| View previous topic :: View next topic |
| Author |
Message |
Danilo
l33t
Joined: 05 Feb 2004
Posts: 747
Location: Italy
|
 Posted: Tue Jan 11, 2005 5:38 pm Post subject: E' possibile impostare una directory a sola aggiunta? |
 |
|
Ciao,
ho una esigenza particolare vorrei avere la possibilita' di settare una directory (e sue sottodirectory) in modo tale che sia possibile aggiungere files/subdirectories ma non sia possibile cancellare o modificare il contenuto.
C'e' una strada possibile?
Grazie |
|
| Back to top |
|
 |
=DvD=
Veteran
Joined: 25 Mar 2004
Posts: 1353
|
| Posted: Tue Jan 11, 2005 6:11 pm Post subject: |
|
|
| scrittura ma non lettura? |
|
| Back to top |
|
|
codadilupo
Advocate
Joined: 05 Aug 2003
Posts: 3135
|
| Posted: Tue Jan 11, 2005 6:23 pm Post subject: |
|
|
| =DvD= wrote: | | scrittura ma non lettura? |
ehmm... se non la leggi, poi, non puoi nemmeno listarla, pero'... 
Coda |
|
| Back to top |
|
|
mouser
Veteran
Joined: 10 Aug 2004
Posts: 1419
Location: Milano
|
| Posted: Tue Jan 11, 2005 6:44 pm Post subject: |
|
|
E se dai i permessi in scrittura, puoi anche cancellare il contenuto
mouser 
edit: non so se ci sono altre possibilita', ma con LIDS dovrebbe essere possibile assegnare delle rulez agli utenti (e' stato fatto per assegnare le rulez a root, ma dovrebbe essere lo stesso procedimento) |
|
| Back to top |
|
|
lavish
Bodhisattva
Joined: 13 Sep 2004
Posts: 4296
|
| Posted: Tue Jan 11, 2005 7:41 pm Post subject: |
|
|
Io ho fatto questa cosa sul server ftp... ma li' e' un po' diverso...
_________________
minimalblue.com | secgroup.github.io/ |
|
| Back to top |
|
|
fedeliallalinea
Administrator
Joined: 08 Mar 2003
Posts: 31470
Location: here
|
| Posted: Tue Jan 11, 2005 7:53 pm Post subject: |
|
|
Puoi dare su quella cartella il permesso di scrittura e lettura a un certo guppo, l'utente che crea il file da il permesso al gruppo di sola lettura cosi' non si puo' neanche cancellare la directory (perche; i file contenuti sono sola lettura)
_________________
Questions are guaranteed in life; Answers aren't. |
|
| Back to top |
|
|
Danilo
l33t
Joined: 05 Feb 2004
Posts: 747
Location: Italy
|
| Posted: Tue Jan 11, 2005 7:54 pm Post subject: |
|
|
E' una esigenza di sicurezza (a parte i backup che faccio a cadenza settimanale).
Andrebbe bene una situazione di questo tipo:
1) da user posso aggiungere e creare directories.
2) da root posso fare tutto.
Ovviamente le cose ordinarie lo farei da user, le altre da root
Provero' a vedere le possibilita' di LIDS, a proposito c' e' l'ebuild? Io non lo trovo.
Grazie a tutti
--- EDIT ---
Ho appena visto che e' una kernel patch.
Non mi piace di patchare il kernel, vedro' se in gentoo-dev-sources c'e' gia' patchato (lo spero poco) in alternativa cerchero' qualcosaltro |
|
| Back to top |
|
|
akiross
Veteran
Joined: 02 Mar 2003
Posts: 1170
Location: Mostly on google.
|
| Posted: Tue Jan 11, 2005 8:51 pm Post subject: |
|
|
Ehm non mi sembra che le altre soluzioni (senza usare software particolari) siano molto adatte alla situazione, senza offesa a chi ci ha provato ovviamente 
Scrittura ma non in lettura non so se va bene: se io faccio rm <path> con un path valido potrei anche riuscire a cancellare quel file... il che non e' una bella cosa. E anzi, facendo rm -r <dir> potrei cancellare tutta la directory senza preoccuparmi di quello che c'e' sotto (e quindi senza leggerla) ma non sono sicuro, vado in via teorica.
Sugli FTP e' fattibile una cosa simile (il famoso upload anonimo con modalita' anti warez) ma ovviamente c'e' il server che si tiene un elenco dei file non autenticati dall'admin e semplicemente non da accesso a lettura scrittura esecuzione, ma ftp e' comunque un layer in piu': qui si parla di accesso al filesystem diretto.
[EDIT]
Per la tesi di fedeli non so: dipende dal caso. Mi spiego: se l'itento e' fare un repository dove un utente puo' scrivere ma potrebbe cancellare mentre non deve assolutamente, con il tuo metodo non credo che possa andare: anche se gli altri non hanno accesso in scrittura l'utente che scrive li ha, quindi se vuole li cancella.
Forse l'ho interpretato male, ma io vedevo il problema come:
C'e' questa cartella in cui tutti (o solo alcuni in un gruppo) possono scrivere e aggiungere file, leggere ovviamente, ma non eliminare. E' una situazione anomala. L'unico modo secondo me e' passare per un 3o utente che puo' scrivere al posto nostro.
