clenstvi ve vice skupinach
Tomáš Vondra
vondra na tesmail.cz
Pondělí Březen 4 16:30:57 CET 2002
Asi takhle,
podle meho nazoru se jedna o problem dany principy klasickeho
UNIXoveho systemu prav, tj. systemem UID/GID + prava. Jiste ho jde
obejit ruznymi s-bity na adresarich/souborech, nicmene je to
"neelegantni." Clovek se velice jednoduse dopusti neprevidatelne chyby
pri zarazovani uzivatele do skupin, takze to je skutecna "makacka na
bednu."
Podle meho osobniho nazoru (no flamewar please!) je tento system
dosti zastaraly, resp. dosti hruby. Pokud to srovnam s pravy napr. ve
WinNT (tj. s ACL - Access Control Lists), tak to jednoznacne vyhravaji
Windows (pokud nemluvim o konkretni implementaci, to jsem nestudoval).
Ale neni nic jednodussiho nez do Linuxu ACL zakompilovat (pokud mate
moznost prekompilovat kernel). Tech projektu existuje nekolik,
hledejte na freshmeatu. Osobne mam nejake zkusenosti s projektem
http://acl.bestbits.at ale vzhledem k tomu ze Linux pouzivam "pouze"
doma, tak ACL pravidelne nepouzivam...
Tomas
n> Mam uzivatele usr1, usr2, usr3. Kazdy z techto uzivatelu ma sve UID a
n> GID. Momoto jsou tito uzivatele cleny dalsich skupin (ktera ma take sve
n> ID via /etc/group). Pokud nekde v adresarove strukture nastavim, ze dany
n> adrear je vlastnen prave touto skupinou a prava jsou x7x, pak vsichni
n> clenove skupini maji plna prava v tomto.
n> Problem nastava v okamziku, kdy je potrebne, aby ostatni clenove teto
n> skupiny mohli manipulovat se soubory, ktere vytvoril jiny clen
n> teto skupiny. Takovemuto soubrou se prideli vlastnictvi dane tim kterym
n> uzivatelem. Tj. jeho UID a GID ze souboru /etc/passwd. Pokud nahodou
n> nejsou ostatni clenove teto skupiny cleny jeho primarni skupiny, tak se k
n> temto souborum nedostanou. A z provoznich duvodu NELZE toto
n> nastavit, protoze potrebuji omezit moznost vzajemne manipulace s
n> temito soubory prave jen na tento adresar.
n> Existuje nejaka jina moznost, jak zajistit popsanou funcionalitu, jinak
n> nez napr CRONem, ktery bude v "relativne kratkych" intervalech menit
n> skupinoveho vlastnika ? (asi blby napad, co).
Další informace o konferenci Linux