ruzie met permissies in linux

Hallo

Voor een schoolopdracht moet ik klooien met permissies in linux.

Een leraar heeft een account waarin een gedeelde map wordt gemaakt (om opdrachten in te leveren enzo). Daarin komt een map voor elke leerling. In elke map heeft alleen de betreffende leerling en de leraar toegang (read & write). De rest van de leerlingen mogen die map uberhaupt niet ziet.

Dit dacht ik op te lossen door een softlink te plaatsen in de home directory van elke leerling rechtstreeks naar hun eigen map.

Aan het einde moet de docent alle permissies kunnen omgooien zodat alleen hij nog write permissies heeft, maar dat is nu niet van belang.


De mappen aanmaken en permissies zetten van de mappen lukt wel. Het leek me handig om de leraar eigenaar te maken en als group de user-only groep van de betreffende leerling.

Tot dusver niks raars.

Alleen als ik als leerling files aanmaak in zijn directory, krijgt hij de permissies van de leerling (dus leerling:leerling rwx:r) ipv de permissies van de parent folder.

Dit dacht ik op te kunnen lossen met SGID permissies, dus ipv chmod 770 deed ik chmod 2770 op de map. Uit de beschrijving begreep ik dat alles dat in de map wordt aangemaakt dan de permissies krijgen van de groep van de parent directory.

Dat werkte niet, en vermoedelijk weet ik ook waarom. De groep van de map is de leerlinggroep, dus de leraar krijgt niks. Dat dacht ik op te lossen door de leraar toe te voegen aan de usergroup van de leerling.

Maar ook dat werkt niet.

Nu ben ik het spoor een beetje bijster.


In het kort.
Ik heb een soft link naar een map, Alles dat in die map wordt gezet moet dezelfde permissies krijgen als van de map zelf. Automatisch (dus geen scriptje laten runnen oid).
ACL is niet de bedoeling, dat is voor opdracht b

ja de default group die wordt aangemaakt bij het aanmaken van de user.

dus als ik user "harrie" aanmaak wordt er ook een group "harrie" gemaakt met alleen die user erin (toch?)

Dat is inderdaad dezelfde opdracht. Zal iemand zijn van een andere practicumgroep.
Dan ga ik die antwoorden ook even doorspitten.

Osiris schreef op zondag 26 januari 2014 @ 00:44:
[...]

Als jij dat zo gescript hebt wellicht. Maar dat is logischerwijs niet 'normaal'.

Meestal zit de user "harrie" gewoon in de group "users".

En "pietje", het dagelijkse werk-account van de systeembeheerder, zit bijv. in de group "wheel".

Waarom zou je een groepen-systeem maken als je vervolgens de groep identiek stelt aan de user? (Al kun je natuurlijk een user in meerdere groepen plaatsen, inclusief z'n identieke "eigen-user-group".. Maar ik zie 't nut er niet van in, aangezien je al het zelfde wat je met die groep kunt, ook met de user-rechten kunt doen. Aangezien je klaasje niet in de unieke "eigen-user-groep" van harrie gaat zetten e.d.

Dan ga ik daar verkeerd denk ik. Ik had begrepen dat die map zo werd aangemaakt.
Dat je daarom standaard bij permissies ook altijd dezelfde namen ziet staan bij user en group (als je ls -l doet)

Gewoon Linux mint in mijn geval.

Ok heb adhv onder andere dat andere topic wat wijzigingen gedaan.

De submappen (leerling mappen) zijn nu van de leerling met een leraargroep als groep (waar de docenten in zitten).
dus:
chown henk /home/main/henk
chgrp teachers /home/main/henk

Zowel henk als teachers hebben rwx toegang.
Tot zover werk het, maar als henk nu files aanmaakt in zijn map gaat het toch nog niet helemaal goed.
De user en groep zijn goed (henk:teachers), maar de permissies staan op rw voor henk, maar enkel r voor de teachers groep.