[/EDIT]
Quindi provo a darti la mia soluzione, teorica, mai collaudata e appena inventata. Nota che e' una "finta" soluzione in quanto effettivamente con un po' di fatasia e conoscenza si potrebbe scavallare il metodo e accedere in scrittura e quindi cancellare (suppongo ma non ci giuro)
Sostanzialmente c'e' un utente che puo' scrivere nella tua directory, tutti gli altri possono solo leggere.
Tu crei uno script che metterai in sola esecuzione, in modo che l'utente non possa leggerlo e quindi vedere il suo contenuto.
Questo script chiede all'utente se aggiungere un file o una dir, chiedendogli il file/dir sorgente da copiare.
In altre parole si presenta un menu' del tipo:
"Quale sorgente vuoi copiare nella directory in sola scrittura? Inserisci il path di seguito"
E l'utente mettera' ad esempio /home/pippo/source
Questo script pensera' a fare l'accesso come utente speciale (ovvero quello che ha diritto in scrittura) e leggera' il file sorgente immesso dall'utente e lo copiera' nella fatidica directory, dopo di cio' termina e fa logout, l'utente torna ad essere normale e puo' leggere il file appena copiato in quella directory
Teoricamente si puo' fare, credo. Pero' ha alcune controindicazioni:
Effettivamente l'utente puo' copiare file solo con quello script: un copia-incolla via filemanager non si puo' fare (a meno che quel fileman non consente di gestire la copia mediante uno script personalizzato, ma non credo che esistano cose simili...)
Con un po' di fantasia l'utente *potrebbe* riuscire ad accedere al codice del tuo script, teoricamente recuperare la password per accedere come quell'utente e scrivere nella directory in cui non dovrebbe poterlo fare. Questo punto pero' e' particolare: secondo me se metti uno script come sola esecuzione non dovrebbe poter accedere al sorgente, quindi lo script viene eseguito e stop.
Ultima controindicazione che mi viene in mente e' che ovviamente per poter copiare il file, l'utente che ha diritti in scrittura deve anche avere accesso in lettura sul file sorgente: se il file fosse stato in /root/ a meno che l'utente che scrive e' root non c'era modo di leggere il file (in condizioni di normalita'. Io non posso leggere nella mia dir /root normalmente... non so voi.)
Se vuoi provaci, ma non e' una soluzione molto efficacie al problema...
Ciauz
_________________
Libera scienza in libero stato.
Horizon of Events |
|
| Back to top |
|
|
=DvD=
Veteran
Joined: 25 Mar 2004
Posts: 1353
|
| Posted: Tue Jan 11, 2005 9:52 pm Post subject: |
|
|
| Scusate ho detto una cavolata!! |
|
| Back to top |
|
|
mambro
l33t
Joined: 22 Mar 2004
Posts: 752
Location: Mira (VE) - Italy
|
| Posted: Tue Jan 11, 2005 10:20 pm Post subject: |
|
|
Se ho capito bene quello che vuoi fare basta che crei la cartella e gli dai lo "Sticky" + i vari permessi con
| Code: |
chmod 1777 cartella
|
In questo modo si può scrivere nella cartella ma l'unico che può modificare i files già esistenti è il proprietario.
_________________
"The design of a worldwide, fully transparent distributed file system for simultaneous use by millions of mobile and frequently disconnected users is left as an excercise for the reader".
Andrew S. Tanenbaum, Distributed Operating Systems. |
|
| Back to top |
|
|
Danilo
l33t
Joined: 05 Feb 2004
Posts: 747
Location: Italy
|
| Posted: Wed Jan 12, 2005 10:29 am Post subject: |
|
|
| mambro wrote: |
| Code: |
chmod 1777 cartella
|
|
E' quello che mi serve. Su questa macchina non ci accedono altre persone (mi ero dimenticato di dirlo) e l'unico problema e' che spesso ci opero alle 10 di sera con alte probabilita' di dare rm per sbaglio.
Non sapevo che ci fosse un quarto parametro settabile oltre ai canonici owner/group/others.
Grazie,
vado a leggere su chmod...
---- EDIT ----
Comunque l'idea di akiross la prendero' in considerazione per situazioni particolari che ogni tanto capitano. |
|
| Back to top |
|
|
mouser
Veteran
Joined: 10 Aug 2004
Posts: 1419
Location: Milano
|
| Posted: Wed Jan 12, 2005 1:12 pm Post subject: |
|
|
Bhe', ovviamente lo sticky bit ti permette di far si che solo il proprietario di un file lo possa modificare.
Mi e' sembrato di capire che la richiesta di Danilo fosse che chiunque puo' aggiungere file alla cartella, ma che solo root li possa eliminare.
Credo che la domanda fosse:
"Voglio fare una cartella in cui un utente puo' scrivere e modificare dei file propri, ma non li possa cancellare"
Lo sticky bit ti permettere di essere un "root" sui files di tua proprieta'.
Almeno cosi' credo che intendesse Danilo
Ciriciao
mouser |
|
| Back to top |
|
|
Danilo
l33t
Joined: 05 Feb 2004
Posts: 747
Location: Italy
|
| Posted: Wed Jan 12, 2005 8:30 pm Post subject: |
|
|
| mouser wrote: | Bhe', ovviamente lo sticky bit ti permette di far si che solo il proprietario di un file lo possa modificare.
|
In effetti avevo capito male anche io...
Se non ci sono altre strade l'unica cosa che mi rimane e' lanciare periodicamente un chown -r root o settare i permessi in sola lettura anche per il proprietario ... |
|
| Back to top |
|
|
|
Forum italiano (Italian)
