LINUX.ORG.RU
ФорумAdmin

SAMBA + Sticky bit + запрет на удаление = изменять можно!???


0

1

Коллеги, добрый вечер.

Проблемка нарисовалась.

Стоит задача: на Самба сервере с несколькими расшаренными каталогами запретить удаление и изменение файлов, кроме одного пользователя.

Естественно имеется некоторая группа пользователей, которой дается добро на чтение и запись по всем расщаренным каталогам.

[share_kd]

comment = КД

path = /home/u2/_share_kd

valid users = +npsk

browseable=no

writable = yes

create mask = 0777

directory mask = 0777

и т.д. все однотипно

Применяю права на все файлы для пользователя - хозяина

chown -R USER:GROUP /home/u2/_share_kd

я наследую права пользователя (хозяина) с верхнего каталога

inherit owner = yes

inherit acls = yes

inherit permissions = yes

map acl inherit = yes

и рекурсивно ставлю Стоповый бит на каталог

chmod -R 1775 /home/u2/_share_kd

В итоге любой другой пользователь может зайти в нашу папку и записать-скопировать сюда файл/каталог, которым сразу применяются права верхней директории и пользователь меняется на нужного нам хозяина. И левый юзер уже не может удалить созданный им файл/каталог.

НО! он может его открыть, сделать изменения и успешно сохранить, хотя на файл права rwx-rwx-r-t

Что делать?

P.S.: есть мысль создать совершенно другую группу для пользователя-хозяина каталога и возможно r-t сработает для пользователей другой группы... Но ведь запрет на удаление работает... то есть стики-бит отрабатывает свое предназначение, но как-то не до конца...

acl, а не стики бит

zgen ★★★★★ ()
Ответ на: комментарий от zgen

После ACL рекурсивно права будут применяться к подкаталогам и файлам в них?

dev-ice ()
Ответ на: комментарий от dev-ice

Как настроишь, так и будут применяться. Для этого маска есть.

Deleted ()

Вроде в линуксе так и должен вести себя липкий бит: делай с файлами, что хочешь, но удалить только хозяин может.

Deleted ()
Ответ на: комментарий от Deleted

тогда другие юзвери не смогут ничего в папку записать. если убрать флаг Запись

dev-ice ()
Ответ на: комментарий от dev-ice

Маска бывает не только 022, но и просто 000. Как установите, так и будет.

Deleted ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.