transmission deamon и права на создаваемый файл


Автор
Тема: transmission deamon и права на создаваемый файл  (Прочитано 2074 раз)

0 Пользователей и 1 Гость просматривают эту тему.


remalex

  • Автор темы
  • Любитель
  • Сообщений: 98
в файле настроек есть параметр umask: 18. при этом параметре создаются файлы и правами на запись и чтение для владельца, для остальных только чтение. Какой нужно поставить параметр чтобы права были 660 или чтение и запись для владельца и группы?


easy2002

  • Заслуженный пользователь
  • Старожил


  • Сообщений: 2786
  • Мурманск
в гугле набираем umask.
смотрим первую и третью ссылку.
значение umask: 006

Tempora mutantur et nos mutantur in illis


zanzibar9

  • Новичок


  • Сообщений: 34
Re: transmission deamon и права на создаваемый файл
« Ответ #2 : 20 Декабрь 2013, 11:01:33 »

Изъезженная тема и не понятно, какая инерция мышления и взглядов заставила людей так плотно опереться на момент нативных posix прав.. В инете встречаешь следующее, обычно: «добавь трензмишен юзера в группу юзера, которым смотришь файлы», или «смени umask в настройках трансмишн, что бы все могли читать такие скаченные файлы».
Так посмотришь и можно подумать, что Unix way — это очень неуклюжая и не безопасная система. При этом, люди, кто так делают, свято верят, что этот самый «way» куда круче вендулета.
И! ни! один! человек! не заикнулся про acl. Есть же posix acl!!! И захрена так коверкать безопасность в угоду закостеневшему представлению о правах в Linux, когда есть возможность изменить права через acl.
Почему никто и нигде про это даже не заикнулся?
неужели, пока не изучишь предмет, так и прийдется следовать «попугай»-блогам и советам, далеко не вменяемого смысла???

И со всем так. раньше, в начале 2000х, ищешь в гугле тему — наталкиваешься на какую-нибудь хорошую книжку по предмету. Или, если тему и задашь на форуме, тебя замучают уточнениями — людям интересно! Сейчас в гугле набираешь что, то почему-то не на книгу по предмету натыкаешься, а на ссылки сообщения об ошибках по теме. Или на блоги — хренова гора народу удовлетворяет свое чсв. Каждый хочет написать свой «уникальный»!! рассказ о том, как настроить тот, или иной момент. Получается — никак. Зато «так много информации в сети».
Это деградация, или 201x- way???

« Последнее редактирование: 20 Декабрь 2013, 11:15:49 от zanzibar9 »
Linux nia 3.8.0-29-generic #42~precise1-Ubuntu SMP Wed Aug 14 16:19:23 UTC 2013 x86_64 x86_64 x86_64 GNU/Linux
SuperMicro X10SLH-F-O/Xeon E3-1220v3/kingston 1600MHZ ecc


Karl500

  • Заслуженный пользователь
  • Старожил
  • Сообщений: 2202
Re: transmission deamon и права на создаваемый файл
« Ответ #3 : 20 Декабрь 2013, 11:14:17 »

Опуская эмоциональную окраску Вашего поста, расскажите, пожалуйста, как Вы при помощи acl зададите права еще не существующим файлам, которые еще только будут скачиваться.


ArcFi

  • Заслуженный пользователь
  • Старожил


  • Сообщений: 15194
Re: transmission deamon и права на создаваемый файл
« Ответ #4 : 20 Декабрь 2013, 11:15:42 »

«добавь трензмишен юзера в группу юзера, которым смотришь файлы»

Логичнее добавить своего юзверя в группу transmission.


zanzibar9

  • Новичок


  • Сообщений: 34
Re: transmission deamon и права на создаваемый файл
« Ответ #5 : 20 Декабрь 2013, 11:16:29 »

Опуская эмоциональную окраску Вашего поста, расскажите, пожалуйста, как Вы при помощи acl зададите права еще не существующим файлам, которые еще только будут скачиваться.


В acl есть такая штука, как наследование. inherit.


Пользователь решил продолжить мысль 20 Декабрь 2013, 11:17:45:


«добавь трензмишен юзера в группу юзера, которым смотришь файлы»

Логичнее добавить своего юзверя в группу transmission.


И получить мега-дыру в безопасности. Завладев процессом transmission, злоймышленник получает доступ ко всем файлам юзера, который заведен в группу транзмишн.


Пользователь решил продолжить мысль 20 Декабрь 2013, 11:42:17:


Опуская эмоциональную окраску Вашего поста, расскажите, пожалуйста, как Вы при помощи acl зададите права еще не существующим файлам, которые еще только будут скачиваться.


