Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: Помогите чайнику с правами  (Прочитано 1386 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн asterix

  • Автор темы
  • Новичок
  • *
  • Сообщений: 37
    • Просмотр профиля
Помогите чайнику с правами
« : 26 Апрель 2010, 11:55:09 »
Помогите разобраться, не пойму почему так:
есть папка /media/userhdd/users, назнчаю ее владельцем пользователя adm1 из группы admins:
chown adm1:admins /media/userhdd/users
Теперь ставлю права на папку /media/userhdd/users чтобы в ней никто кроме
adm1 не мог создавать папки и файлы
chmod -R 744 /media/userhdd/users
захожу через самбу по сети в эту папку авторизовываюсь как другой пользователь из др группы - могу делать все!? че я делаю не так?
Может потому что я назначаю права на уровне ФС (кстате она NTFS т.е папка папка userhdd - точка монтирования харда), а когда захожу по сети то есть через самбу эти права не действуют на пользователя?

Оффлайн yarmak

  • Новичок
  • *
  • Сообщений: 3
    • Просмотр профиля
Re: Помогите чайнику с правами
« Ответ #1 : 26 Апрель 2010, 12:44:11 »
Обычный Файловый менеджер. Посмотри Свойства у свой папки -> Права . Что написано? Кто владелец?
« Последнее редактирование: 26 Апрель 2010, 12:47:45 от yarmak »

Оффлайн Lion-Simba

  • Старожил
  • *
  • Сообщений: 1126
    • Просмотр профиля
Re: Помогите чайнику с правами
« Ответ #2 : 26 Апрель 2010, 13:27:54 »
NTFS не поддерживает права доступа *nix.

Либо настраивать через самбу, либо использовать другую ФС.
Оказываю индивидуальную платную техподдержку широкого профиля. Обращаться в ЛС или Jabber.

Оффлайн asterix

  • Автор темы
  • Новичок
  • *
  • Сообщений: 37
    • Просмотр профиля
Re: Помогите чайнику с правами
« Ответ #3 : 26 Апрель 2010, 13:33:21 »
NTFS не поддерживает права доступа *nix.

Либо настраивать через самбу, либо использовать другую ФС.
Вот оно что! Теперь все понятно, а если я форматну этот харт под ext3 юзеры винды смогут туда писать/читать?
А через смбу я так понимаю нужно прописывать права для каждй папки отдельно, т.е расшаривать каждую папку?
« Последнее редактирование: 26 Апрель 2010, 13:37:25 от asterix »

Оффлайн Lion-Simba

  • Старожил
  • *
  • Сообщений: 1126
    • Просмотр профиля
Re: Помогите чайнику с правами
« Ответ #4 : 26 Апрель 2010, 15:12:24 »
а если я форматну этот харт под ext3 юзеры винды смогут туда писать/читать?
Через самбу - да.

А через смбу я так понимаю нужно прописывать права для каждй папки отдельно, т.е расшаривать каждую папку?
Да.
Оказываю индивидуальную платную техподдержку широкого профиля. Обращаться в ЛС или Jabber.

Оффлайн asterix

  • Автор темы
  • Новичок
  • *
  • Сообщений: 37
    • Просмотр профиля
Re: Помогите чайнику с правами
« Ответ #5 : 27 Апрель 2010, 12:28:13 »
Вообщем отформатировал раздел под ext3, права стали применяться но не совсем,
что сделал:
 создал группу users, завел туда пользователей,
например для папки поьзователя vasya (он же владелец и входит в группу users) назначил права
chmod -R 750, казалось бы пользюки этой же группы должны спокойно писать в эту папку но НЕТ(папка только открывается и все)! Если даю права
chmod -R 770 - все отлично но мне надо чтобы только писать но не читать и не удалять.
Ставлю chmod -R 720 Вообще папка не открывается.
Еше что заметил может важно - если владелец папки создает в ней еще папку то пользователи его группы могут туда писать при правах chmod -R 750 -на корневую папку влдельца.
Что может быть уже голову сломал. Помогите
А вообще возможно ли задать права в линуксе так, чтобы в папку можно было только сбросить файл но ни открывать ни удалять файлы из нее нельзя?
« Последнее редактирование: 27 Апрель 2010, 13:38:33 от asterix »

