facl, setfacl, directory share, waarom plaatst cp de originele bestandsrechten in facl mask? Zou dat niet ' moeten zijn als cp -p gedrag?

De gebruikers op dit systeem zijn voorzichtig en hebben hun umasks ingesteld op de zeer persoonlijke 0077. De gebruikers zouden echter graag groepsspecifieke mappen willen hebben, waar bestanden kunnen worden gekopieerd om ze expliciet te delen met andere groepsleden. Er kunnen meerdere van dergelijke gedeelde mappen zijn, hoewel ze allemaal specifiek zijn voor een groep.

Het instellen van de sticky bit van de groep op een bepaalde directory om te gebruiken voor delen is niet voldoende. Hoewel het instellen van de sticky bit ervoor zorgt dat het groepseigendom correct is voor bestanden die in de directory zijn geplaatst, zijn de machtigingen voor die bestanden vaak zo ingesteld dat de bestanden niet kunnen worden gelezen of bewerkt, d.w.z. dat ze niet daadwerkelijk kunnen worden gedeeld. Ze verschijnen gewoon in de directorylijst. Dit komt doordat sommige gebruikers er niet aan denken of niet weten hoe ze handmatig de vereiste aanpassing van de groepstoestemmingen moeten maken om lezen en schrijven toe te staan. We kunnen ze hier een pauze in geven, omdat gebruikers tenslotte geen beheerders zijn. acls kan worden gebruikt om aan te geven dat een bepaalde groep toegang heeft tot de bestanden in de gedeelde map, onafhankelijk van wat de machtigingen van de groep zouden zijn zonder acls. Dat is de perfecte oplossing, maar het werkt niet helemaal.

In het volgende is de gedeelde groep “customer_gateway” en de voorbeeldgebruiker die een bestand probeert te delen is “svw”. Zoals te zien is in het transcript, is de svw-gebruiker lid van de customer_gateway-groep. De directory waar het delen moet plaatsvinden, wordt ook “customer_gateway /” genoemd.

Het volgende gebruikt acls. Ik heb de groepsmachtigingen, de standaardgroepsmachtigingen, het masker en het standaardmasker ingesteld. Het werkt goed voor bestanden die in de directory zijn gemaakt, of voor bestanden die daar naartoe zijn verplaatst via cat (of tar), maar vreemd genoeg niet voor bestanden die daar “cp” zijn:

# rm -r customer_gateway/ # umask 0077 # cat ~/script1 mkdir customer_gateway chown :customer_gateway customer_gateway/ chmod g+rwx customer_gateway/ setfacl -m group:customer_gateway:rwX customer_gateway/ setfacl -m d:group:customer_gateway:rwX customer_gateway/ setfacl -m m::rwX customer_gateway/ setfacl -m d:m::rwX customer_gateway/ getfacl customer_gateway cd customer_gateway touch cga cat << EOF > cgb c g b EOF ls -l # . ~/script1 # file: customer_gateway # owner: root # group: customer_gateway user::rwx group::rwx group:customer_gateway:rwx mask::rwx other::--- default:user::rwx default:group::rwx default:group:customer_gateway:rwx default:mask::rwx default:other::--- total 4 -rw-rw----+ 1 root root 0 Mar 2 20:43 cga -rw-rw----+ 1 root root 6 Mar 2 20:43 cgb # su - svw /home/svw/bin:/usr/local/bin:/usr/bin:/bin (note umask is 0077) > cd /share/customer_gateway/ > groups svw adm dip video plugdev google-sudoers customer_gateway > cat >> cga e f g > cat > cgc c g c > ls -l total 12 -rw-rw----+ 1 root root 6 Mar 2 20:44 cga -rw-rw----+ 1 root root 6 Mar 2 20:43 cgb -rw-rw----+ 1 svw svw 6 Mar 2 20:44 cgc > ls ~/dat ta tb tc > cat ~/dat/ta > ta > cp ~/dat/tb tb > ls -l total 20 -rw-rw----+ 1 root root 6 Mar 2 20:44 cga -rw-rw----+ 1 root root 6 Mar 2 20:43 cgb -rw-rw----+ 1 svw svw 6 Mar 2 20:44 cgc -rw-rw----+ 1 svw svw 4 Mar 2 20:45 ta -rw-------+ 1 svw svw 4 Mar 2 20:45 tb > getfacl ta # file: ta # owner: svw # group: svw user::rw- group::rwx #effective:rw- group:customer_gateway:rwx #effective:rw- mask::rw- other::--- > getfacl tb # file: tb # owner: svw # group: svw user::rw- group::rwx #effective:--- group:customer_gateway:rwx #effective:--- mask::--- other::--- > 

Wat dit laat zien, is dat wanneer een bestand in de directory wordt aangemaakt, het de standaardrechten krijgt en kan worden gedeeld. Maar gebruikers maken hun bestanden niet altijd daar, gewoonlijk cp ze ze daar.

