Права доступа...

pit2048	# 8 лет, 10 месяцев назад
Темы: 5 Сообщения: 31 Участник с: 12 января 2013	Доброго времени суток. Вопрос меня мучает следующий... Могу ли я дать конкретному юзверю права на конкретную директорию? !!!ВНИМАНИЕ!!! НЕ назначить владельцем, а именно дать права (допустим) на чтение... То есть есть некая директория /var/spool/ хозяин root мне нужно чтобы юзверь user мог входить в эту директорию и видеть расположенные в ней файлы и читать их... но при этом root должен остаться владельцем... И так, чтобы другие пользователи этого сделать не могли, то есть схема -rw-rw-r-- не подойдет... Это возможно? Если да то как? Всем заранее спасибо.

pit2048

# 8 лет, 10 месяцев назад

Сообщения: 31

Участник с: 12 января 2013

Доброго времени суток.
Вопрос меня мучает следующий... Могу ли я дать конкретному юзверю права на конкретную директорию?
!!!ВНИМАНИЕ!!! НЕ назначить владельцем, а именно дать права (допустим) на чтение...
То есть есть некая директория /var/spool/ хозяин root мне нужно чтобы юзверь user мог входить в эту директорию и видеть расположенные в ней файлы и читать их... но при этом root должен остаться владельцем... И так, чтобы другие пользователи этого сделать не могли, то есть схема -rw-rw-r-- не подойдет...
Это возможно? Если да то как?
Всем заранее спасибо.

naszar	# 8 лет, 10 месяцев назад
Темы: 21 Сообщения: 507 Участник с: 24 сентября 2012	Пользователей которым нужен совместный доступ - включить в одну группу и файлы отдать этой группе. journalctl так делает. Есть инструмент помощнее.

Natrio	# 8 лет, 10 месяцев назад
Темы: 47 Сообщения: 4763 Участник с: 08 января 2011	chmod 750 на каталог(и) и chmod 640 на файлы chown root:группа на всё, группа – та, в которую добавлены нужные пользователи, поторые будут иметь доступ на чтение.

pit2048	# 8 лет, 10 месяцев назад
Темы: 5 Сообщения: 31 Участник с: 12 января 2013	naszar Пользователей которым нужен совместный доступ - включить в одну группу и файлы отдать этой группе. journalctl так делает. Есть инструмент помощнее. Спасибо почитаю про эти инструменты... Про добавление в группу... Если я ничего не путаю, то если root состоит в нескольких группах, то права получат все пользователи входящие в эти группы... А мне нужно чтобы получил только конкретный пользователь...Или я все таки ошибаюсь? И при выполнении команды chown -R root:group /var/spool доступ получат только члены группы group?

pit2048

# 8 лет, 10 месяцев назад

Темы: 5

Сообщения: 31

Участник с: 12 января 2013

naszar
Пользователей которым нужен совместный доступ - включить в одну группу и файлы отдать этой группе. journalctl так делает. Есть инструмент помощнее.

Спасибо почитаю про эти инструменты...

Про добавление в группу... Если я ничего не путаю, то если root состоит в нескольких группах, то права получат все пользователи входящие в эти группы... А мне нужно чтобы получил только конкретный пользователь...Или я все таки ошибаюсь? И при выполнении команды

chown -R root:group /var/spool

доступ получат только члены группы group?

naszar	# 8 лет, 10 месяцев назад
Темы: 21 Сообщения: 507 Участник с: 24 сентября 2012	доступ получат только члены группы group? Да, ну и конечно владелец.. если у него есть соответствующие права т.е. если файл с правами 060 принадлежит пользователю user из группы users, то всем членам группы users, кроме самого user можно его читать и писать. Остальным - нельзя. $ ls -l file ----rw-r-- 1 bigboss user 0 ноя 8 18:32 file $ id uid=1812(bigboss) gid=1812(user) groups=1812(user),7(lp),10(wheel),14(uucp),150(wireshark),190(systemd-journal) $ cat file cat: file: Permission denied В этом примере все кроме меня могут читать это файл, а члены user еще и писать.

naszar

# 8 лет, 10 месяцев назад

Темы: 21

Сообщения: 507

Участник с: 24 сентября 2012

доступ получат только члены группы group?

Да, ну и конечно владелец.. если у него есть соответствующие права т.е. если файл с правами 060 принадлежит пользователю user из группы users, то всем членам группы users, кроме самого user можно его читать и писать. Остальным - нельзя.