Dit moet rw/rw blijven.

sticky bit heb ik geprobeerd en ook de sgid permissie (chmod 1770 en 3770).

Ok sticky bit is weer uit.

Ik dacht dat sticky bit enkel deed voorkomen dat mensen geen spullen kunnen verwijderen, maar goed.

umask lijkt inderdaad nuttig, en zoals ik het lees zou ik dan umask 007 moeten doen (full access voor de leerling en de teacher groep, geen permissies voor de rest), maar dat lijkt niks te veranderen. Nieuwe files zijn nog steeds rw/r. Ook umask 000 levert niks op.

Snap ik umask niet? of doe ik iets anders fout?
in de terminal heb ik gewoon als root "umask xxx" uitgevoerd.

voor de mappen lukt het ook wel. Die zijn al goed.

Maar het probleem is nu dat de leerling in zijn map nieuwe files aanmaakt en die files nemen niet de permissies van de leerling map over. De teachers groep wordt wel meegenomen als groep, maar hij krijgt enkel read permissies. Dat moet automatisch read&write worden.

Er kan geen script voor runnen inderdaad. Er worden 3 bash scripts gemaakt. En het huidige script moet voor een opgegeven user een eigen map maken met bijbehorende permissies. De leerling (user) stopt hier files in om in te leveren en zolang de deadline nog niet verstreken is moeten leerling en leraar R/W permissies hebben.
Na de deadline wordt er een ander script gerund die de write permissies bij de leerling weghaalt.

0022. Dus standaard permissies (alleen write access voor user)

Ja ik kan het wel handmatig fixen, maar ben nog aan het zoeken of dat ook in een script kan.

ACL's mogen niet in opdracht A. Die worden gebruikt bij B.

Maar ik heb het nu 95% werkend. Alleen zag ik dat bij mint umask niet in .bashrc (of zoiets) staat. Met losse umask wijziging bij die user werkt alles al. Moet alleen nog even kijken waar ik dat "tegenwoordig" per user kan wijzigen

De hele file bestaat niet.

Ik nam eigenlijk aan dat het verplaatst was

edit
nevermind, heb het al gevonden.
Het staat niet in bashrc, maar in .profile


edit2:
ok toch nog een vraagje :-)

Ik maak nu een account aan en verander in de home directory het bestand .profile.
Er staat een comment #umask 022, die verander ik naar umask 007 (ook zonder # dus).

Dit werkt, alleen moet de aangepaste profile nog opnieuw geladen worden om het te laten werken.
Dit moet alleen gebeuren in het script.

Ik kan het in terminal doen door: su - user (met streepje).
maar hoe laat ik het herladen in het script?

ik kwam . /home/user/.profile tegen, maar dat fikst het niet jammer genoeg

[ Voor 99% gewijzigd door timberleek op 27-01-2014 23:25 ]

mijn eigen useraccount heeft wel .bashrc, maar bij de gebruikers die ik aanmaak (met useradd) staat hij niet (.profile wel).

umask gebruik ik voor de gebruikersaccounts omdat een aangemaakt bestand standaard enkel read access toekent aan de group (de teachers) door de umask (default = 022). Die wilde ik veranderen naar 00x om de teacher ook automatisch write access te geven (ook voor de deadline moet de teacher write access hebben).

Bij de deadline gooi ik gewoon de normale permissies om, daar heeft umask inderdaad niks mee van doen.

ik heb in terminal wel su user gedaan en dan weer exit na het veranderen van .profile. Dan is umask niet bijgewerkt (en dus nog steeds 0022). alleen als ik su - user (met login shell) doe werkt hij umask bij naar de nieuwe waarde die in .profile staat. Ik ben nu alleen nog aan het kijken naar een manier om dat bij te werken vanuit het bash script. Verder is het script af.

Bedankt voor de link trouwens, ik ga hem even doorworstelen