Оглавление:
Статья последний раз была обновлена 04.03.2023
0 Пользователей и 1 Гость просматривают эту тему.
смотрим первую и третью ссылку.
значение umask: 006
Так посмотришь и можно подумать, что Unix way — это очень неуклюжая и не безопасная система. При этом, люди, кто так делают, свято верят, что этот самый «way» куда круче вендулета.
И! ни! один! человек! не заикнулся про acl. Есть же posix acl!!! И захрена так коверкать безопасность в угоду закостеневшему представлению о правах в Linux, когда есть возможность изменить права через acl.
Почему никто и нигде про это даже не заикнулся?
неужели, пока не изучишь предмет, так и прийдется следовать «попугай»-блогам и советам, далеко не вменяемого смысла???
И со всем так. раньше, в начале 2000х, ищешь в гугле тему — наталкиваешься на какую-нибудь хорошую книжку по предмету. Или, если тему и задашь на форуме, тебя замучают уточнениями — людям интересно! Сейчас в гугле набираешь что, то почему-то не на книгу по предмету натыкаешься, а на ссылки сообщения об ошибках по теме. Или на блоги — хренова гора народу удовлетворяет свое чсв. Каждый хочет написать свой «уникальный»!! рассказ о том, как настроить тот, или иной момент. Получается — никак. Зато «так много информации в сети».
Это деградация, или 201x- way???
SuperMicro X10SLH-F-O/Xeon E3-1220v3/kingston 1600MHZ ecc
«добавь трензмишен юзера в группу юзера, которым смотришь файлы»
Логичнее добавить своего юзверя в группу transmission.
Опуская эмоциональную окраску Вашего поста, расскажите, пожалуйста, как Вы при помощи acl зададите права еще не существующим файлам, которые еще только будут скачиваться.
В acl есть такая штука, как наследование. inherit.
Пользователь решил продолжить мысль 20 Декабрь 2013, 11:17:45:
«добавь трензмишен юзера в группу юзера, которым смотришь файлы»
Логичнее добавить своего юзверя в группу transmission.
И получить мега-дыру в безопасности. Завладев процессом transmission, злоймышленник получает доступ ко всем файлам юзера, который заведен в группу транзмишн.
Пользователь решил продолжить мысль 20 Декабрь 2013, 11:42:17:
Опуская эмоциональную окраску Вашего поста, расскажите, пожалуйста, как Вы при помощи acl зададите права еще не существующим файлам, которые еще только будут скачиваться.
Более подробно:
Чистимся и прибираемся. Для чистоты эксперимента.
iron@nia:~/1$ sudo chown -R iron:iron /home/iron/1/
iron@nia:~/1$ sudo find /home/iron/1/ -type d -print0 | sudo xargs -0 chmod 0700
iron@nia:~/1$ sudo find /home/iron/1/ -type f -print0 | sudo xargs -0 chmod 0600
iron@nia:~/1$ chmod 0755 /home/iron/1
iron@nia:~/1$ sudo setfacl -R -b /home/iron/1
iron@nia:~/1$ sudo setfacl -R -b /home/iron/downloads
как оно работает без acl:
ls -l tmp/
итого 72
-rw------- 1 iron iron 70013 нояб. 21 01:22 7979886prikol1381.jpg
getfacl tmp/
# file: tmp/
# owner: iron
# group: iron
user::rwx
group::---
other::---
iron@nia:~/1$ mkdir tmp/test
iron@nia:~/1$ touch tmp/test/test
iron@nia:~/1$ ls -l tmp/
итого 76
-rw------- 1 iron iron 70013 нояб. 21 01:22 7979886prikol1381.jpg
drwxrwxr-x 2 iron iron 4096 дек. 20 11:36 test
iron@nia:~/1$ ls -l tmp/test/
итого 0
-rw-rw-r-- 1 iron iron 0 дек. 20 11:36 test
iron@nia:~/1$ getfacl tmp/test/
# file: tmp/test/
# owner: iron
# group: iron
user::rwx
group::rwx
other::r-x
iron@nia:~/1$ getfacl tmp/test/test
# file: tmp/test/test
# owner: iron
# group: iron
user::rw-
group::rw-
other::r--
задаем владельцев, с наследованием:
iron@nia:~/1$ rm -rf tmp/test
sudo find /home/iron/1/tmp -type d -print0 | sudo xargs -0 setfacl -dm u:debian-transmission:rwx,u:plex:rex,user:iron:rwx
iron@nia:~/1$ !1915
mkdir tmp/test
iron@nia:~/1$ !1916
touch tmp/test/test
iron@nia:~/1$ !1919
getfacl tmp/test/
# file: tmp/test/
# owner: iron
# group: iron
user::rwx
user:debian-transmission:rwx
user:plex:rwx
user:iron:rwx
group::---
mask::rwx
other::---
default:user::rwx
default:user:debian-transmission:rwx
default:user:plex:rwx
default:user:iron:rwx
default:group::---
default:mask::rwx
default:other::---
iron@nia:~/1$ !1920
getfacl tmp/test/test
# file: tmp/test/test
# owner: iron
# group: iron
user::rw-
user:debian-transmission:rwx #effective:rw-
user:plex:rwx #effective:rw-
user:iron:rwx #effective:rw-
group::---
mask::rw-
other::---
Таким образом мы и задаем наследование.
если же нужно задать права на существующие файлы, то вместо -dm — -m. Можно и вкупе.
Пользователь решил продолжить мысль 20 Декабрь 2013, 11:57:36:
В командах допущена маленькая опечатка. А то люди иногда тупо копируют, не задумываясь, что они делают. Пусть останется.
SuperMicro X10SLH-F-O/Xeon E3-1220v3/kingston 1600MHZ ecc
И получить мега-дыру в безопасности. Завладев процессом transmission, злоймышленник получает доступ ко всем файлам юзера, который заведен в группу транзмишн.
А если подумать ещё раз?
acl inherit не работает, например, на NFS. Должен, но не работает.
nfsv4?
Пользователь решил продолжить мысль 20 Декабрь 2013, 16:13:59:
А если подумать ещё раз?
можно. согласен. только умением ставить нужные маски должны обладать все программы. Если какой из сервисов не будет иметь такой возможности, рухнет все королевство. Я таких программ не знаю, но уж лучше быть предусмотрительным, что бы не переворачивать потом все вверх дном и в самый неподходящий момент.
SuperMicro X10SLH-F-O/Xeon E3-1220v3/kingston 1600MHZ ecc
Багрепорт запилен мной больше двух лет назад: https://bugs.launchpad.net/ubuntu/+source/nfs-utils/+bug/853723
http://forum.ubuntu.ru/index.php?topic=190605.0
Кандидат технических наук, доцент кафедры ИУ-6 (Компьютерные системы и сети) Московского государственного технического университета им. Н. Э. Баумана. Самый молодой в России PhD in Computer Science. Эксперт в области компьютерных технологий и программирования.
Стаж: 8 лет.
Образование: МГТУ им. Н. Э. Баумана, к.т.н.
- Как узнать IP-адрес по MAC-адресу - 07.04.2023
- Пинг проходит, а страницы в браузере не открываются - 07.04.2023
- Что если сайт пингуется «извне», но не открывается из под «локалки»? - 07.04.2023