Более подробно:
Чистимся и прибираемся. Для чистоты эксперимента.

iron@nia:~/1$ sudo chown -R iron:iron /home/iron/1/
iron@nia:~/1$ sudo find /home/iron/1/ -type d -print0 | sudo xargs -0 chmod 0700
iron@nia:~/1$ sudo find /home/iron/1/ -type f -print0 | sudo xargs -0 chmod 0600
iron@nia:~/1$ chmod 0755 /home/iron/1
iron@nia:~/1$ sudo setfacl -R -b /home/iron/1
iron@nia:~/1$ sudo setfacl -R -b /home/iron/downloads

как оно работает без acl:

ls -l tmp/
итого 72
-rw------- 1 iron iron 70013 нояб. 21 01:22 7979886prikol1381.jpg

getfacl tmp/
# file: tmp/
# owner: iron
# group: iron
user::rwx
group::---
other::---

iron@nia:~/1$ mkdir tmp/test
iron@nia:~/1$ touch tmp/test/test
iron@nia:~/1$ ls -l tmp/
итого 76
-rw------- 1 iron iron 70013 нояб. 21 01:22 7979886prikol1381.jpg
drwxrwxr-x 2 iron iron  4096 дек.  20 11:36 test
iron@nia:~/1$ ls -l tmp/test/
итого 0
-rw-rw-r-- 1 iron iron 0 дек.  20 11:36 test
iron@nia:~/1$ getfacl tmp/test/
# file: tmp/test/
# owner: iron
# group: iron
user::rwx
group::rwx
other::r-x

iron@nia:~/1$ getfacl tmp/test/test
# file: tmp/test/test
# owner: iron
# group: iron
user::rw-
group::rw-
other::r--

задаем владельцев, с наследованием:

iron@nia:~/1$ rm -rf tmp/test
sudo find /home/iron/1/tmp -type d -print0 | sudo xargs -0 setfacl -dm u:debian-transmission:rwx,u:plex:rex,user:iron:rwx

iron@nia:~/1$ !1915
mkdir tmp/test
iron@nia:~/1$ !1916
touch tmp/test/test

iron@nia:~/1$ !1919
getfacl tmp/test/
# file: tmp/test/
# owner: iron
# group: iron
user::rwx
user:debian-transmission:rwx
user:plex:rwx
user:iron:rwx
group::---
mask::rwx
other::---
default:user::rwx
default:user:debian-transmission:rwx
default:user:plex:rwx
default:user:iron:rwx
default:group::---
default:mask::rwx
default:other::---

iron@nia:~/1$ !1920
getfacl tmp/test/test
# file: tmp/test/test
# owner: iron
# group: iron
user::rw-
user:debian-transmission:rwx #effective:rw-
user:plex:rwx #effective:rw-
user:iron:rwx #effective:rw-
group::---
mask::rw-
other::---

Таким образом мы и задаем наследование.

если же нужно задать права на существующие файлы, то вместо -dm — -m. Можно и вкупе.


Пользователь решил продолжить мысль 20 Декабрь 2013, 11:57:36:


В командах допущена маленькая опечатка. А то люди иногда тупо копируют, не задумываясь, что они делают. Пусть останется.

« Последнее редактирование: 20 Декабрь 2013, 11:57:36 от zanzibar9 »
Linux nia 3.8.0-29-generic #42~precise1-Ubuntu SMP Wed Aug 14 16:19:23 UTC 2013 x86_64 x86_64 x86_64 GNU/Linux
SuperMicro X10SLH-F-O/Xeon E3-1220v3/kingston 1600MHZ ecc


Karl500

  • Заслуженный пользователь
  • Старожил
  • Сообщений: 2202
Re: transmission deamon и права на создаваемый файл
« Ответ #6 : 20 Декабрь 2013, 12:16:16 »

acl inherit не работает, например, на NFS. Должен, но не работает.


ArcFi

  • Заслуженный пользователь
  • Старожил


  • Сообщений: 15194
Re: transmission deamon и права на создаваемый файл
« Ответ #7 : 20 Декабрь 2013, 12:46:19 »

И получить мега-дыру в безопасности. Завладев процессом transmission, злоймышленник получает доступ ко всем файлам юзера, который заведен в группу транзмишн.

А если подумать ещё раз?


zanzibar9

  • Новичок


  • Сообщений: 34
Re: transmission deamon и права на создаваемый файл
« Ответ #8 : 20 Декабрь 2013, 16:08:16 »

acl inherit не работает, например, на NFS. Должен, но не работает.


nfsv4?


Пользователь решил продолжить мысль 20 Декабрь 2013, 16:13:59:


А если подумать ещё раз?


можно. согласен. только умением ставить нужные маски должны обладать все программы. Если какой из сервисов не будет иметь такой возможности, рухнет все королевство. Я таких программ не знаю, но уж лучше быть предусмотрительным, что бы не переворачивать потом все вверх дном и в самый неподходящий момент.

« Последнее редактирование: 20 Декабрь 2013, 17:09:32 от zanzibar9 »
Linux nia 3.8.0-29-generic #42~precise1-Ubuntu SMP Wed Aug 14 16:19:23 UTC 2013 x86_64 x86_64 x86_64 GNU/Linux
SuperMicro X10SLH-F-O/Xeon E3-1220v3/kingston 1600MHZ ecc


Karl500

  • Заслуженный пользователь
  • Старожил
  • Сообщений: 2202
Re: transmission deamon и права на создаваемый файл
« Ответ #9 : 20 Декабрь 2013, 18:00:40 »

Да, nfsv4.

Багрепорт запилен мной больше двух лет назад: https://bugs.launchpad.net/ubuntu/+source/nfs-utils/+bug/853723

« Последнее редактирование: 20 Декабрь 2013, 18:03:04 от Karl500 »

http://forum.ubuntu.ru/index.php?topic=190605.0

Губарь Маргарита Александровна