Оффлайн Lion-Simba

  • Старожил
  • *
  • Сообщений: 1126
    • Просмотр профиля
Re: Помогите чайнику с правами
« Ответ #6 : 27 Апрель 2010, 13:49:18 »
например для папки поьзователя vasya (он же владелец и входит в группу users) назначил права
chmod -R 750, казалось бы пользюки этой же группы должны спокойно писать в эту папку но НЕТ(папка только открывается и все)!
750 = rwxr-x---
А это означает, что пользователи группы могут получить список файлов в папке (r) и обратиться к любому файлу в папке (x). Чтобы пользователи группы могли создавать новые файлы в папке - то нужно ещё добавить w для них, то есть rwxrwx--- или 770.

Если даю права
chmod -R 770 - все отлично но мне надо чтобы только писать но не читать и не удалять.
Создание и удаление файла - операции одного ранга. *NIX не делает различий между ними. Так что если можно создать файл, то можно и удалить файл. Возможно вам поможет sticky бит (t).

Еше что заметил может важно - если владелец папки создает в ней еще папку то пользователи его группы могут туда писать при правах chmod -R 750 -на корневую папку влдельца.
Потому что вложенные файлы и папки не наследуют владельца и группу родительской папки. Чтобы вложенные папки и файлы наследовали группу родительской папки, то на родительскую папку нужно добавить setgid бит. Наследовать владельца родительской папки невозможно.
Оказываю индивидуальную платную техподдержку широкого профиля. Обращаться в ЛС или Jabber.

Оффлайн asterix

  • Автор темы
  • Новичок
  • *
  • Сообщений: 37
    • Просмотр профиля
Re: Помогите чайнику с правами
« Ответ #7 : 27 Апрель 2010, 14:28:41 »
Спасибо что разжевали, поставил липкий бит 41770 , теперь уже лучше почти то, что хотел - файлы в паке удалить может тот кто их создал, НО еще очень нужно сделать так чтобы эти файлы не запускались, т.е запустить мог только владелец ну или тот кто скопировал. Но это наверное уже не фозможно на *nix, просто на винде мы так делали а здесь видимо не получиться? 

Оффлайн Lion-Simba

  • Старожил
  • *
  • Сообщений: 1126
    • Просмотр профиля
Re: Помогите чайнику с правами
« Ответ #8 : 27 Апрель 2010, 14:39:23 »
еще очень нужно сделать так чтобы эти файлы не запускались, т.е запустить мог только владелец ну или тот кто скопировал.
Не запускались == не открывались? Если так, то по сути вам нужно запретить чтение файлов. Но тогда вы также не сможете их копировать из этой папки куда-либо.
Оказываю индивидуальную платную техподдержку широкого профиля. Обращаться в ЛС или Jabber.

Оффлайн asterix

  • Автор темы
  • Новичок
  • *
  • Сообщений: 37
    • Просмотр профиля
Re: Помогите чайнику с правами
« Ответ #9 : 27 Апрель 2010, 14:53:13 »
еще очень нужно сделать так чтобы эти файлы не запускались, т.е запустить мог только владелец ну или тот кто скопировал.
Не запускались == не открывались? Если так, то по сути вам нужно запретить чтение файлов. Но тогда вы также не сможете их копировать из этой папки куда-либо.
Ага, т.е вот есть папка юзера1 надо чтоб другой юзер2 мог кидать туда файлы, но не мог запускать его файлы *doc, *txt, и т.д Глвное чтобы их мог копировать владелец папки т.е юзер1 , если это возможно, то как запретить запуск  файлов? Не пойму.

Пользователь решил продолжить мысль 27 Апрель 2010, 10:12:42:
Вот попробыва еще вот так
chmod -R 710 /media/users/vasya/*.* - проктывает только для тех файлов которые уже были созданы.
Пробовал с umask
umask 060 /media/users/vasya/*.* может я что-то недопонимаю но umask убирает права у группы на 6, т.е если файлы создавались в папке с правами 770 то должно получиться 710 - однко права не меняются.

