форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Помогите разобраться с правами"
Сообщение от Dmitry Z. on 27-Мрт-03, 14:21  (MSK)
Есть шареный (самба) каталог : [CHAS]         comment = CHAS Public Dir         path = /dat/chas         read only = No         create mask = 0600         directory mask = 0700         guest ok = Yes         valid users = @chas @admins #(группы) У самого каталога (/dat/chas) права 777 +t Sticky bit чтобы внутри стирать файлы могли только из овнеры. [root@Titan dat]# ls -l total 20 drwxr-xr-x    2 root     root         4096 Mar 27 03:58 agency/ drwxrwxrwt    3 root     root         4096 Mar 27 04:59 chas/ drwxrwxrwx    2 root     root         4096 Mar 27 03:59 exchange/ drwxr-xr-x    2 root     root         4096 Mar 27 03:59 subbota/ drwxr-xr-x    2 root     root         4096 Mar 27 03:59 vol1/ [root@Titan dat]# Это все работает ок. [root@Titan chas]# ls -l total 12 -rw-------    1 dimaz    admins         30 Feb 18  2002 moj_file.txt drwx------    2 dimaz    admins       4096 Mar 27 05:19 moj_kaatlog/ [root@Titan chas]# Юзер не может ни войти в каталог, созданный 2-м юзером ни посмотреть лежащий файл. Все нормально. Мне в этом же каталоге нужно иметь еще 1 каталог внутри такой вот "NOMER", куда права у всех должны быть полные - 777. И на всех его "детей", ниже тоже все могут делать все. Я сделал такой каталог (/dat/chas/nomer) [root@Titan chas]# ls -l total 12 -rw-------    1 dimaz    admins         30 Feb 18  2002 moj_file.txt drwx------    2 dimaz    admins       4096 Mar 27 05:19 moj_kaatlog/ drwxrwsrwx    2 root     admins       4096 Mar 27 05:04 nomer/ [root@Titan chas]# у него овнер - РУТ, так что юзеры не могуть его стереть - так и нужно! Не могут стереть т.к. у каталога выше стоит "+t Sticky bit", тут все ОК. Я поставил ему Setgid бит (chmod +g) чтобы передать его права всем его детям... Так вот и наблюдаю такую вот картину внутри его : [root@Titan nomer]# ls -l total 8 drwx--S---    2 dimaz    admins       4096 Mar 27 05:25 dir001/ -rw-------    1 dimaz    admins         30 Feb 18  2002 file.002 [root@Titan nomer]# НО! действует это совершенно непостижимо для меня: другой юзер НЕ МОЖЕТ (как и видно из прав, в принципе) зайти в созданный мною каталог, НО! он может его убить, если он пустой! 8-\ И файлы мои (file.002) он (другой) не может читать, зато можеть убить... Не подскажете, плиз как мне это реализовать ? Самое смешное, это то, что у меня (до сноса системы) это работало, но, есссно я забыл что я и где ставил...
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Помогите разобраться с правами"
Сообщение от Ihor on 27-Мрт-03, 15:29  (MSK)
>другой юзер НЕ МОЖЕТ зайти в созданный мною каталог, >НО! он может его убить, если он пустой! 8-\ >И файлы мои (file.002) он (другой) не может читать, зато можеть >убить... Это из-за того, что у тебя каталог nomer -- world writable (o+w). Каталог - это файл, ты разрешаешь всем модифицировать этот файл => все могут что-то добавлять или вытирать из этого каталога и права, установленные на это "что-то" роли не играют, за исключением случая, когда у тебя на каталоге стоит sticky-bit.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Помогите разобраться с правами"
	Сообщение от Dmitry Z. on 27-Мрт-03, 15:41  (MSK)
	>>другой юзер НЕ МОЖЕТ зайти в созданный мною каталог, >>НО! он может его убить, если он пустой! 8-\ >>И файлы мои (file.002) он (другой) не может читать, зато можеть >>убить... > >Это из-за того, что у тебя каталог nomer -- world writable (o+w). > >Каталог - это файл, ты разрешаешь всем модифицировать этот >файл => все могут что-то добавлять или вытирать из этого каталога и права, >установленные на это "что-то" роли не играют, за исключением случая, когда >у тебя на каталоге стоит sticky-bit. Ну так что же мне нужно сделать чтобы юзер, зашедший в этот NOMER-каталог все таки МОГ заходить внутрь каталогов созданных там другим юзером ? Эта ситуация вообще разрешима ?...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Помогите разобраться с правами"
	Сообщение от Ihor on 27-Мрт-03, 15:55  (MSK)
	Ты хочешь, чтобы они просто могли читать или вносить изменения? Я плохо представляю, чего ты хочешь добиться, в любом случае, посмотри man smb.conf на предмет force directory mode и force create mode
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Помогите разобраться с правами"
	Сообщение от Dmitry Z. on 27-Мрт-03, 16:12  (MSK)
	>Ты хочешь, чтобы они просто могли читать или вносить изменения? >Я плохо представляю, чего ты хочешь добиться, в любом случае, посмотри > man smb.conf >на предмет > force directory mode >и > force create mode Я посмотрел МАН и в принципе мне бы нужно нечно в роде inherite permissions но тольно ниже определенного каталога - каталога NOMER. Я это сделал и внутри каталога NOMER все ОК! Вот только каталоги 1 уровня с NOMER тоже делаются с наследованием своих прав "сверху". А вот нельзя ли как-то это обойти, то есть чтобы когда юзер создает каталог или файл к каталоге /chas то он(и) создавался бы с правами ну например 700 а если он лезет в каталог /chas/nomer то там уже созданные им файлы имеют права 777. Вот что мне нужно...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Помогите разобраться с правами"
	Сообщение от Ihor on 27-Мрт-03, 16:46  (MSK)
	А какая у тебя ОС?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Помогите разобраться с правами"
	Сообщение от Dmitry Z. on 27-Мрт-03, 17:52  (MSK)
	>А какая у тебя ОС? Mandrake Linux 9.0
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Помогите разобраться с правами"
	Сообщение от Ihor on 27-Мрт-03, 19:26  (MSK)
	Насчёт linux-a точно не знаю (в BSD gid на каталогах не работает), но можно попробовать так: создаём новую группу ngroup, делаем chown -R root:ngroup chas chmod 3770 chas chmod 2707 chas/nomer а в smb.conf ставим create mask = 0606 directory mask = 0707 force group=ngroup
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Помогите разобраться с правами"
	Сообщение от Dmitry Z. on 28-Мрт-03, 11:34  (MSK)
	>Насчёт linux-a точно не знаю >(в BSD gid на каталогах не работает), но можно попробовать так: > >создаём новую группу ngroup, делаем > chown -R root:ngroup chas > chmod 3770 chas > chmod 2707 chas/nomer > >а в smb.conf ставим > create mask = 0606 > directory mask = 0707 > force group=ngroup Мда... Я попробовал - не пашет... Если делать "chmod 3770 chas" то у меня юзеры другой группы - не "ngroup", вообще не могут открыть шаринг, т.к. 377_0_ ! Все ок. А когда я делаю chown -R root:MYNEEDEGROUP chas то тогда другие юзеры имеют доступ в каталоги соседей... а в chas/nomer вообще никто зайти не может ;-( т.к. chmod 27_0_7 chas/nomer Но все равно - спасибо, что уделил время ;-) Дело в том, что _у меня_ эта проблема решается в принципе введением нового шаринга, специально для chas/nomer только у клиентов будет раз-маплена еще 1 буква, вот и все. Ну, спасибо еще раз.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.