| View previous topic :: View next topic |
| Author |
Message |
l3u
Advocate
Joined: 26 Jan 2005
Posts: 2616
Location: Konradsreuth (Germany)
|
 Posted: Wed May 14, 2014 9:16 pm Post subject: ACLs und kopierte Dateien – Berechtigungen falsch |
 |
|
Hallo :-)
Ich hantiere gerade (erstmals) mit ACLs herum. Ziel ist: auf einem NAS soll es einen Ordner geben, wo alle User einer Gruppe Lese- und Schreibrechte haben sollen, also für alle Dateien und Ordner darin automatisch Zugriffsrechte gesetzt werden.
Das sollte ja über ACLs gehen. Irgendwie.
Wenn ich jetzt einen Ordner anlege und die ACLs folgendermaßen setze:
| Code: | $ mkdir test
$ setfacl -dm g:users:rwx test
$ setfacl -m d:g:users:rw test |
Und dann einen Ordner erstelle, dann werden die Berechtigungen richtig gesetzt:
| Code: | $ mkdir test/foo
$ ls -l test
drwxrwxr-x+ 2 tobias users 4,0K 14. Mai 23:08 foo |
Auch mit einer neu angelegten Datei klappt es:
| Code: | $ touch test/bar
$ ls -l test/bar
-rw-rw-r--+ 1 tobias users 0 14. Mai 23:09 test/bar |
Aber wenn ich eine Datei in den Ordner kopiere, dann werden die Berechtigungen nicht gesetzt (aber ein "+" steht dahinter …):
| Code: | $ cp /usr/src/linux/README test/
$ ls -l test/README
-rw-r--r--+ 1 tobias users 19K 14. Mai 23:09 test/README |
Hab ich da was falsch verstanden? Bzw. was muss ich tun, damit auch kopierte Dateien die richtigen Berechtigungen bekommen? |
|
| Back to top |
|
 |
l3u
Advocate
Joined: 26 Jan 2005
Posts: 2616
Location: Konradsreuth (Germany)
|
| Posted: Fri May 16, 2014 10:50 am Post subject: |
|
|
| Bzw. brauche ich überhaupt ACLs dafür? Wenn ich in einem Verzeichnis die umask auf 0002 stelle, dann haben neue Verzeichnisse auch 0775 und neue Dateien 0664 – aber kopierte genauso wie mit ACLs nicht … |
|
| Back to top |
|
|
py-ro
Veteran
Joined: 24 Sep 2002
Posts: 1734
Location: Velbert
|
| Posted: Fri May 16, 2014 1:02 pm Post subject: |
|
|
Neue Dateien, was auch auf kopien zutrifft, bekommen immer Berechtigungen die durch die umask des anlegenden Prozesses festgelegt werden, also in deinem Fall cp bzw. der Shell oder der Anwendung die zum kopieren verwendet wird. Einen Vererbungsmechanismus wie du Ihn suchst gibt es nicht.
ACL brauchst dafür in der Tat nicht.
Bye
Py |
|
| Back to top |
|
|
schmidicom
Veteran
Joined: 09 Mar 2006
Posts: 1978
Location: Schweiz
|
| Posted: Fri May 16, 2014 1:35 pm Post subject: |
|
|
Vielleicht entspricht das hier ja eher dem was du suchst: http://de.wikipedia.org/wiki/Setgid#Wirkung_des_gesetzten_Bits_auf_Verzeichnisse
Damit sollte die Gruppe des übergeordneten Verzeichnisses auf alle darin erstellten Objekte vererbt werden, aber getestet habe ich das bis jetzt nur mit einer Samba Freigabe.