Пользователь решил продолжить мысль 28 Апрель 2010, 06:38:37:
А возможно ли сделать так чтобы при копировании файла/папки в заданную директоию автоматически менялся его владелец, т.е допустим юзер Петя владелец файла тест.тхт копирует его в папку Вася (владелец Вася) тест.тхт меняет владельца на Вася ?

Пользователь решил продолжить мысль 28 Апрель 2010, 10:40:36:
еще очень нужно сделать так чтобы эти файлы не запускались, т.е запустить мог только владелец ну или тот кто скопировал.
Не запускались == не открывались? Если так, то по сути вам нужно запретить чтение файлов. Но тогда вы также не сможете их копировать из этой папки куда-либо.
Ага, т.е вот есть папка юзера1 надо чтоб другой юзер2 мог кидать туда файлы, но не мог запускать его файлы *doc, *txt, и т.д Глвное чтобы их мог копировать владелец папки т.е юзер1 , если это возможно, то как запретить запуск  файлов? Не пойму.

Пользователь решил продолжить мысль 27 Апрель 2010, 12:12:42:
Вот попробыва еще вот так
chmod -R 710 /media/users/vasya/*.* - проктывает только для тех файлов которые уже были созданы.
Пробовал с umask
umask 060 /media/users/vasya/*.* может я что-то недопонимаю но umask убирает права у группы на 6, т.е если файлы создавались в папке с правами 770 то должно получиться 710 - однко права не меняются.

Пользователь решил продолжить мысль 28 Апрель 2010, 08:38:37:
А возможно ли сделать так чтобы при копировании файла/папки в заданную директоию автоматически менялся его владелец, т.е допустим юзер Петя владелец файла тест.тхт копирует его в папку Вася (владелец Вася) тест.тхт меняет владельца на Вася ?
Неужели никто это не делал?
« Последнее редактирование: 28 Апрель 2010, 10:40:36 от asterix »

Оффлайн Lion-Simba

  • Старожил
  • *
  • Сообщений: 1126
    • Просмотр профиля
Re: Помогите чайнику с правами
« Ответ #10 : 28 Апрель 2010, 11:42:33 »
еще очень нужно сделать так чтобы эти файлы не запускались, т.е запустить мог только владелец ну или тот кто скопировал.
Не запускались == не открывались? Если так, то по сути вам нужно запретить чтение файлов. Но тогда вы также не сможете их копировать из этой папки куда-либо.
Ага, т.е вот есть папка юзера1 надо чтоб другой юзер2 мог кидать туда файлы, но не мог запускать его файлы *doc, *txt, и т.д Глвное чтобы их мог копировать владелец папки т.е юзер1 , если это возможно, то как запретить запуск  файлов? Не пойму.

Пусть в системе есть папка /user1 и 3 пользователя: user1, user2 и user3.
Для решения вашей задачи нужно:
chown user1:user1 /user1
chmod a+rwx,g+s,o+t /user1
a+rwx ставит для всех возможности просмотра списка файлов в папке (r), добавление/удаление файлов в папке (w), доступ к файлам в папке (x).
g+s ставит setgid бит: любые файлы и папки, создаваемые в папке /user1, будут наследовать её группу, то есть user1.
o+t ставит sticky бит: файлы и папки, находящиеся в папке /user1, сможет удалить только их владелец или владелец папки /user1.

Это первая часть задачи. Вторая часть задачи - запретить "открывание" (то есть - чтение) файлов всем, кроме владельца папки /user1 и хозяев отдельных файлов.

Для этого, сами пользователи должны для каждого из своих вновь создаваемых файлов делать:
chmod o-r файл
o-r убирает возможность чтения файла другими пользователями.

В случае с самбой, можно это действие перепоручить ей, добавив в конфиг шары:
create mask = 640
directory mask = 750

Теперь, когда пользователь user2 создаёт файл в папке /user1, файл получает следующие атрибуты:
владелец - user2
группа - user1 (сработал setgid бит у папки /user1)
права - 640 rw-r----- (сработал create mask)

При этом файл могут прочитать только пользователи user1 и user2; user3 не может (срабатывают права 640). Аналогично по удалению: удалить файл могут только пользователи user1 и user2; user3 не может (срабатывает sticky бит на папке /user1). Иными словами доступ на чтение и удаление получают только владелец папки /user1 и владелец конкретного файла.
Оказываю индивидуальную платную техподдержку широкого профиля. Обращаться в ЛС или Jabber.

