Välkommen till linuxportalen.se!

Linuxportalen.se är Sveriges största och aktivaste webbplats för användare av öppen- och fri programvara.

Du besöker Linuxportalen.se som gäst vilket begränsar din möjlighet att använda webbplatsens alla funktioner. Genom att registera dig som medlem får du inte bara möjlighet att söka bland webbplatsens innehåll, skapa nya och delta i befintliga diskussioner, skapa din egen blogg, kommunicera med andra medlemmar genom privata meddelanden och delta i omröstningar. Du får också tillgång till Veckans Kadavro - en seriestrip unikt skapad för Linuxportalen.se!

Registeringen sker snabbt och är helt kostnadsfri - tveka inte, bli medlem idag!

Kristian: UNIX permissions vs ACL:s

Jag har tidigare försökt sätta upp en ftp-server där flera användare accessar och delar samma filer. Problemet är att om en användare skapar en fil eller en mapp så måste läs/skriv/kör-rättigheter automatiskt kunna ges till andra användare. Det går att åstadkomma genom att sätta en umask-flagga så att alla filer en användare skapar får g+rwx per default. Den lösningen är dock lite bristfällig eftersom den påverkar alla filer en användare skapar oavsett var de skapas.  Man vill i regel att bara de filer man skapar under en VISS MAPP ska bli skriv/läs/körbara för gruppen, inte tex. filerna i ens hemmapp.

Det visar sig att UNIX-rättigheter är lite för primitiva i detta och i en del andra fall. En lösning till problemet är att använda en annan sorts rättigheter: ACL:s. ACL:s gör att man kan sätta rättigheter för multipla användare och grupper för enskilda filer , vilket är mer flexibelt än UNIX:s system med user, group och other. En annan fin finess med ACL:s är rättighetsärv. Man kan då sätta en "default ACL" på en mapp och sedan låta alla filer/mappar som finns/skapas/modifieras (också i undermappar) få samma rättigheter per automatik. Det är precis vad vi behöver i fallet med ftp-servern.

Anta att vi vill att användarna olle och pelle ska dela filer i en mapp "shared". Båda ska få skriv/läs/körrättigheter oavsett vem som äger en viss fil. Då sätter vi en default ACL på mappen shared enligt

setfacl -d -m user:olle:rwx,user:pelle:rwx shared

I det mer generella fallet har vi en särskild grupp "sharedpeople" som de användare som vill dela filer är medlem i. Då kör vi istället

setfacl -d -m group:sharedpeople:rwx shared

PS.

För att ACL:s ska kunna användas måste filsystemet monteras med en "acl"-flagga i /etc/fstab

Alternativ för kommentarvisning

Välj ditt önskade sätt att visa kommentarerna och klicka på "Spara" för att verkställa dina ändringar.

rejass bild

Tack för en bra beskrivning av ACLs Smile

Kristian, du vet det säkert, men andra kanske missat att man kan fixa till de scenarion du beskriver även med vanliga UNIX-rättigheter med hjälp av umask, en gemensam grupp och GUID-biten på katalogen satt.

rejas@rejas-laptop:~/tmp/lp$ umask 0002
rejas@rejas-laptop:~/tmp/lp$ mkdir test
rejas@rejas-laptop:~/tmp/lp$ groups
rejas adm disk dialout cdrom floppy tape audio dip video plugdev scanner fuse lpadmin admin netdev powerdev vboxusers
rejas@rejas-laptop:~/tmp/lp$ chgrp adm test/
rejas@rejas-laptop:~/tmp/lp$ chmod 2770 test
rejas@rejas-laptop:~/tmp/lp$ mkdir test/kajsa
rejas@rejas-laptop:~/tmp/lp$ touch test/kalle
rejas@rejas-laptop:~/tmp/lp$ ls -l test/
totalt 4
drwxrwsr-x 2 rejas adm 4096 2008-07-16 08:17 kajsa
-rw-rw-r-- 1 rejas adm    0 2008-07-16 08:17 kalle
rejas@rejas-laptop:~/tmp/lp$ 

  /Marcus

Kristians bild

Tack för exemplet. Det du beskriver fungerar men kräver att alla användare har satt sin umask globalt till 0002. Det påverkar som nämnts även filer som hanteras utanför den delade mappen. Jag antar att det inte är så illa ifall varje användare har var sin defaultgrupp (rejas har defaultgrupp rejas) där ingen annan är medlem, då kan ingen annan accessa filerna oavsett om de fått g+rw

---------------------------------------

 

rejass bild

Så sant. Men ofta är det speciella program som det gäller, till exempel samba eller ftp och då kan man ofta sätta en umask i bara det aktuella programmet. Din lösning är bättre, men kan i bland vara att ta i i onödan.

falconixs bild

Riktigt bra, har också funderat mycket över det, senast förra veckan hur jag skulle lösa precis det problemet, ville inte umaska eftersom att det berör alla filer man skapar.

Men detta ska jag verkligen lägga på minnet, verkligen tack.

 

Nu blir det att exprimentera, måne om det går i Solaris, med ZFS?