LINUX.ORG.RU
ФорумAdmin

Добавление прав на чтение

 , ,


1

1

Всем доброго времени суток.

Подскажите, есть ли возможность добавить определенному пользователю права на чтение каталога, например, /etc?

Цель этого - запаковать каталог в архив с целью бекапа. Из под root всё запаковывает и все счастливы. А вот из под пользователя не включенного в группу root некоторые каталоги нет возможности прочесть и поэтому бекап получается не полным.

Если заархивируешь, значит перенесёшь и прочитаешь. А тебе незя...

anonymous ()
Ответ на: комментарий от hanharr

Нельзя добавить права на чтение?

Можно группу создать, куда будет входить root и пользователь, под которым идет бэкап. И дать ей право на чтение.

А вообще-то, начинать надо с рассказа о том, как именно планируется делать бэкап - для многих систем есть штатные решения данного вопроса.

Serge10 ★★★★★ ()
Ответ на: комментарий от Serge10

Кусок скрипта:

create_dir_dump() {
######################################
# Функция должна получать параметр   #
# $1 каталог исходный                #
# $2 имя бэкапа                      #
# $3 возраст бэкапа                  #
# $4 количество бэкапов для хранения #
######################################
cd $1
/bin/tar -c -f - ./* | /bin/gzip -c9 > ${path_backup}${pref_backup}_backup_dir_$2_${date_current}.gz
delete_old_backups ${pref_backup}_backup_dir_$2 $3 $4
}

create_backups() {

/bin/echo "Making new backups" >> /var/log/backup.log

create_dir_dump /usr/local/script script 4 4
create_dir_dump /etc etc 4 4
}

hanharr ()
Ответ на: комментарий от Serge10

Не моя прихоть. Был аудит. Аудит убедил начальство, что нельзя ничего делать из под пользователей с полными права.

hanharr ()
Ответ на: комментарий от hanharr

Sudo без su

Не обойтись без sudo?

В sudoers можно прописывать довольно сложные правила, например разрешить запускать одну конкретную программу от одного конкретного пользователя.

Кроме того есть такая вещь как POSIX ACL, файлам и директориям (которые, как мы помним, тоже файлы) можно давать права гораздо более сложным образом чем rwx для user-group-other.

Camel ★★★★★ ()
Ответ на: комментарий от hanharr

в sudoers можно разрешить запуск скрипта без пароля от рута. можно еще selinux включить и сделать модуль. пусть аудит обос...ся.

anonymous ()
Ответ на: Sudo без su от Camel

Возможно глупый вопрос, но имеет значение в какую часть файла sudoers добавлять правило?

hanharr ()

Чем плох вариант с capabilities ?

Сдалать копию tar доступную для запуска только бекаперу

На эту копию tar поставить capabilities CAP_DAC_OVERRIDE

~$ cat /etc/shadow
cat: /etc/shadow: Permission denied
~$ getcap /bin/tar-x
/bin/tar-x = cap_dac_override+ep
~$ /bin/tar-x -cf xxx.tar /etc/shadow
/bin/tar-x: Removing leading `/' from member names
~$ tar -tvf xxx.tar 
-rw-r----- root/shadow     911 2016-03-26 12:30 etc/shadow
vel ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.