Оффлайн asterix

  • Автор темы
  • Новичок
  • *
  • Сообщений: 37
    • Просмотр профиля
Re: Помогите чайнику с правами
« Ответ #11 : 28 Апрель 2010, 12:06:51 »
Вот спасибо!!!!! Сейчас буду пробывать так! Потом отпишусь!

Пользователь решил продолжить мысль 28 Апрель 2010, 13:46:15:
еще очень нужно сделать так чтобы эти файлы не запускались, т.е запустить мог только владелец ну или тот кто скопировал.
Не запускались == не открывались? Если так, то по сути вам нужно запретить чтение файлов. Но тогда вы также не сможете их копировать из этой папки куда-либо.
Ага, т.е вот есть папка юзера1 надо чтоб другой юзер2 мог кидать туда файлы, но не мог запускать его файлы *doc, *txt, и т.д Глвное чтобы их мог копировать владелец папки т.е юзер1 , если это возможно, то как запретить запуск  файлов? Не пойму.

Пусть в системе есть папка /user1 и 3 пользователя: user1, user2 и user3.
Для решения вашей задачи нужно:
chown user1:user1 /user1
chmod a+rwx,g+s,o+t /user1
a+rwx ставит для всех возможности просмотра списка файлов в папке (r), добавление/удаление файлов в папке (w), доступ к файлам в папке (x).
g+s ставит setgid бит: любые файлы и папки, создаваемые в папке /user1, будут наследовать её группу, то есть user1.
o+t ставит sticky бит: файлы и папки, находящиеся в папке /user1, сможет удалить только их владелец или владелец папки /user1.

Это первая часть задачи. Вторая часть задачи - запретить "открывание" (то есть - чтение) файлов всем, кроме владельца папки /user1 и хозяев отдельных файлов.

Для этого, сами пользователи должны для каждого из своих вновь создаваемых файлов делать:
chmod o-r файл
o-r убирает возможность чтения файла другими пользователями.

В случае с самбой, можно это действие перепоручить ей, добавив в конфиг шары:
create mask = 640
directory mask = 750

Теперь, когда пользователь user2 создаёт файл в папке /user1, файл получает следующие атрибуты:
владелец - user2
группа - user1 (сработал setgid бит у папки /user1)
права - 640 rw-r----- (сработал create mask)


Начал разбираться и понял, что так не получиться, все бы хорошо НО у меня user1, user2 и user3 - находятся в одной группе и соответственно все плучается как вы написали, но вот файлы просматривают все члены группы т.к права - 640 rw-r-----.
Для большей ясности опишу структуру все по порядку:
1.есть папка users - владелец admin группа admins (это не стлоль выжно но всеже) chmod 770 - чтобы юзеры не могли создавать/удалять папки в /users
2.В папке users лежат папки user1, user2, user3 и т.д
3.У каждой папки свой владелец соответственно -chown -R user1: /users/user1 и т.д.
4.Все юзеры user1, user2, user3 и.т.д входят в группу users.
теперь т.к права 640 rw-r----- то группа может читать файлы в папках user1, user2, user3. Вот примерно так.
« Последнее редактирование: 28 Апрель 2010, 13:46:15 от asterix »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 25950
    • Просмотр профиля
Re: Помогите чайнику с правами
« Ответ #12 : 28 Апрель 2010, 14:21:55 »
Создай дополнительные группы... делов-то.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн asterix

  • Автор темы
  • Новичок
  • *
  • Сообщений: 37
    • Просмотр профиля
Re: Помогите чайнику с правами
« Ответ #13 : 28 Апрель 2010, 14:35:10 »
Создай дополнительные группы... делов-то.
А смысл?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 25950
    • Просмотр профиля
Re: Помогите чайнику с правами
« Ответ #14 : 28 Апрель 2010, 14:46:44 »
Смысл, видимо, в том, чтобы схема заработала.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

 

Страница сгенерирована за 0.065 секунд. Запросов: 22.