[redhat 8] 2 users in dezelfde primaire groep - Linux en overige clients

vrijdag 7 november 2003 20:36

Acties:

Topicstarter

Is het normaal dat 2 gebruikers in dezelfde primaire groep elkaars bestanden kunnen wissen/bewerken?

Ik heb nu deze situatie:

user guest001 en guest002 zitten in dezelfde primaire groep: guests en tevens hebben zij dezelfde home-dir: te weten /home/guests.
In die home-dir bevindt zich een map uploads met de volgende rechten:

code:

[root@anaconda guests]# ll -a
total 16
d---r-x---    4 nobody   guests       4096 Nov  7 17:00 .
drwxr-xr-x   11 root     root         4096 Nov  7 16:48 ..
d---r-x---    2 nobody   guests       4096 Nov  7 18:41 downloads
d---rwx---    2 nobody   guests       4096 Nov  7 20:27 uploads

Het probleem is nu dat als ik met guest001 een bestand aanmaak, guest002 hem zonder pardon kan verwijderen, wat niet de bedoeling is.

Dit is mijn rechtenstructuur:

code:

[root@anaconda guests]# cd uploads/
[root@anaconda uploads]# ls -al
total 8
d---rwx---    2 nobody   guests       4096 Nov  7 20:27 .
d---r-x---    4 nobody   guests       4096 Nov  7 17:00 ..
-rw-r--r--    1 guest001 guests          0 Nov  7 20:27 blaat1.crp

Wat zie ik over het hoofd?

vrijdag 7 november 2003 20:42

Acties:

bazs2000

Pixels zo groot als een atoom

Beide accounts hebben dezelfde rechten in één map, als je wil dat accounts met gelijke rechten geen dingen kunnen verwijderen die door een ander account is aangemaakt met gelijke rechten dan zul je het zaakje zo in moeten stellen dat de maker van het bestant tevens de eigenaar is. Een account die geen eigenaar is mag dan vervolgens niets met dat bestand (naam wijzigen/verwijderen).

Krankzinnige muziek vind je hier.

vrijdag 7 november 2003 21:12

Acties:

DPLuS

Topicstarter

Maar even als voorbeeld:

De eigenaar van het bestand blaat1.crp is toch guest001?
En aangezien guest001 read+write rechten heeft en de groep GUESTS alleen read-rechten kan het toch eigenlijk niet zo zijn dat mensen uit de groep GUESTS bestanden kunnen verwijderen?
Ik dacht nl. altijd dat het meest restrictieve gold.

vrijdag 7 november 2003 21:18

Acties:

Arzie

Verwijderen gebruikt de rechten van de betreffende directory, niet die van het bestand.

vrijdag 7 november 2003 21:20

Acties:

DPLuS

Topicstarter

Hoe kan ik die directory dan zo inelkaar zetten, dat gebruikers wel bestanden kunnen maken / uploaden in die map, maar dat ze alleen hun eigen bestanden kunnen wissen?

vrijdag 7 november 2003 21:28

Acties:

Arzie

Voorzover ik weet kan dat niet met de normale UNIX-rechtenstructuur. Misschien dat ACL's wel werken, maar een eenvoudigere oplossing is dat je onder de upload-dir eigen dirs maakt voor de 2 gebruikers.

vrijdag 7 november 2003 21:53

Acties:

MikeN

quote: man chmod
STICKY DIRECTORIES
When the sticky bit is set on a directory, files in that directory may only be unlinked or renamed by root or
their owner. (Without the sticky bit, anyone able to write to the directory can delete or rename files.) The
sticky bit is commonly found on directories, such as /tmp, which are world-writable.

Gewoon even chmod +s dirnaam oid

vrijdag 7 november 2003 21:57

Acties:

bazs2000

Pixels zo groot als een atoom

CHMOD de map naar 755

De eigenaar en root mogen dan alles maar de overige accounts mogen dan alleen maar lezen/openen/uitvoeren.

Krankzinnige muziek vind je hier.

vrijdag 7 november 2003 22:48

Acties:

blaataaps

bazs2000 schreef op 07 november 2003 @ 21:57:
CHMOD de map naar 755

De eigenaar en root mogen dan alles maar de overige accounts mogen dan alleen maar lezen/openen/uitvoeren.

a) het goede antwoord is al gegeven (en wel door MikeN, sticky bit aanzetten op directory
b) dit werkt niet, hij wil graag dat de guest-accounts /wel/ bestanden mogen maken

zaterdag 8 november 2003 13:32

Acties:

DPLuS

Topicstarter

Hmm, dat met die sticky bit op de directory werkt blijkbaar ook niet:

sticky bit aanwezig?:

code:

[root@anaconda uploads]# ls -al
total 8
d--Srws---    2 nobody   guests       4096 Nov  7 21:13 .
d---r-x---    4 nobody   guests       4096 Nov  7 17:00 ..
-rw-r--r--    1 guest002 guests          0 Nov  7 21:13 blaat1.crp

login met guest001 en probeer blaat1.crp te verwijderen:

code:

ftp> ls -al
200 PORT command successful. Consider using PASV.
150 Here comes the directory listing.
d--Srws---    2 99       507          4096 Nov 07 20:13 .
d---r-x---    4 99       507          4096 Nov 07 16:00 ..
-rw-r--r--    1 508      507             0 Nov 07 20:13 blaat1.crp
226 Directory send OK.
ftp: 187 byte ontvangen in 0,05seconden 3,98kB/s.
ftp> dele blaat1.crp
250 Delete operation successful.
ftp> ls -al
200 PORT command successful. Consider using PASV.
150 Here comes the directory listing.
d--Srws---    2 99       507          4096 Nov 08 12:29 .
d---r-x---    4 99       507          4096 Nov 07 16:00 ..
226 Directory send OK.
ftp: 119 byte ontvangen in 0,03seconden 3,84kB/s.

Ik snap er niets van??

zaterdag 8 november 2003 13:36

Acties:

_JGC_

AFAIK is de sticky bit +t, niet +s, maar ik kan ernaast zitten.

code:

1	drwxrwxrwt 22 root wheel 2560 Nov 8 13:16 tmp

Heb hier ook gewoon een +t op mn /tmp staan.

je moet dus een chmod g+t uitvoeren op die directory, wil je ervoor zorgen dat dat stickybit werkt voor de groep.

zaterdag 8 november 2003 13:43

Acties:

blaataaps

DPLuS schreef op 08 november 2003 @ 13:32:
Hmm, dat met die sticky bit op de directory werkt blijkbaar ook niet:

sticky bit aanwezig?:
code:
1
2
3
[root@anaconda uploads]# ls -al

d--Srws---    2 nobody   guests       4096 Nov  7 21:13 .
Ik snap er niets van??

De sticky bit is niet aanwezig op de directory, s en S betekenen suid, ik zie nu pas dat MikeN een klein foutje in zijn post had, chmod +s is voor suid, chmod +t is voor sticky.
Als je nu chmod 1070 upload/ doet, zou het volgens mij moeten werken, als ik goed begrijp wat jij wilt, namelijk dat de mensen in de group guests bestanden kunnen maken in die directory, maar dat ze alleen hun eigen bestanden mogen verwijderen/renamen.

zaterdag 8 november 2003 19:36

Acties: