Помогите чайнику с правами

[asterix]

Помогите разобраться, не пойму почему так:
есть папка /media/userhdd/users, назнчаю ее владельцем пользователя adm1 из группы admins:
chown adm1:admins /media/userhdd/users
Теперь ставлю права на папку /media/userhdd/users чтобы в ней никто кроме
adm1 не мог создавать папки и файлы
chmod -R 744 /media/userhdd/users
захожу через самбу по сети в эту папку авторизовываюсь как другой пользователь из др группы - могу делать все!? че я делаю не так?
Может потому что я назначаю права на уровне ФС (кстате она NTFS т.е папка папка userhdd - точка монтирования харда), а когда захожу по сети то есть через самбу эти права не действуют на пользователя?

[yarmak]

Обычный Файловый менеджер. Посмотри Свойства у свой папки -> Права . Что написано? Кто владелец?

[Lion-Simba]

NTFS не поддерживает права доступа *nix.

Либо настраивать через самбу, либо использовать другую ФС.

[asterix]

NTFS не поддерживает права доступа *nix.

Либо настраивать через самбу, либо использовать другую ФС.

Вот оно что! Теперь все понятно, а если я форматну этот харт под ext3 юзеры винды смогут туда писать/читать?
А через смбу я так понимаю нужно прописывать права для каждй папки отдельно, т.е расшаривать каждую папку?

[Lion-Simba]

а если я форматну этот харт под ext3 юзеры винды смогут туда писать/читать?

Через самбу - да.

А через смбу я так понимаю нужно прописывать права для каждй папки отдельно, т.е расшаривать каждую папку?

Да.

[asterix]

Вообщем отформатировал раздел под ext3, права стали применяться но не совсем,
что сделал:
 создал группу users, завел туда пользователей,
например для папки поьзователя vasya (он же владелец и входит в группу users) назначил права
chmod -R 750, казалось бы пользюки этой же группы должны спокойно писать в эту папку но НЕТ(папка только открывается и все)! Если даю права
chmod -R 770 - все отлично но мне надо чтобы только писать но не читать и не удалять.
Ставлю chmod -R 720 Вообще папка не открывается.
Еше что заметил может важно - если владелец папки создает в ней еще папку то пользователи его группы могут туда писать при правах chmod -R 750 -на корневую папку влдельца.
Что может быть уже голову сломал. Помогите
А вообще возможно ли задать права в линуксе так, чтобы в папку можно было только сбросить файл но ни открывать ни удалять файлы из нее нельзя?

[Lion-Simba]

например для папки поьзователя vasya (он же владелец и входит в группу users) назначил права
chmod -R 750, казалось бы пользюки этой же группы должны спокойно писать в эту папку но НЕТ(папка только открывается и все)!

750 = rwxr-x---
А это означает, что пользователи группы могут получить список файлов в папке (r) и обратиться к любому файлу в папке (x). Чтобы пользователи группы могли создавать новые файлы в папке - то нужно ещё добавить w для них, то есть rwxrwx--- или 770.

Если даю права
chmod -R 770 - все отлично но мне надо чтобы только писать но не читать и не удалять.

Создание и удаление файла - операции одного ранга. *NIX не делает различий между ними. Так что если можно создать файл, то можно и удалить файл. Возможно вам поможет sticky бит (t).

Еше что заметил может важно - если владелец папки создает в ней еще папку то пользователи его группы могут туда писать при правах chmod -R 750 -на корневую папку влдельца.

Потому что вложенные файлы и папки не наследуют владельца и группу родительской папки. Чтобы вложенные папки и файлы наследовали группу родительской папки, то на родительскую папку нужно добавить setgid бит. Наследовать владельца родительской папки невозможно.

[asterix]

Спасибо что разжевали, поставил липкий бит 41770 , теперь уже лучше почти то, что хотел - файлы в паке удалить может тот кто их создал, НО еще очень нужно сделать так чтобы эти файлы не запускались, т.е запустить мог только владелец ну или тот кто скопировал. Но это наверное уже не фозможно на *nix, просто на винде мы так делали а здесь видимо не получиться? 

[Lion-Simba]

еще очень нужно сделать так чтобы эти файлы не запускались, т.е запустить мог только владелец ну или тот кто скопировал.

Не запускались == не открывались? Если так, то по сути вам нужно запретить чтение файлов. Но тогда вы также не сможете их копировать из этой папки куда-либо.

[asterix]

еще очень нужно сделать так чтобы эти файлы не запускались, т.е запустить мог только владелец ну или тот кто скопировал.

Не запускались == не открывались? Если так, то по сути вам нужно запретить чтение файлов. Но тогда вы также не сможете их копировать из этой папки куда-либо.

Ага, т.е вот есть папка юзера1 надо чтоб другой юзер2 мог кидать туда файлы, но не мог запускать его файлы *doc, *txt, и т.д Глвное чтобы их мог копировать владелец папки т.е юзер1 , если это возможно, то как запретить запуск  файлов? Не пойму.
Пользователь решил продолжить мысль 27 Апреля 2010, 10:12:42:Вот попробыва еще вот так
chmod -R 710 /media/users/vasya/*.* - проктывает только для тех файлов которые уже были созданы.
Пробовал с umask
umask 060 /media/users/vasya/*.* может я что-то недопонимаю но umask убирает права у группы на 6, т.е если файлы создавались в папке с правами 770 то должно получиться 710 - однко права не меняются.
Пользователь решил продолжить мысль 28 Апреля 2010, 06:38:37:А возможно ли сделать так чтобы при копировании файла/папки в заданную директоию автоматически менялся его владелец, т.е допустим юзер Петя владелец файла тест.тхт копирует его в папку Вася (владелец Вася) тест.тхт меняет владельца на Вася ?
Пользователь решил продолжить мысль 28 Апреля 2010, 10:40:36:

еще очень нужно сделать так чтобы эти файлы не запускались, т.е запустить мог только владелец ну или тот кто скопировал.

Не запускались == не открывались? Если так, то по сути вам нужно запретить чтение файлов. Но тогда вы также не сможете их копировать из этой папки куда-либо.

Ага, т.е вот есть папка юзера1 надо чтоб другой юзер2 мог кидать туда файлы, но не мог запускать его файлы *doc, *txt, и т.д Глвное чтобы их мог копировать владелец папки т.е юзер1 , если это возможно, то как запретить запуск  файлов? Не пойму.
Пользователь решил продолжить мысль 27 Апреля 2010, 12:12:42:Вот попробыва еще вот так
chmod -R 710 /media/users/vasya/*.* - проктывает только для тех файлов которые уже были созданы.
Пробовал с umask
umask 060 /media/users/vasya/*.* может я что-то недопонимаю но umask убирает права у группы на 6, т.е если файлы создавались в папке с правами 770 то должно получиться 710 - однко права не меняются.
Пользователь решил продолжить мысль 28 Апреля 2010, 08:38:37:А возможно ли сделать так чтобы при копировании файла/папки в заданную директоию автоматически менялся его владелец, т.е допустим юзер Петя владелец файла тест.тхт копирует его в папку Вася (владелец Вася) тест.тхт меняет владельца на Вася ?

Неужели никто это не делал?

[Lion-Simba]

еще очень нужно сделать так чтобы эти файлы не запускались, т.е запустить мог только владелец ну или тот кто скопировал.

Не запускались == не открывались? Если так, то по сути вам нужно запретить чтение файлов. Но тогда вы также не сможете их копировать из этой папки куда-либо.

Ага, т.е вот есть папка юзера1 надо чтоб другой юзер2 мог кидать туда файлы, но не мог запускать его файлы *doc, *txt, и т.д Глвное чтобы их мог копировать владелец папки т.е юзер1 , если это возможно, то как запретить запуск  файлов? Не пойму.

Пусть в системе есть папка /user1 и 3 пользователя: user1, user2 и user3.
Для решения вашей задачи нужно:

Код: [Выделить]

chown user1:user1 /user1
chmod a+rwx,g+s,o+t /user1
a+rwx ставит для всех возможности просмотра списка файлов в папке (r), добавление/удаление файлов в папке (w), доступ к файлам в папке (x).
g+s ставит setgid бит: любые файлы и папки, создаваемые в папке /user1, будут наследовать её группу, то есть user1.
o+t ставит sticky бит: файлы и папки, находящиеся в папке /user1, сможет удалить только их владелец или владелец папки /user1.

