Ki érti, mire jó az, hogy az ACL maszk nem valami saját entryben tárolódik, hanem a sima csoportjogban?
Megmondom, miért zavar ez. Van egy szerver felhasználókkal, mindenkinek van egy public mappája a home-jában, amit bárki írhat és sticky, plusz van rajta egy default ACL, hogy a mappa tulajdonosa mindent írhasson. Így mindenki tud mindenkinek küldeni fájlokat, a public mappa tulaja törölhet mindent a saját mappájából, az emberek egymás dolgait nem tudják felülírni. De ha valaki azt mondja, hogy cp -r valamimappa xyz/public/, akkor a cp az umask szerint leveszi a group write-ot a létrejövő mappákról, ami ACL miatt a maszkból veszi ki az írásjogot, és így a public mappa tulajdonosa nem tudja törölni a dolgokat a saját mappájából.
Úgyhogy wtf?
- 727 megtekintés
Hozzászólások
up?
- A hozzászóláshoz be kell jelentkezni
az a gond, hogy a cp parancs nem, vagy nem igazán acl-aware.
azért, hogy a meglevő programok chmod-és-haverjai műveletei a meglevő szemantikával működjenek (ugye ki akar minden meglevő programot újraírni), azért van ez a maszk megoldás: ha valaki chmod parancsot ad ki, akkor azt gondoljuk, hogy ő legacy, acl-hoz nem értő program. mivel ez egy security dolog, ezért ha már nem tudjuk, hogy a program mit szeretett volna pontosan elérni, a biztonságosabb irányba tévedünk. azaz egy chmod og-w parancs esetén azt gondoljuk, hogy a legacy program nem azt szeretné, hogy a group meg az other elveszítse az írásjogot, hanem azt, hogy csak a usernek maradjon meg. ezt acl-ben a maszkból az írásjog kivételével érjük el, ami azt jelenti, hogy nem csak a "normál" unixos group és other veszti el az írásjogot, hanem mindenki, aki nem a tulajdonos.
erre az a megoldás, hogy olyan cp parancsot kell használni, ami ismeri az acl-eket, és azokat is jól átmásolja.
- A hozzászóláshoz be kell jelentkezni