_________________
Lenovo - ThinkPad P16s Gen 2 - 21K9CTO1WW |
|
| Back to top |
|
|
l3u
Advocate
Joined: 26 Jan 2005
Posts: 2616
Location: Konradsreuth (Germany)
|
| Posted: Fri May 16, 2014 3:18 pm Post subject: |
|
|
| Okay, aber dadurch kann ich ja nur eine Gruppe erzwingen, keine Berechtigung. Ich dachte, da gibt es was wie bei einem FTP-Server … mit neu angelegten Dateien geht es ja, aber eben leider nicht mit kopierten … |
|
| Back to top |
|
|
py-ro
Veteran
Joined: 24 Sep 2002
Posts: 1734
Location: Velbert
|
| Posted: Fri May 16, 2014 3:28 pm Post subject: |
|
|
| Setze einfach die "richtige" umask in der ENV der Prozesse, notfalls in profile. |
|
| Back to top |
|
|
l3u
Advocate
Joined: 26 Jan 2005
Posts: 2616
Location: Konradsreuth (Germany)
|
| Posted: Fri May 16, 2014 3:35 pm Post subject: |
|
|
| Wie mach ich das? Also wie gesagt, es sollen einfach alle Dateien in einem Ordner für eine Gruppe nicht nur les- sondern auch schreibbar sein, egal, wer sie da erstellt/reinkopiert hat. |
|
| Back to top |
|
|
Jean-Paul
Guru
Joined: 13 Apr 2009
Posts: 307
|
| Posted: Fri May 16, 2014 3:41 pm Post subject: |
|
|
Wenn coreutils (cp, mv, ...) ohne acl-Unterstützung gebaut wurde (USE) geht cp wahrscheinlich auch nicht.
Hier ein Link http://wiki.ubuntuusers.de/ACL
Interessant dürfte sein was unter "Maske" und "Dateien ins Zielverzeichnis verschieben und kopieren" steht - das andere natürlich auch 
_________________
”Everything should be made as simple as possible, but no simpler.” – Albert Einstein |
|
| Back to top |
|
|
l3u
Advocate
Joined: 26 Jan 2005
Posts: 2616
Location: Konradsreuth (Germany)
|
| Posted: Sat May 17, 2014 10:54 am Post subject: |
|
|
Also entweder bin ich zu doof dazu, oder es funktioniert einfach nicht.
| Quote: | Kopieren: cp Datei VERZEICHNIS
oder durch Drag&Drop z.B. in Nautilus mit Strg -Taste gedrückt. Die ACL wird durch die Default-ACL bestimmt, da die Zieldatei neu angelegt wird. Ausnahme: Die Maske der Zieldatei entspricht dem Gruppenrecht bzw. Maske der Quelldatei. |
Mit neuen Dateien geht es mittels einer Default-ACL:
| Code: | $ mkdir test
$ setfacl -m d:g:users:rwx test
$ mkdir test/foo
$ touch test/bar
$ ls -l test
insgesamt 4,0K
-rw-rw-r--+ 1 tobias users 0 17. Mai 12:50 bar
drwxrwxr-x+ 2 tobias users 4,0K 17. Mai 12:50 foo |
Aber nicht mit einer kopierten Datei (entgegen dem, was in dem Howto steht!):
| Code: | $ cp /usr/src/linux/README ./test/
$ ls -l test
insgesamt 24K
-rw-rw-r--+ 1 tobias users 0 17. Mai 12:50 bar
drwxrwxr-x+ 2 tobias users 4,0K 17. Mai 12:50 foo
-rw-r--r--+ 1 tobias users 19K 17. Mai 12:51 README |
Zwar wird eine ACL für die Datei angelegt, aber die Berechtigungen werden nicht vererbt … |
|
| Back to top |
|
|
Christian99
Veteran
Joined: 28 May 2009
Posts: 1721
|
| Posted: Sat May 17, 2014 11:13 am Post subject: |
|
|
| du solltest noch beachten, dass das was ls anzeigt (also zb -rw-rw-r-- ) nichts mit acls zu tun hat, das sind die standard unix dateirechte. wenn für eine datei eine acl vorhanden ist, hängt ls nur noch ein "+" an die unixdateirechte an. wie die acl dann aussieht musst du das extra mit "getfacl <datei>" abfragen. und acls haben (wenn vorhanden) vorrang vor unixrechten. |
|
