Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

Minimale Rechte

Alles rund um die Systemverwaltung, die Administration und Konfiguration Eures Linuxsystems

Moderator: Moderatoren

Antworten
StarFleet
Newbie
Newbie
Beiträge: 3
Registriert: 21. Nov 2007, 18:04

Minimale Rechte

Beitrag von StarFleet » 21. Nov 2007, 18:22

Hallo Zusammen,

nach -leider erfolgloser- Such in diverseren Foren/Wikis etc bleibt mir wohl nur, folgende Frage zu posten:

Kann ich fuer ein Verzeichnis auf einer ext3-Partition "Minimale Rechte" festschreiben?

Die Situation ist die: Ich habe einen Linux-Rechner (10.3) der als Daten-Hub im lokalen Netz dient. Dort koennen sich verschiedene Clients (WinXP, SuSE..) per Samba einloggen, um Dateien in ein Verzeichnis zu legen. Die Idee dabei ist, dasz, sobald eine Datei/Verzeichnis etc in diesem Share-Verzeichnis liegt, allen anderen zwangslaeufig zur Verfuegung stehen soll. Und zwar mit allen Rechten. Das funktioniert fuer die Clients auch wunderbar.
Aber fuer einen Nutzer, der sich nicht per Samba im lokalen Netz auf dem Rechner anmeldet, sondern fuer einen, der direkt am Server sitzt, oder von aussen per SSH/NX sich auf dem Server einklinkt, klappt das nicht. Denn wenn jemand so ins Share-Verzeichnis Dateien/Verzeichnisse schiebt, dann sind die zwangslaeufig nicht immer fuer alle lesbar. Dies musz man nach dem Kopiervorgang manuel per Hand machen, wenn zum Beispiel eine Datei mit den urspruenglichen Rechten 0700 in das Share gelegt wurde.
Das finde ich umstaendlich und Vergessensanfaellig.
Ich habe vVersucht mittels ACL das Problem zu meistern, aber damit kann ich ja nur maximale rechte einer Datei im Share bestimmen, was ich aber brauche sind minimale.
Ich sollte noch erwaehnen, dasz nicht alle Nutzer des Servers auf das Share zugreiffen koennen duerfen. Es gibt eine spezielle Guppe, und wenn ein Nutzer dort Mitglied ist, dann darf er auf den Share zugreifen.
Klar, es klappt sicher, wenn ich das Share noch einmal auf dem Server mounte....aber das kann es nicht wirklich sein, oder?

Hat jemand eine Idee, wie man sowas elegant bewerkstelligen kann?

Danke!

Werbung:
jengelh
Guru
Guru
Beiträge: 4039
Registriert: 20. Nov 2004, 17:42
Kontaktdaten:

Beitrag von jengelh » 22. Nov 2007, 13:16

Code: Alles auswählen

setfacl -d -m user::rwx -m group::rwx -m mask::rwx -m other::rwx directory
Das hilft schonmal für alle Dateien, die nicht nachträglich mittels chmod durch SFTP-Programme geändert wurden.

StarFleet
Newbie
Newbie
Beiträge: 3
Registriert: 21. Nov 2007, 18:04

Beitrag von StarFleet » 22. Nov 2007, 16:31

jengelh hat geschrieben:

Code: Alles auswählen

setfacl -d -m user::rwx -m group::rwx -m mask::rwx -m other::rwx directory
Das hilft schonmal für alle Dateien, die nicht nachträglich mittels chmod durch SFTP-Programme geändert wurden.
Vielen Dank!
Allerdings hilft es nicht, wenn ich z.B. eine Datei aus meinem Homeverzeichnis mit den Rechten 0700 in den Share kopiere, denn die Koipe hat auch die 0700 Rechtesturktur. Das Ziel fuer mich ist es, dasz das Kopieren (beim erstellen klappts) in den Share und seine Subfolders es erzwingt, dasz die Datei 0770 Rechte bekommt.

Danke & Grusz
Juergen

Leviathan
Hacker
Hacker
Beiträge: 510
Registriert: 30. Aug 2006, 15:30
Wohnort: Nürnberg

Beitrag von Leviathan » 22. Nov 2007, 16:45

Eigentlich gehts doch genauso wie es jengelh geschrieben hat.

setfacl -m default:group:[Gruppenname den du ohnehin schon verwendest]:rwx directory


rwx ggf auf "minimale rechte" einschränken


Die Ownergruppe ebenfalls auf [Gruppenname] einschränken und
per
chmod g+s directory

das Set GID Bit setzen.

Hoffe das triffts.

Gruß Dominik

jengelh
Guru
Guru
Beiträge: 4039
Registriert: 20. Nov 2004, 17:42
Kontaktdaten:

Beitrag von jengelh » 23. Nov 2007, 00:40

StarFleet hat geschrieben:Das hilft schonmal für alle Dateien, die nicht nachträglich mittels chmod durch SFTP-Programme geändert wurden.
Allerdings hilft es nicht, wenn ich z.B. eine Datei aus meinem Homeverzeichnis mit den Rechten 0700 in den Share kopiere, denn die Koipe hat auch die 0700 Rechtesturktur.[/quote]
Richtig. Ich sagte ja auch: alles was nicht nachträglich nochmal den Betriebssystemaufruf chmod macht und einen Modus setzt, der so nicht gewollt ist.
Elegante Lösung ist aber auch nicht in Sicht :roll: da hilft auch kein SGID-Bit auf Verzeichnisse (sowieso meist nicht nötig wenn man ACLs zur Hand hat) wenn chmod(700) gemacht wird.

StarFleet
Newbie
Newbie
Beiträge: 3
Registriert: 21. Nov 2007, 18:04

Beitrag von StarFleet » 23. Nov 2007, 12:38

jengelh hat geschrieben:Richtig. Ich sagte ja auch: alles was nicht nachträglich nochmal den Betriebssystemaufruf chmod macht und einen Modus setzt, der so nicht gewollt ist.
Vielen Dank!.
Hm, das heißt, ein einfaches 'cp' hat immer auch ein chmod zur Folge?
Mist.

Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 4 Gäste