Tapani v pristupovych pravech. Jak mit dva uzivatele pro jeden adresar aniz by byly ve stejne groups?

Honza Houstek houstek-lists na utf.troja.mff.cuni.cz
Čtvrtek Červenec 24 16:46:29 CEST 2003


> Mam adresar /var/www kde jsou v podadresarich vsechny weby. Pristupova
> prava ma uzivatel webmaster(ma nastaven /var/www jako home adresar).
> Nyni bych potreboval zalozit jineho uzivatele ktery by mel stejna prava
> jako webmaster ale pouze pro napr. /var/www/xyz
>
> Groupa k /var/www je ftpchroot tak do te ho nechci davat. Jak jinak mohu
> pridat prava novemu uzivateli? Pokud mu nastavim /var/www/xyz jako home
> omezim tim prava uzivatele webmaster?

Co ma kdo nastavene za home je z hlediska pristupovych prav irelevantni.
Ma-li user "webmaster" /var/www jako home, tak pravdepodobne vsechny
soubory patri jemu a maji nastavenou jeho implicitni group (coz bude
vetsinou "webmaster" nebo "users"). Pokud ma jiny user "bfu" mi pristup k
/var/www/xyz, staci dat obema stejnou skupinu a upravit prava a
vlastnictvi stavajicich souboru.

Problem je, pokud maji v nejakem spolecnem prostoru (/var/www/xyz) dva
ruzni uzivatele menit/pridavat/mazat soubory/adresare. Stejna skupina
casto nestaci, je treba zajistit, aby soubory meli prava "w" pro skupinu.
To ale nemusi byt snadne vynutit, pro shellovy pristup staci nastavit
umask, jenze to nelze omezit jen na dany adresar coz nemusi byt zadouci. U
jinych pristupu to nemusi jit vubec.

Castecnym resenim jak100hoven muze byt nasazeni ACL. Stale pak ale zustane
problem bude-li chtit user1 zmenit prava souboru ktery vytvoril user2 (coz
u webu muze byt docela legitimni pozadavek, typicky se jedna o povoleni
zapisu pro http daemon do nejakeho adresare v souvislosti se
skriptovanim). Vzhledem k tomu, ze na linuxu toto muze jen owner nebo
nekdo s DAC_OVERRIDE (cili v 99% pripadu root), neexistuje nejake
systemove reseni.

Zaver: pokud je predem znamo, jak maji vypadat prava vsech souboru, staci
mit oba uzivatele ve stejne groupe a periodicky menit prava vsech souboru
a jejich prislusnost k dane groupe. Neni to sice systemove, ale vetsinou
to staci. Pokud jdou pozadavky komplexnejsi, nasadit ACL, ale pocitat s
tim, ze prava muze menit jen vlastnik a vlastnika jen root.

-- Honza Houstek


Další informace o konferenci Linux