Fórum Root.cz
Ostatní => Odkladiště => Téma založeno: Pali 28. 11. 2011, 00:46:53
-
Ahojte, viem nejakym sposobom nastavit prava na adresar XYZ, tak aby vsetky subory (aj tie co este len budu vytvorene) v tomto adresari mali prava 666 a vsetky adresare prava 777 a aby vsetko vlastnil uzivatel USER?
Myslim to tak ze v tom adresari nebudu existovat prava - ze vseko bude vlastnit USER a ze ani nepojde zmenit nastavene prava. Napr. ako na filesysteme FAT32 (kde pri mountovani sa da nastavit prave toto)
-
skus radsej napisat, aku situaciu vlastne riesis. z tvojho popisu mam silny dojem, ze si zarabas na problem:)
-
FAT32 NEMA nijaky system prav, preto ti to funguje :D
-
Chcem nejaky adresar vyexportovat do samby ako aj sftp, tak aby lubovolny uzivatel mohol so vsetkym v adresari robit uplne cokolvek. Preto by bolo vhodne aby vsetko malo prava 666/777 a aby to nebolo mozne privlastnit/zmenit...
Ak by som mal FAT32, bolo by to presne idealne, kedze prava nepozna...
-
Chcem nejaky adresar vyexportovat do samby ako aj sftp, tak aby lubovolny uzivatel mohol so vsetkym v adresari robit uplne cokolvek. Preto by bolo vhodne aby vsetko malo prava 666/777 a aby to nebolo mozne privlastnit/zmenit...
Ak by som mal FAT32, bolo by to presne idealne, kedze prava nepozna...
na toto predsa nemusis riesit nezmysly typu "world readable" adresar... ak si spravne nakonfigurujes sambu, ta bude fungovat spolahlivo aj s normalnymi unixovymi pravami a clovek na druhej strane si to ani neuvedomi. co sa sftp tyka, na to aj tak potrebujes regularneho uzivatela v tvojom systeme, takze tam tiez nemusis riesit prava, lebo akonahle sa tam taky clovek prihlasi cez sftp, ma pristup k svojim veciam normalny. stale teda plati, ze si zarabas o problem. neries nezmyselne prava na adresari. radsej sa zameraj na rozumne nastavenie samby a rozumne obmedzenia na adresaroch. alebo skus este nejako lepsie vysvetlit, co chces dosiahnut:))
-
Použite ACL: daný filesystem musí byť najprv mountnutý s opt "acl" a potom môžete pomocou príkazu setfacl nastaviť defaultné acl, ktoré sa použijú práve pre novo vytvárané súbory.
-
@pecko:
Chcem aby napr. 3 rozny uzivatelia ktory vytvoria subor v konkretnom adresari ho mohli upravovat a aj mazat. Ale ak si ten co subor uploadne, nastavi mu prava na 600, tak ostani nebudu moct nic (tomuto chcem v jednom adresari share zabrnit).
-
@gazda:
ACL mi podla vsetkeho neumozuje nastavit defaultneho usera pre novo vytvorene subory.
(default groupa noveho suboru sa da nastavit pomocou GUID bitu na nadradenom adresari, ale default user sa neda)
-
@pecko:
Chcem aby napr. 3 rozny uzivatelia ktory vytvoria subor v konkretnom adresari ho mohli upravovat a aj mazat. Ale ak si ten co subor uploadne, nastavi mu prava na 600, tak ostani nebudu moct nic (tomuto chcem v jednom adresari share zabrnit).
ale ved toto samba riesi uplne prirodzene. len si to vsetko musis dobre nastavit a nebudes musiet nijako riesit podobne capiny. autor suboru kludne bude moct nastavit 0600, ale pokial ho niekam da cez sambu, ta tomu da ine prava... neries, co vyriesene je:)
-
ano v sambe sa to nastavit da (force user). Ale ako to nastavit v ssh?
-
ano v sambe sa to nastavit da (force user). Ale ako to nastavit v ssh?
co stale riesis?:) nastav si spravne sambu a ta ti bude vytvarat veci spravne. prirad uzivatela do spravnej skupiny a mas to... nemusis kvoli takejto capine predsa krivit system prav...
-
> co stale riesis?
nastavenie sftp
-
co stale riesis?:) nastav si spravne sambu a ta ti bude vytvarat veci spravne. prirad uzivatela do spravnej skupiny a mas to... nemusis kvoli takejto capine predsa krivit system prav...