$ ls -l file
----rw-r-- 1 bigboss user 0 ноя  8 18:32 file
$ id
uid=1812(bigboss) gid=1812(user) groups=1812(user),7(lp),10(wheel),14(uucp),150(wireshark),190(systemd-journal)
$ cat file
cat: file: Permission denied

В этом примере все кроме меня могут читать это файл, а члены user еще и писать.

bobart	# 8 лет, 10 месяцев назад
Темы: 38 Сообщения: 2537 Участник с: 28 ноября 2009	Допустим: ls -l /var/spool/ -rw-r---- root root [...] /var/spool/ Как вариант, можно через создание отдельной группы с последующим внесением интересующего пользователя в эту группу: # groupadd spool # chgrp spool /var/spool/ # gpasswd -a <интересующий_юзверь> spool возможно, потребуется добавить ключ -R к chgrp, т.е, # chgrp -R spool /var/spool/ Вообще, надо детальнее вникать в man chmod, man chgrp (chgrp --help) Например: http://www.mossyadmin.ru/2009/12/linuxunix.html Ещё здесь можно найти много переведённых на русский язык man'ов ps. Пока я гулял, оказалось, что уже многие написали. Оставлю как вариант. Access Control Lists - интересная штука, однако. Спасибо за ссылку.

bobart

# 8 лет, 10 месяцев назад

Темы: 38

Сообщения: 2537

Участник с: 28 ноября 2009

Допустим:

ls -l /var/spool/ 
-rw-r---- root root [...] /var/spool/

Как вариант, можно через создание отдельной группы с последующим внесением интересующего пользователя в эту группу:

# groupadd spool
# chgrp spool /var/spool/
# gpasswd -a <интересующий_юзверь> spool

возможно, потребуется добавить ключ -R к chgrp, т.е,

# chgrp -R spool /var/spool/

Вообще, надо детальнее вникать в man chmod, man chgrp (chgrp --help)
Например: http://www.mossyadmin.ru/2009/12/linuxunix.html
Ещё здесь можно найти много переведённых на русский язык man'ов

ps. Пока я гулял, оказалось, что уже многие написали. Оставлю как вариант.
Access Control Lists - интересная штука, однако. Спасибо за ссылку.

pit2048	# 8 лет, 9 месяцев назад
Темы: 5 Сообщения: 31 Участник с: 12 января 2013	bobart Допустим: ls -l /var/spool/ -rw-r---- root root [...] /var/spool/ Как вариант, можно через создание отдельной группы с последующим внесением интересующего пользователя в эту группу: # groupadd spool # chgrp spool /var/spool/ # gpasswd -a <интересующий_юзверь> spool возможно, потребуется добавить ключ -R к chgrp, т.е, # chgrp -R spool /var/spool/ Вообще, надо детальнее вникать в man chmod, man chgrp (chgrp --help) Например: http://www.mossyadmin.ru/2009/12/linuxunix.html Ещё здесь можно найти много переведённых на русский язык man'ов ps. Пока я гулял, оказалось, что уже многие написали. Оставлю как вариант. Access Control Lists - интересная штука, однако. Спасибо за ссылку. А если при этом существуют еще 50 групп в которых по 50 пользователей и они должны иметь доступ к папке, а другой конкретный пользователь, этого доступа иметь не должен? Данный вариант подходит если мне нужно чтобы доступ был у одного пользователя, а если таких пользователей 100, и каждого включать в новую группу... А не проще просто не забирать у них доступ? Возможно ли (простите за сквернословие) как в Windows просто сказать, этому пользователю доступ дать, у этого забрать, оставить доступ этой группе... Как я понял приведенный выше способ (Access Control Lists) это делать позволяет, меня интересует возможно ли это сделать стандартными способами, если вдруг придется делать это не на арче а на каком то не популярном дистрибутиве, на котором этого пакета может не оказаться...

pit2048

# 8 лет, 9 месяцев назад

Темы: 5

Сообщения: 31

Участник с: 12 января 2013

bobart
Допустим:
ls -l /var/spool/
-rw-r---- root root [...] /var/spool/
Как вариант, можно через создание отдельной группы с последующим внесением интересующего пользователя в эту группу:
# groupadd spool
# chgrp spool /var/spool/
# gpasswd -a <интересующий_юзверь> spool
возможно, потребуется добавить ключ -R к chgrp, т.е,
# chgrp -R spool /var/spool/
Вообще, надо детальнее вникать в man chmod, man chgrp (chgrp --help)
Например: http://www.mossyadmin.ru/2009/12/linuxunix.html
Ещё здесь можно найти много переведённых на русский язык man'ов
ps. Пока я гулял, оказалось, что уже многие написали. Оставлю как вариант.
Access Control Lists - интересная штука, однако. Спасибо за ссылку.

А если при этом существуют еще 50 групп в которых по 50 пользователей и они должны иметь доступ к папке, а другой конкретный пользователь, этого доступа иметь не должен? Данный вариант подходит если мне нужно чтобы доступ был у одного пользователя, а если таких пользователей 100, и каждого включать в новую группу... А не проще просто не забирать у них доступ? Возможно ли (простите за сквернословие) как в Windows просто сказать, этому пользователю доступ дать, у этого забрать, оставить доступ этой группе... Как я понял приведенный выше способ (Access Control Lists) это делать позволяет, меня интересует возможно ли это сделать стандартными способами, если вдруг придется делать это не на арче а на каком то не популярном дистрибутиве, на котором этого пакета может не оказаться...