и снова права доступа [acl]

0

0

Помогите советом, совсем запутался уже...

Поставил ACL + eiciel на Ubuntu 9.10 , настроил права доступа, научил новые файлы наследовать права папки благодаря:

find /path/to/directory -type d -exec chmod g+s '{}' \;

Но вот теперь встал вопрос, как выкрутится в таком случае, если юзер заливает файл в папку, НО потом не должен иметь возможности его удалить или изменить. (пойдет вариант и с не возможностью его открыть, после загрузки)

ЗЫ: Гугл изрыл на вопросы наследования и распределения прав доступа. Понял, что Selinux лучше чем acl, но не осилил пока.

Ссылка

←	Лезет непонятный трафик

Slckware. libsasl2.la

→

А если посмотреть в сторону chattr +i на каталоги

AnyKey
(18.04.10 08:22:47 MSD)

Если в рамках классического unix - завести пользователя uploader с доступом в каталог назначения, дать поработать простому пользователю в контексте uploader для заливки файлов в этот каталог (например через sudo). Сам пользователь може не иметь туда прав. Всё это можно автоматизировать через самописный скрипт заливки - внутри с использованием sudo -u uploader действие и раздачу прав на этот скрипт в /etc/sudoers. Чисто acl|posixправами это не сделать за исключением варианта когда пользователь имеет права на запись в каталог, но работает с umask 777, тогда созданный им файл доступен только root.

~~tux2002~~ ★
(18.04.10 13:52:01 MSD)

ЗЫ: Гугл изрыл на вопросы наследования и распределения прав доступа. Понял, что Selinux лучше чем acl, но не осилил пока.

Грустный вывод.

~~tux2002~~ ★
(18.04.10 14:03:45 MSD)

Ссылка

Ответ на: комментарий от tux2002 18.04.10 13:52:01 MSD

Хм..Принципе то решение, но опять костыли.. =( буду думать, спасибо.

ЗЫ: если подскажешь по selinux будет радостней :) я просто сколько не копал, под убунту все банально - apt-get install selinux, а дальше никто не разжевал как его настраивать... на ночь глядя покурил маны, но как-то безрезультатно. =\

alexrett
(18.04.10 14:17:23 MSD) автор топика

Ответ на: комментарий от AnyKey 18.04.10 08:22:47 MSD

Спасибо. Попробую.

alexrett
(18.04.10 14:27:17 MSD) автор топика

Ссылка

Ответ на: комментарий от alexrett 18.04.10 14:17:23 MSD

Это не костыли :), это нормально ИМХО.

~~tux2002~~ ★
(18.04.10 14:56:52 MSD)

Ответ на: комментарий от tux2002 18.04.10 14:56:52 MSD

хех, да не, решение то нормальное! :) Просто в рамках поставленной серверу задачи это выглядит как костыль (для конечного пользователя) Там просто картина такая, что есть некий терминальный сервер, с файло помойкой, жестко ограниченной по доступам внутри себя. И вот вроде ACL все смог разрулить, но вот с удалением и изменением файлов встал вопрос. А писать, какие либо, скрипты - будет уже лишний геморой для админа. Конечно, если решения другого не найдется, то он мягко пойдет на те слова, что на заборах пишут :) Но все же хочется в рамках более простого решения решить...

Хотя вот кстати по совету AnyKey, почти годный результат вышел, правда с флагом:

chattr -a /path/to/directory

сейчас попробую с нуля все развернуть, надеюсь заработает.

alexrett
(18.04.10 15:41:10 MSD) автор топика

Ссылка

Вообщем я не понял ПОЧЕМУ, НО работает после таких манипуляций:

Создаю папку. Чрез ACL выставляю нужные её атрибуты. Далее:

sudo chattr +i /path/to/directory
sudo chattr -i /path/to/directory
sudo chattr +a /path/to/directory
sudo chattr -a /path/to/directory
sudo chattr +a /path/to/directory

Да-да, бред какой-то, НО после этих команд, разрешенным пользователям можно загрузить файл в папку, он открывается только для чтения и не удаляется!

alexrett
(18.04.10 16:09:48 MSD) автор топика

Ссылка

Не, это был глюк. Ребут и все с начала... Вопрос остается открытым. =((

alexrett
(18.04.10 17:13:19 MSD) автор топика

incron + find /path/to/directory -type f -print0 | xargs -0 chattr +i

bigbit ★★★★★
(18.04.10 19:06:46 MSD)

Ответ на: комментарий от alexrett 18.04.10 17:13:19 MSD

http://stackoverflow.com/questions/869536/linux-directory-permissions-read-wr...

sprutos ★★★
(18.04.10 22:13:02 MSD)

Ответ на: комментарий от bigbit 18.04.10 19:06:46 MSD

ругается на не корректный синтаксис использования команды chattr вообще я не совсем понял, что будет результирующим использования этой команды... =(

alexrett
(19.04.10 01:19:35 MSD) автор топика

Ответ на: комментарий от sprutos 18.04.10 22:13:02 MSD

Спасибо, но это не совсем то... по ссылке идет речь о невозможности удаления файла другими пользователями, мне же нужна невозможность удалить или изменить любой файл, закаченный любым пользователем. Или я не верно понял линк?

alexrett
(19.04.10 01:23:57 MSD) автор топика

Ссылка

не уж то совсем нет решения, кроме как selinux?

перечитал ман про chattr, там ясно написанно:

Для файла с установленным атрибутом `a' разрешено лишь добавлять записи. Только суперпользователь или процесс, обладающий возможностью CAP_LINUX_IMMUTABLE, может установить или очистить этот атрибут.

Но после добавления этого атрибута я таке не могу ничего записать в папку...

Что я не так делаю? =(

alexrett
(19.04.10 01:27:14 MSD) автор топика

Ссылка

Ответ на: комментарий от alexrett 19.04.10 01:19:35 MSD

> вообще я не совсем понял, что будет результирующим использования этой команды... =(

immutable на каждый файл по крону.

Но после добавления этого атрибута я таке не могу ничего записать в папку...

Вообще логично - immutable на директорию запрещает запись в директорию.

А вот в винде дроп-фолдер просто делается - там есть специальный ACL CREATOR-OWNER, которому можно назначить какие угодно права, даже запретить чтение файла после того, как юзер его запишет...

bigbit ★★★★★
(19.04.10 02:27:10 MSD)

Ответ на: комментарий от bigbit 19.04.10 02:27:10 MSD

Спасибо. Но нашел другое решение на хабре - http://m.habrahabr.ru/post/64868/ подправил скрипт, чтобы менялся владелец и права на запись и получил то, что и нужно было! :)

Всем спасибо, проблема решена!

alexrett
(19.04.10 03:16:16 MSD) автор топика