| Back to top |
|
|
l3u
Advocate
Joined: 26 Jan 2005
Posts: 2616
Location: Konradsreuth (Germany)
|
| Posted: Sat May 17, 2014 11:19 am Post subject: |
|
|
Okay, also da steht schon was von wegen Schreibrechten für die Gruppe users:
| Code: | $ getfacl test/README
# file: test/README
# owner: tobias
# group: users
user::rw-
group::r-x #effective:r--
group:users:rwx #effective:r--
mask::r--
other::r-- |
Aber löschen kann ich Datei z. B. als anderer User nicht:
| Code: | | rm: das Entfernen von „README“ ist nicht möglich: Keine Berechtigung |
Bearbeiten geht auch nicht … |
|
| Back to top |
|
|
py-ro
Veteran
Joined: 24 Sep 2002
Posts: 1734
Location: Velbert
|
| Posted: Sat May 17, 2014 11:26 am Post subject: |
|
|
| Eine ACL gibt Dir nie mehr Rechte als die Posix Bits zulassen, deswegen sind ACLs in deinem Scenario so auch nicht wirklich nützlich oder nötig. |
|
| Back to top |
|
|
l3u
Advocate
Joined: 26 Jan 2005
Posts: 2616
Location: Konradsreuth (Germany)
|
| Posted: Sat May 17, 2014 11:32 am Post subject: |
|
|
| Na dann frage ich mal anders herum: was muss ich denn tun, um ein (per NFSv4 verteiltes) Verzeichnis zu bekommen, in dem alle User einer Gruppe Lese- und Schreibrechte auf alles haben? Sowohl auf neu angelegte Dateien, als auch auf kopierte? Man möchte doch denken, dass das geht?! |
|
| Back to top |
|
|
schmidicom
Veteran
Joined: 09 Mar 2006
Posts: 1978
Location: Schweiz
|
| Posted: Sat May 17, 2014 11:35 am Post subject: |
|
|
| l3u wrote: | Okay, also da steht schon was von wegen Schreibrechten für die Gruppe users:
| Code: | $ getfacl test/README
# file: test/README
# owner: tobias
# group: users
user::rw-
group::r-x #effective:r--
group:users:rwx #effective:r--
mask::r--
other::r-- |
Aber löschen kann ich Datei z. B. als anderer User nicht:
| Code: | | rm: das Entfernen von „README“ ist nicht möglich: Keine Berechtigung |
Bearbeiten geht auch nicht … |
Ich hatte zwar mit ACL's auch nie viel Glück aber vielleicht funktioniert es deswegen nicht weil die ACL-Gruppe die selbe ist wie die UNIX-Gruppe. Vielleicht klappt es wenn es so aussieht:
| Code: | $ getfacl test/README
# file: test/README
# owner: tobias
# group: users
user::rw-
group::r-x #effective:r--
group:aclusers:rwx #effective:r--
mask::r--
other::r-- |
und der User der versucht die Datei zu löschen in der ACL-Gruppe "aclusers" Mitglied ist.
_________________
Lenovo - ThinkPad P16s Gen 2 - 21K9CTO1WW |
|
| Back to top |
|
|
Finswimmer
Bodhisattva
Joined: 02 Sep 2004
Posts: 5467
Location: Langen (Hessen), Germany
|
| Posted: Sat May 17, 2014 4:08 pm Post subject: |
|
|
| l3u wrote: | | Na dann frage ich mal anders herum: was muss ich denn tun, um ein (per NFSv4 verteiltes) Verzeichnis zu bekommen, in dem alle User einer Gruppe Lese- und Schreibrechte auf alles haben? Sowohl auf neu angelegte Dateien, als auch auf kopierte? Man möchte doch denken, dass das geht?! |
Ich habe das bei Samba so gemacht, dass alle Nutzer über den gleichen lokalen Account angemeldet sind (forceUser oder sowas).
Keine Ahnung, ob sowas auch bei NFS geht.
_________________
Bitte auf Rechtschreibung, korrekte Formatierung und Höflichkeit achten!
Danke |
|
| Back to top |
|
|
|
Deutsches Forum (German)
