[linux-l] Linux-Dateirechte reichen nicht !!

Guntram Trebs gunni at mathematik.hu-berlin.de
Mo Sep 30 23:09:31 CEST 2002 

On Mon, 30 Sep 2002, Olaf Radicke wrote:

>
> On Mon, Sep 30, 2002 at 07:16:48PM +0100, Glatzel Tino wrote:
> > Hallo Liste,
> >
> > ich habe einige User welche schreibend, andere welche nur lesend auf einige
> > Verzeichnisse zugreifen sollen. Ich möchte dies jedoch nicht mit den Rechten
> > "other" realisieren. Gibt es eine Möglichkeit die Verzeichnisrechte feiner
> > als "owner", "group" und "other" zu realisieren ?
>
> Entweder hab' ich jetzt ein Ding an der Glocke oder die Fragen sind
> Heute wirglich etwas merkwürdig. Aber gut...

ich finde die Fragen heute nicht merkwürdig

das mit der Glocke hast Du gesagt ;-)

> Ich kann mir kein Szenario vorstellen, das nicht mit den üblichen
> Dateirächten zu bewältigen ist. Vielleicht macht das ein Diagramm
> deutlicher:

Ich kann mir da viele Szenarien vorstellen, je mehr user auf einem System
sind und je differenzierter man die Rechte verteilen möchte, desto
schwieriger wird die ganze Geschichte, zumindest, wenn es um Gruppenrechte
geht.


>
>          _____________
> /-------|schreib-rächt|-----------\
> |       |-gruppe [a]  |           |
> |       +-------------+           |
> |                                 |
> | user-1 user-2 user-3            |        ___________
> |                   /-------------+-------|lese-rächt |------\
> |                   | user-4      |       |-gruppe [b]|      |
> |                   | user-5      |       +-----------+      |
> |                   | user-6      |   user-7                 |
> \-------------------+-------------/   user-8                 |
>                     |                 user-9                 |
>                     \________________________________________/
>                          |
>                          |
>                         \|/
>                      +-------+
>                      | datei |
>          +-----------+-------+---------+
>          | owner= a -w-, group = b r-- |
>          | other ---                   |
>          +-----------------------------+
>

Die Datei gehört also dem _Benutzer_ a und der Gruppe b, nicht der
_Gruppe_ a.

> user-1,user-2 und user-3 können schreiben aber nicht lesen.
> Dieses können sie aber ändern, weil sie "owner" sind.

a ist owner und sonst niemand

> user-4, user-5 und user-6 können alles, weil sie sowohl owner
> als auch group sind.

dito

> user-7, user-7 und user-9 können nur lesen und sich auch nicht
> die schreibrecht verschaffen.
>
> Alle anderen dürfen garnix.

alle außer a ;-)

> Wenn man nicht möchte, das die Gruppe b, von 9-18 Uhr auch nicht
> lesen darf, kann man das z.B. mit cron + bash bewältigen.

das ist nicht so einfach und hat Nebeneffekte ...


Eine Lösung mit normalen Bordmitteln fällt mir dazu nicht ein. Auf ACL's
hat ja schon jemand hingewiesen.


Es gäbe auch noch ein paar workarounds:

 - ändern der Gruppe und Rechte per Script

 - kopieren der Daten in anderes Verzeichnis

Das bringt aber nur was, wenn da nicht synchron gelesen werden soll,
sobald was geschrieben wurde ...


mfg,
Guntram

Mehr Informationen über die Mailingliste linux-l