[linux-l] Fast ein Schwarzes Loch

U. Bauermann ub at insecma.de
Mi Jun 6 17:16:20 CEST 2007 

Hallo zusammen.


Ich moechte auf einem Linux-Server eine Art "Schwarzes Loch" haben:

Alle Standard-User (identifiziert durch Gruppenzugehoerigkeit) sollen
Dateien in ein Verzeichnis kopieren koennen. Dieser OttoNormal soll aber
dieses Verzeichnis nicht betreten koennen, nicht sehen was darin ist,
nichts darin veraendern.

Alle priviligierten User (identifiziert durch Gruppenzugehoerigkeit) sollen
in diesem Ordner jedoch "alles" duerfen.

Das ganze soll sowohl unter Samba (das SchwarzeLochVerzeichnis kann/soll ein
beliebiges Unterverzeichnis einer Sambafreigabe sein), an einer ssh-shell
(putty) und auch ueber nfsv4 funktionieren.


compi:/data/fueralle# ls -la
drwxrwx---+ 2 root  priviligiert 4096 2007-06-06 16:14 blackhole

compi:/data/fueralle# getfacl blackhole
# file: blackhole
# owner: root
# group: priviligiert
user::rwx
group::rwx
group:priviligiert:rwx
group:normal:-wx        <-- OttoNormal darf Betreten und Schreiben
                             aber nicht Lesen
mask::rwx
other::---
default:user::rwx
default:group::rwx
default:group:priviligiert:rwx
default:group:normal:---
default:mask::rwx
default:other::---

Auf einem Windoofs-Client mittels Samba klappt das ganze, weil
Windoofs einen Ordner nur betreten kann, wenn vorher der Inhalt ausgelesen
werden kann.

Per ssh bekomme ich schon Probleme. Ich darf das SchwarzeLoch betreten.
Nicht auslesen. Aber wenn ich den Namen einer Datei kenne die sich darin
befindet, kann ich damit alles machen.

Durch setzten des gid-Bits kann ich eine Gruppe fuer neue Dateien in
"blackhole" erzwingen, aber (das greift nicht immer):

Die Rechte/ACL der Dateien die in das SchwarzeLoch gelangen sind
unterschiedlich, je nach dem wie diese dort hineingelangt sind:
Erstellt OttoNormal eine Datei, bekommt diese eigene ACL und Rechte,
je nach Umgebung (Vererbung des Uebergegordneten Verzeichnisses).
Wird diese Datei zB in das SchwarzeLoch VERSCHOBEN (mv), dann
behaelt sie ihre Rechte/ACLs. Wird die Datei jedoch KOPIERT werden
default-ACL und gid-Bit vom Verzeichnis "blackhole" beruecksichtigt.

Ich habe nun schon ein paar Std mit ALCs und Rechte getestet, bin aber
nicht wirklich weitergekommen.

Wie muss ich Rechte und ACLs setzen?
Oder gibt es vielleicht einen ganz anderen besseren Ansatz?

Danke

Uwe

Mehr Informationen über die Mailingliste linux-l