Ale to nééé!
takhle prosím neodpovídejte - vždyť se ptá oprávněně.
Zkusím přepsat, jak jsem otázku pochopil já:
jak lze zajistit aby po uploadu souboru uživatelem SFTP, byl na soubor umožněn zápis i ostatním uživatelům? S tím, že uživatel SFTP o právech vůbec nic neví a není je schopen nastavit!
A prosím nepište, že uživatele, který neumí s právy má admin vyhodit - to často prostě nejde a opět by to byla rada na houby.
-
co stale riesis?:) nastav si spravne sambu a ta ti bude vytvarat veci spravne. prirad uzivatela do spravnej skupiny a mas to... nemusis kvoli takejto capine predsa krivit system prav...
Ale to nééé!
takhle prosím neodpovídejte - vždyť se ptá oprávněně.
Zkusím přepsat, jak jsem otázku pochopil já:
jak lze zajistit aby po uploadu souboru uživatelem SFTP, byl na soubor umožněn zápis i ostatním uživatelům? S tím, že uživatel SFTP o právech vůbec nic neví a není je schopen nastavit!
A prosím nepište, že uživatele, který neumí s právy má admin vyhodit - to často prostě nejde a opět by to byla rada na houby.
Dik. Okrem toho chcem este nastavit vlastnika toho suboru co uploadne. Nejde mi tu o to ze dakto nevie s pravami pracovat - ide mi tu o to ze adresar "share" sa ma takto spravat a aby nikto nevedel kto povodne tam ten subor uploadol.
Ako som pisal toto bez problemov doakze samba (moznost force user a force group). GUID bit na nadradenom adresari mi zabezpeci ze vsetky subory uz budu mat nastavenu grupu toho adresara a nebude ju mozne zmenit. Ale SUID bit na adresare nam ziadny vpliv.
-
v takom pripade sory, ale nemam inu moznost...:)
RTFM
man smb.conf
alebo http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html
-
v takom pripade sory, ale nemam inu moznost...:)
RTFM
man smb.conf
alebo http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html
ahoj, uz som dva krat napisal ze sambu nastavit viem :-)
neviem vsak nastavit sftp
-
ahoj, uz som dva krat napisal ze sambu nastavit viem :-)
neviem vsak nastavit sftp
a ja som uz tiez viackrat pisal, ze to nepotrebujes. ved ak sa niekto cez sftp dostane k suborom v tom zdielanom adresari a dostane sa k nim. ak tam budu fajle pridane cez sambu, v pohode. ak tam vytvori niekto nieco cez sftp, staci tam mat dobre skupinove prava a dostane sa k nim aj clovek cez sftp.
alebo potom skus iny manual ;)
-
> ak tam vytvori niekto nieco cez sftp, staci tam mat dobre skupinove prava a dostane sa k nim aj clovek cez sftp
ako docielit aby tam boli vzdy dobre skupinove prava?
-
je mi luto, ze ti toto musim pisat a nevies to uz davno... aj tu plati tradicne RTFM, ale ok. vytvoris hlavny adresar, nastavis na nom pozadovanu skupinu, skupine dastavis sticky bit a kazdeho, koho tam budes chciet povolit, priradis do danej skupiny. na tu skupinu si nastav aj sambu a teoreticky by to malo byt ono. aj ked... najrozumenjsie by bolo, aby vsetci k samba veciam pristupovali cez sambu a bodka. takto to bude stale iba o dajakych problemoch a nekonecnych rieseniach. ked miesas hrusky z jablkami, bud z toho bude dobry kompot, alebo hnacka, ale nikdy nie kvalitnejsia odroda hrozna;)
-
... skupine dastavis sticky bit ...
Pokouším se pochopit, co tím myslíte, ale nedaří se mi. Můžete mě nakopnout?
PS: nemyslím tím "dastavis"; to beru jako překlep a překládám si to jako nastavis.
-
Pokouším se pochopit, co tím myslíte, ale nedaří se mi. Můžete mě nakopnout?
PS: nemyslím tím "dastavis"; to beru jako překlep a překládám si to jako nastavis.
ach jaj:D
chmod g+s <cesta>
-
to pecko: Já vím jak, ale nechápu proč. Mám za to, že sticky bit spíš omezuje a Pali (jak to chápu já) by rád zrušil veškerá omezení z ACL vyplývající.