Это первая часть задачи. Вторая часть задачи - запретить "открывание" (то есть - чтение) файлов всем, кроме владельца папки /user1 и хозяев отдельных файлов.

Для этого, сами пользователи должны для каждого из своих вновь создаваемых файлов делать:

Код: [Выделить]

chmod o-r файл
o-r убирает возможность чтения файла другими пользователями.

В случае с самбой, можно это действие перепоручить ей, добавив в конфиг шары:

Код: [Выделить]

create mask = 640
directory mask = 750

Теперь, когда пользователь user2 создаёт файл в папке /user1, файл получает следующие атрибуты:
владелец - user2
группа - user1 (сработал setgid бит у папки /user1)
права - 640 rw-r----- (сработал create mask)

При этом файл могут прочитать только пользователи user1 и user2; user3 не может (срабатывают права 640). Аналогично по удалению: удалить файл могут только пользователи user1 и user2; user3 не может (срабатывает sticky бит на папке /user1). Иными словами доступ на чтение и удаление получают только владелец папки /user1 и владелец конкретного файла.

[asterix]

Вот спасибо!!!!! Сейчас буду пробывать так! Потом отпишусь!
Пользователь решил продолжить мысль 28 Апреля 2010, 13:46:15:

еще очень нужно сделать так чтобы эти файлы не запускались, т.е запустить мог только владелец ну или тот кто скопировал.

Не запускались == не открывались? Если так, то по сути вам нужно запретить чтение файлов. Но тогда вы также не сможете их копировать из этой папки куда-либо.

Ага, т.е вот есть папка юзера1 надо чтоб другой юзер2 мог кидать туда файлы, но не мог запускать его файлы *doc, *txt, и т.д Глвное чтобы их мог копировать владелец папки т.е юзер1 , если это возможно, то как запретить запуск  файлов? Не пойму.

Пусть в системе есть папка /user1 и 3 пользователя: user1, user2 и user3.
Для решения вашей задачи нужно:

Код: [Выделить]

chown user1:user1 /user1
chmod a+rwx,g+s,o+t /user1
a+rwx ставит для всех возможности просмотра списка файлов в папке (r), добавление/удаление файлов в папке (w), доступ к файлам в папке (x).
g+s ставит setgid бит: любые файлы и папки, создаваемые в папке /user1, будут наследовать её группу, то есть user1.
o+t ставит sticky бит: файлы и папки, находящиеся в папке /user1, сможет удалить только их владелец или владелец папки /user1.

Это первая часть задачи. Вторая часть задачи - запретить "открывание" (то есть - чтение) файлов всем, кроме владельца папки /user1 и хозяев отдельных файлов.

Для этого, сами пользователи должны для каждого из своих вновь создаваемых файлов делать:

Код: [Выделить]

chmod o-r файл
o-r убирает возможность чтения файла другими пользователями.

В случае с самбой, можно это действие перепоручить ей, добавив в конфиг шары:

Код: [Выделить]

create mask = 640
directory mask = 750

Теперь, когда пользователь user2 создаёт файл в папке /user1, файл получает следующие атрибуты:
владелец - user2
группа - user1 (сработал setgid бит у папки /user1)
права - 640 rw-r----- (сработал create mask)

Начал разбираться и понял, что так не получиться, все бы хорошо НО у меня user1, user2 и user3 - находятся в одной группе и соответственно все плучается как вы написали, но вот файлы просматривают все члены группы т.к права - 640 rw-r-----.
Для большей ясности опишу структуру все по порядку:
1.есть папка users - владелец admin группа admins (это не стлоль выжно но всеже) chmod 770 - чтобы юзеры не могли создавать/удалять папки в /users
2.В папке users лежат папки user1, user2, user3 и т.д
3.У каждой папки свой владелец соответственно -chown -R user1: /users/user1 и т.д.
4.Все юзеры user1, user2, user3 и.т.д входят в группу users.
теперь т.к права 640 rw-r----- то группа может читать файлы в папках user1, user2, user3. Вот примерно так.

[AnrDaemon]

Создай дополнительные группы... делов-то.

[asterix]

Создай дополнительные группы... делов-то.

А смысл?

[AnrDaemon]

Смысл, видимо, в том, чтобы схема заработала.