LINUX.ORG.RU
ФорумAdmin

setfacl: rwx или rwX

 ,


1

2

Делаю общую папку /home/share.

setfacl -d -m g:users:rwX /home/share
Вроде бы так понял из статей, что в случае использования заглавной X - это право транслируется только на каталоги. Хочу получить в результате читаемые каталоги и незапускаемые файлы.
По факту после использования любого из вариантов: rwx или rwX - getfacl выводит след. образом:
# file: 2
# owner: root
# group: root
user::rw-
group::r-x			#effective:r--
group:users:rwx			#effective:rw-
mask::rw-
other::r--
Вопрос: какая команда дала бы права на запуск файлов?

Upd: при такой настройке пользователи группы users не могут создавать и редактировать файлы в каталоге share (выше - создавал под root). ЧЯДНТ?


setfacl -R -m default:group:users:rwX /home/share
setfacl -R -m group:users:rwX /home/share

что такеое -d? удаление?

why ()

на запуск вроде так setfacl -m user:loco:rwx /home/share/bin.sh

а так не работает setfacl -m user:loco:+x /home/share/bin.sh

why ()

Чтобы права были, необходимо сначала их разрешить обычным посиксом.

Присказка #effective:r-- говорит что посиксовские права более строгие, чем аклы.

AVL2 ★★★★★ ()

что такое посиксовские и аклы

тоже хочу знать, в каком ман это, подскажите пожалуйста, гуглить-блевать нехочу

why ()
Ответ на: комментарий от why

«обычным посиксом» = «обычным посиксом» = «обычным POSIX'ом»
В данном случае, похоже, имеется в виду то, что чаще называют «traditional Unix permissions».

«аклы» = «ACL'ы»
Имеется в виду более продвинутый вариант, который на жаргоне часто называют «ACL» или «facl», а официально «POSIX Access Control Lists on Linux».

Borifed ()
Ответ на: комментарий от Borifed

спасибо, не догнал сразу, по русскому двойка прост

why ()
Ответ на: комментарий от anonymous

спасибо мировой разум, сотрите мои комменты в ведро

why ()
Ответ на: комментарий от AVL2

Пробовал создавать и редактировать файлы из-под пользователей, входящих в users. Для них вроде должен быть доступ:

group:users:rwx #effective:rw-

loco ()
Ответ на: комментарий от Borifed

Если я правильно понял, SGID не будет наследоваться в новых создаваемых разными пользователями каталогах внутри настроенного общего?
Т. е. с файлами внутри /home/share все будет ОК, а создать что-то внутри /home/share/Фотографии/Лето 2019 уже никому кроме владельца каталога не получится?

loco ()
Ответ на: комментарий от AVL2

Стандартная ошибка.

Аклы права вычитают из посиксовских, а не добавляют. Значит по посиксу у них совсем прав нет.

AVL2 ★★★★★ ()
Ответ на: комментарий от Borifed

Да, все верно.

посикс в данном контексте, это традиционные 3x3 права. chmod и chown

А аклы, это getfacl и setfacl

Они действуют не отдельно, не заменяют и недополняют друг друга, а строго последовательно. Сначала 3x3 затем posix acl

Поэтому необходимо проверять и то и другое.

AVL2 ★★★★★ ()
Ответ на: комментарий от AVL2

Но, если я настраиваю таким образом

# file: home/share
# owner: root
# group: root
user::rwx
group::rwx
other::rwx
default:user::rwx
default:group::r-x
default:group:users:rwx
default:mask::rwx
default:other::r-x
то любой пользователь, не входящий в группу users, по факту может создавать-редактировать файлы в share.
Система как будто вообще не обращает внимание на acl.

loco ()
Ответ на: комментарий от anonymous

Где ж нормально, при настройке как в первом посте пользователи, входящие в users, не могут ничего внутри share.

loco ()

Вроде заработало, как хотелось, после такой команды:

setfacl -m d:g:users:rwx,g:users:rwx /home/share
Т. е. получилось:
# file: home/share
# owner: root
# group: root
user::rwx
group::r-x
group:users:rwx
mask::rwx
other::r-x
default:user::rwx
default:group::r-x
default:group:users:rwx
default:mask::rwx
default:other::r-x
По совету AVL2 настроил не только дефолт для наследования, но и на самом каталоге.

loco ()
Ответ на: комментарий от loco

Потому что ты для всех разрешил.

Если хочешь рулить аклами на основе только пользователей, то ставить надо 0700. если на основе пользователей и групп, то 0770

И да, ставить надо и дефолтные настройки и недефолтные. ДЕфолтные будут работать для создаваемых подкаталогов. А обычные на сам каталог.

AVL2 ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.