-
to pecko: Já vím jak, ale nechápu proč. Mám za to, že sticky bit spíš omezuje a Pali (jak to chápu já) by rád zrušil veškerá omezení z ACL vyplývající.
ako obmedzuje? sticky bit na groupe zabezpeci akurat tak to, ze grupa bude na novovytvorenych fajloch a adresaroch rovnaka, nech to vyrobi ktokolvek... pokojne tak moze na other ostat 0. nepovolani sa do adresara nedostanu, povolani nebudu mat problem. horsie je to jedina s create maskou. preto chlapcovi odporucam, nech kasle na kompoty a nech radsej spristupni adresar pre vsetkych len cez sambu a ma pokoj
-
to pecko: Mimoděk mě (podle chmod g+s <cesta>) napadlo, zda nemáte na mysli SGID bit (BSD General Commands Manual)?
STICKY DIRECTORIES
Adirectory whose ‘stickybit’ is set becomes an append-only directory, or, more accurately, adirectory in
which the deletion of files is restricted. Afile in a stickydirectory may only be removedor renamed by a
user if the user has write permission for the directory and the user is the owner of the file, the owner of the
directory, orthe super-user. This feature is usefully applied to directories such as/tmpwhich must be pub-
licly writable but should denyusers the license to arbitrarily delete or rename each others’ files.
(BSD System Manager’sManual).
-
@pecko: mozna nez se tak vztekat bude jednodussi odkazat na popis, napr. zde: http://en.wikipedia.org/wiki/Setuid#setuid_and_setgid_on_directories
Trochu by se tim diskuze zprehlednila..
-
Omlouvám se, citace z manualu je trochu zprasená kopírováním, ale přeluštit to snad jde. To je tak, když si to člověk před odesláním po sobě řádně nepřečte.
-
chlapci, tema je o niecom inom...:)
-
chlapci, tema je o niecom inom...:)
Ano, ano, jen jsme si ujasňovali rozdíl mezi Sticky bitem a SGID bitem. A teď, když jsme si to ujasnili, konstatuji, že jste to zřejmě myslel dobře a jen jste se "přeřekl".
Myslím, že by to s tím SGID bitem (tj. v BSD chmod g+s <cesta/adresar\ XYZ>) pro práci přes sftp mohlo fungovat.
-
Ten SGID bit na adresari mi nepomoze (uz som to pisal :) - to iba nastavi ze vsetko v nom vytvorene bude mat rovnaku skupinu ako adresar - ale nijak nenastavuje uzivatela. A ak na sftp spusis chmod 600 subor to pokasle...
A SUID zial nic na adresare nerobi...
-
A ak na sftp spusis chmod 600 subor to pokasle...
A SUID zial nic na adresare nerobi...
To předpokládá úmyslnou akci ze strany vlastníka. SUID bez změny vlastníka by tedy taky nic neřešil, protože si vlastník může mj. zakázat přístup k souboru.
Co takhle dávka iniciovaná periodicky nebo změnou adresáře XYZ? (chown, chmod etc.).
-
> Co takhle dávka iniciovaná periodicky nebo změnou adresáře XYZ? (chown, chmod etc.).
Tomuto som sa prave chcel vyhnut...
Pride mi to az dost spatne ze pre moderny filesystemy som zatial nenasiel ziadne normalne riesenie. Spravit si FAT32 oddiel prave na toto je asi najjednoduchsie (a mountnut ho s fixnymi pravami a vlastnikom)
-
Taky me nic poradne nenapada. Dve hackoidni moznosti:
a. pouzit vfat
b. pouzit sambu, znovu ji namountit z tehoz stroje a pres sftp lezt na ten mount, nikoliv na puvodni data, tim se namapuji vsechny pristupy na jedineho uzivatele a vse bude fungovat
-
pouzivat sftp chcem hlavne koli tomu z niekedy kopirovanie cez sambu ide neskutocne pomaly. teda to pripojenie lokalneho adresara opatovne cez sambu mi je dost na nic.
napadla ma ale tym este jedna myslienka. mount podporuje pripojit uz pripojeny adresar niekde inde cez -o bind.
$ mount /home/daco /tmp/pub -o bind
nejde ho nejak donutit aby novo pripojeny (bindnuty) adresar mal vynutene prava ci vlastnika?