Maar kopiëren is hetzelfde, want om een kopie te maken, moeten we eerst een nieuw bestand maken. We hebben het over hier een gewone kopie, geen kopie van de behouden machtigingen. Het is hetzelfde als het volgende formulier, dat trouwens wel werkt en een bestand kopieert dat in de directory kan worden gedeeld, onafhankelijk van de oorspronkelijke groepstoestemmingen:

cat < data.in > shared/data.out 

werkt prima, piping through tar werkt ook, maar de vorm

cp data.in shared/data.out 

mislukt. De cat ed-bestand krijgt het standaardmasker en de standaardrechten. Het cp ed-bestand behoudt zijn rechten in het acl-masker en de groepsrechten, alsof het a cp -p (maar het was niet “t), en dus lezen de effectieve permissies als het originele bestand, niet zoals de acls zijn ingesteld.

Als tweede poging heb ik dit experiment uitgevoerd met de group sticky bit, chmod g + rwxs, samen met de facl ch anges, en kreeg exact dezelfde resultaten. Hoewel de directoryvermeldingen mooier zijn omdat het groepseigendom wordt weergegeven voor alle gedeelde bestanden. Ik heb het ook uitgevoerd met alleen het sticky bit van de groep, zonder de setfacl. Het had ook hetzelfde resultaat voor gekopieerde bestanden (dus facls lijken tamelijk nutteloos voor een map waarin bestanden worden gekopieerd om te worden gedeeld).

Op welke basis en met welke rechtvaardiging maakt linux facls onderscheid tussen verschillende vormen van data aanmaken? Waarom cp dwingen om rechten te behouden als het niet is verteld dit te doen? Welke reden zou de verwarring rechtvaardigen die wordt veroorzaakt door dit onderscheid tussen kat en piping door teerwerkend maar cp werkt niet? Mis ik een magische bezwering die dit onderscheid zou maken verdampen?

Is deze samenvatting correct: facls zal je toelaten om het eigendom te overwinnen om bestanden te delen, het zal permissies meer permissief maken dan de umask bij het “creëren” van bestanden, tenzij die creatie te wijten is aan het cp commando en om een goede reden omdat … want waarom?

Reacties

• Welk besturingssysteem (linux distro en versie) en welk bestandssysteem gebruik je? Zou het oké zijn om mensen cat te laten gebruiken, misschien via een speciaal shellscript voor dit doel?
• Bent u van plan dat elke gebruiker in de groep kan wijzigen of verwijderen elk bestand, of zou alleen de maker dergelijke machtigingen moeten hebben? Met andere woorden: alleen leesmachtigingen (en misschien uitvoeringsmachtigingen) voor de o andere gebruikers.
• Debian 10. Omdat het maken van bestanden werkt, heb ik ‘ kopieën door tar geleid. Ik ‘ verpak dat als een proj_cp commando in / usr / local / bin. Als een gebruiker echter een speciaal kopieercommando moet gebruiken, kan men gewoon met de groep sticky bit gaan zonder facls en de permissies instellen. Ik wil weten hoe ik de acls moet instellen zodat cat tar en cp werken.Ik ‘ m denk dat er een probleem is met acls met cp, aangezien ze het cp -p-gedrag uitvoeren in plaats van het cp-gedrag. Ik ‘ kijk er naar uit om te horen van toestemmingsdeskundigen.
• Het delen van groepen is een terugkerend probleem met variaties, zoals u aangeeft. In dit geval hebben softwareontwikkelaars toegang tot de testrelease-directory. Het is van hen om mee te rotzooien. Ze kunnen in die directory werken, pushen, trekken, installeren in de virtuele omgeving enz. Het probleem komt wanneer ze dingen kopiëren vanuit een ander gebied waarin ze hebben gewerkt, en hun umasks zijn niet ingesteld met groepsmachtigingen. Het is voor hen verwarrend omdat het aanmaken en kopiëren van bestanden met tar prima werkt. Het is ook grappig dat ik ze een copy-script moet geven dat precies doet wat cp doet. ‘ acls ‘ ze zijn magisch, ik zeg LOL
• Ik ben geen machtigingsdeskundige, maar ik hoop dat mijn vragen en uw antwoorden kunnen de experts helpen om u relevante antwoorden te geven.