 = a tulajdonosa írhatja olvashatja
5 = a csoport olvashatja + futtathatja
0 = mindenki másnak semmi

Nah, ez nem működik.

a.) Most a fájl tulajdonosa "géza" és a "xxx" csoportból kitöröltem magam és mégis olvashatom.
Viszont szerkeszteni nem engedi :) ez már valami.

b.) Most átírtam a tulajdonosát magamra, és woala: tudom írni olvasni.

c.) Most betettem magam a "xxx" csoportba és visszaírtam a fájl tulajdonosát gézára.
Így most jó, mert olvashatom de nem írhatom. De az a pontom szerint akkor is engedte olvasni amikor nem voltam xxx csop. tagja.

-----------

Ide tartozik az is, hogy pl a CVS szerver esetén új userneveket hoztam létre useradd cvsgéza -g cvs, azért, hogy a szerveren létrehozott projectek ne users hanem cvs csop. tulajdonában legyen. A lényeg az, hogy működik, de nem értem, a /etc/group -ban nem látok a cvs csop. mellett senkit, mégis a -g kapcsoló működik.

Szerintem valahol itt kell keresni a problémát, de lehet (biztos), hogy én nem értem a csoportok működését a unix rendszerekben. :((

  • 1026 megtekintés

( wildy | 2006. 09. 28., cs – 14:22 )

Milyen filerendszer? Ha van ACL tamogatasa, akkor ne szivasd magad feleslegesen, rakd fel az attr*, acl* csomagokat, es allitsd be a setfacl paranccsal a szuksegeseket. Mindenesetre egy mindenki altal irhato konyvtaron belul szukebb jogosultsagu alkonyvtar kialakitasa kicsit erdekes, szerintem nem szerencses koncepcio.

( korci | 2006. 09. 28., cs – 14:33 )

Én is amondó lennék, hogy hozz létre egy külön megosztást ennek a 4 embernek, és máris egyszerűbb a helyzet. Engedélyezz egy erre a célra létrehozott csoportot, és ha felhasználókat kell hozzáadnod, vagy eltávolítanod, kevesebb a szenvedés, pláne ha egymás fájljait is modosíthatják.

"Én is amondó lennék, hogy hozz létre egy külön megosztást ennek a 4 embernek, és máris egyszerűbb a helyzet."

Eddig értelek :)

"Engedélyezz egy erre a célra létrehozott csoportot, és ha felhasználókat kell hozzáadnod, vagy eltávolítanod, kevesebb a szenvedés, pláne ha egymás fájljait is modosíthatják."

Ezt már nem értem. Leírtam, hogy létrehoztam erre a célra csoportot: xxx
(nem xxx a neve csak ezzel jelképezem) és nem a hozzáadással van gondom, legalábbis ha jól csinálom, mert én úgy adok user csport-hoz, hosz szerkesztem a /etc/group fájl és a xxx:1200:...:budacsik,geza,bela,jucus,mucus ....
ily módon. De nem megy.

ok, akkor pontosítsunk. Azt írtad van egy megosztott könyvtárad egy szerveren. Gondolom valami fájlszerveren keresztül érik el, nem? samba, nfs? Vagy ftp szerver?

Bár, hogy őszinte legyek kicsit nem értem a problémát. Ha weben keresztül 4 olvashatja csak, azt file szinten nem tudod megoldani, mert a web szervernek is tudnia kell olvasni, és akkor már mások is tudják.

Ok, akkor csinálj egy megosztást , amihez csak a csoportban tartózkodóak tudnak hozzáférni (read list =@xxx , és force group = xxx ), és csak azok a felhasználók írhatják akiket te megadsz (write list = user1 user2 - célszerű itt is definiálni egy csoportot, hogy módosítás után ne kelljen újraindítani mindig a sambát). Ezek után a könyvtárat tedd a csoport tulajdonába, és a sambán add meg, hogy a fájlokat 640 ( force create mode = 640 ) könytárakat 750 (force directory mode = 750 ) jogokkal hozza létre.

Te azt mondod read list = @xxx

nálunk egy másik megosztásnál így van
valid users = @csopnev

Mi a különbség? :S

Nah, bemásolom, hogy néz ki nálunk egy hasonló megosztás amit nem én készítettem.

[shared_directory]
comment = This is sample shared directory
valid users = @csopnev
path = /home/directory
guest ok = no
force create mode = 0770
force directory mode = 0770
create mask = 0770
directory mask = 0770
writeable = yes

Ezt nem is érte nagyon de amit te írtál értelmesebbnek néz ki, elviekben így nézne ki :S

[shared_directory]
comment = This is sample shared directory
read list = @csopnev
write list = geza bela (új csop, esetén @write)
force create mode = 640
force directory mode = 750

Viszont kérdeznék, ha nem zavarlak vele téged [titeket].
Az én példámban a jogadás 4 karakter a tiédben 3. A 3 karaktereset talán értem, mert sztm úgy működik mint a Unix filerendszer jog: pl 765
user: rwx, group: rw-, other:r-x.

Lehet, hogy 0750 kell a 750 helyett, nem emlékszem, fejből írtam. Path változó is mindenképpen kell. A valid users is jó, de azzal nem korlátozod az írást, olvasást, csak a hozzáférést. Gondold végig. Ha csak 1 felhasználó írhatja a dolgokat akkor a valid users elég, de ha 2 vagy 3, akkor már kevés, és a fájlokat/könyvtárakat is 0660/0770 jogokkal kell létrehozni.
Egyébként meg man smb.conf ott minden benne van. Én is onnan szedtem anno még x évvel ezelőtt.