Такие вот ACL, возможно ли в Самбе?

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
begemoto
рядовой
Сообщения: 12
Зарегистрирован: 2008-01-13 13:20:33

Такие вот ACL, возможно ли в Самбе?

Непрочитанное сообщение begemoto » 2008-05-20 0:24:25

FreeBsd 70 + samba-3.0.25a_1,1. Расшарена папка Data всем по чтению. В ней папка Private и внутри нее нужны такие пермишены:
1.Всем можно читать содержимое Private
2.Всем можно создавать папки/файлы внутри Private.
3.Доступ по чтению к созданным папкам/файлам - только у владельца.
4.Удалять папки может только владелец.

Условно говоря: кто папку создал - у того к ней и доступ.
Насколько я понимаю, проблема в 4-м пункте - если некто может создавать папки, изменяя тем самым содержимое Private - он же может и удалить там любую папку, в не зависимости, кто ее создал. Или нет?
У кого нибудь работает така схема?



Код: Выделить всё

#getfacl /var/data/Private/
# file: /var/data/Private/
# owner: admin
# group: wheel
user::rwx
group::---
group:office_users:rw-
mask::rwx
other::---

Код: Выделить всё

Конфиг самбы:
[data]
    path      = /var/data
    admin users             = @Domain\admin
    read only               = No
    create mask             = 0660
    directory mask          = 0770
    inherit acls            = yes
    map acl inherit         = yes

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: Такие вот ACL, возможно ли в Самбе?

Непрочитанное сообщение dikens3 » 2008-05-20 15:31:52

begemoto писал(а):1.Всем можно читать содержимое Private
begemoto писал(а):3.Доступ по чтению к созданным папкам/файлам - только у владельца.
Ничего что права нужны одновременно противоположные?

P.S. Отдых тебе нужен, раз уж так мысль поворачивается.. :-)
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

opt1k
лейтенант
Сообщения: 966
Зарегистрирован: 2007-12-05 9:45:18
Откуда: Mytischi

Re: Такие вот ACL, возможно ли в Самбе?

Непрочитанное сообщение opt1k » 2008-05-20 16:04:33

вобщем решение есть (я новичок и в данный момент не могу проверить то что предлагаю, поэтому "as is.... at your own risk...")

в smb.conf в разделе нужной шары
пишем две строки:

Код: Выделить всё

create mask = 0700
directory mask = 0700
Данные строчки говорят какой пермишен выставлять на файлы( и дириктории соответственно) создаваемые пользователем. Но опять же это так, если я что-то не перепутал...

opt1k
лейтенант
Сообщения: 966
Зарегистрирован: 2007-12-05 9:45:18
Откуда: Mytischi

Re: Такие вот ACL, возможно ли в Самбе?

Непрочитанное сообщение opt1k » 2008-05-20 16:07:45

В таком случае пользователь сможет не только читать созданные собою папки и файлы, но и удалять и менять их.
А так что бы пользователь мог ТОЛЬКО читать ранее им созданное - имхо нельзя.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35217
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Такие вот ACL, возможно ли в Самбе?

Непрочитанное сообщение Alex Keda » 2008-05-20 16:14:16

лучше покопай в сторону корзинки и логгирования.
очень удобные штуки, а на пользователя распечатка логов производит просто неизгладимое впечатление =)))
Убей их всех! Бог потом рассортирует...

opt1k
лейтенант
Сообщения: 966
Зарегистрирован: 2007-12-05 9:45:18
Откуда: Mytischi

Re: Такие вот ACL, возможно ли в Самбе?

Непрочитанное сообщение opt1k » 2008-05-20 17:07:16

lissyara писал(а):лучше покопай в сторону корзинки и логгирования.
очень удобные штуки, а на пользователя распечатка логов производит просто неизгладимое впечатление =)))
о_О подробнее, пожалуйста :)

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35217
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Такие вот ACL, возможно ли в Самбе?

Непрочитанное сообщение Alex Keda » 2008-05-20 17:09:38

Код: Выделить всё

man vfs_recycle
man vfs_full_audit
плюс поиск по форуму - примеры были.
Убей их всех! Бог потом рассортирует...

begemoto
рядовой
Сообщения: 12
Зарегистрирован: 2008-01-13 13:20:33

Re: Такие вот ACL, возможно ли в Самбе?

Непрочитанное сообщение begemoto » 2008-05-20 21:11:35

dikens3 писал(а):Ничего что права нужны одновременно противоположные?
Может я неправильно объяснил, но в двух словах это выглядит, как я и писал выше:
кто папку создал - у того к ней и доступ.
Т.е. если Вася создал папку - только он может в нее зайти. И главное: удалить ее может только Вася, как владелец(создатель). По моему никаких противоречий! По крайней мере на винде это работает за пару кликов :(
lissyara писал(а):лучше покопай в сторону корзинки
Спасибо, копну. А пока поглядываю в сторону аналога ShadowCopy - snapshot - мега удобно и здорово. Корзинка отдыхает!
dikens3 писал(а):Отдых тебе нужен, раз уж так мысль поворачивается..
Ага, выспавшись и поговорив с опытными товарищами - с их помощью вспомнил про sticky bit . Похоже он меня и спасет.
STICKY(8)
...
A file in a sticky directory may only be removed or renamed
by a user if the user has write permission for the directory and the user
is the owner of the file, the owner of the directory, or the super-user.