LINUX.ORG.RU

Права доступа и наблюдатель

 , , , ,


0

1

Всем привет! О-хо-хо-хо. Я наверное всех уже тут задолбал своими извращенскими вопросами, но... шоу продолжается! :3

Дано:

  • Пользователь «Наблюдатель» 1 штука
  • Пользователь «Подопытный» +100500 штук
  • Время и процесс жизнедеятельности не ограничен

В общем, есть подопытные и их вальеры каталоги, в которых они выполняют разные действия (создают, читают, выполняют файлы), при этом в каталоги друг друга они залезать не должны - зоопарк фигли. Так же есть наблюдатель, которому нужно иметь в эти каталоги доступ на чтение, к слову он не root. При этом повторюсь, право чтения всех каталогов должно быть только у наблюдателя, а подопытные должны иметь доступ только к своему каталогу и не более.

Смотрел в сторону присвоения пользователям группы наблюдателя, но по сути это открывает доступ всем подопытным к каталогам друг друга на чтение, чего быть тоже не должно... Так же смотрел в сторону включения наблюдателя в персональные группы пользователей, но этот метод упирается в ограничение на членство в 32 группы.

Как такое реализовать стандартными средствами, с автоматическим наследованием прав на создаваемые в каталоге подопытными объекты, чтобы наблюдатель мог их прочитать?

Включи acl на файловой системе и добавь нужные тебе права.

infomeh ★★ ()

Создаешь группу spies

Создаешь пользователя spy

Добавляешь пользователя spy в группу spies.

Меняешь права:

chmod -R go-rwxst,g+rX /home/*

и допуски:

chown -R :spies /home/*

anonymous ()
Ответ на: комментарий от TuzelKO

группа будет наследоваться

права будут такие, какой umask для пользователей и/или настройки приложения через которое они их создают

anonymous ()
Ответ на: комментарий от TuzelKO

Нет наследоваться так просто не будет, надо установить inhirit на их домашние каталоги.

Inhirit - наследование прав доступа для каталогов, появился в ядре Линукс сравнительно недавно. И он должен поддерживается в ядре. Читай доки ACL. Выше пример самый простой, но он портит группу пользователя по умолчанию. В ACL можно более гибко добавлять ещё группы с правами.

Если твоё ядро inhirit не поддерживает то добавь эти две команды в cron.

anonymous ()

Если не жалко, можно наделать наблюдателю файлов с cap_dac_read_search – и пусть смотрит всё.

DonkeyHot ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.