Титла: Предложение за Samba share
Публикувано от: aylov в Jan 17, 2006, 11:17
Във една share dir ми трябват 2 потребителя.
Единият трябва да може да пише в нея, но да не може да си изтрива нещата, а другия с пълни права - може да пише и да трие всичко.
Някакви предложения как може да стане това?
Засега съм го решил по следния начин
[share]
comment = Share
path = /mnt/raid1/users/
valid users = first,second
read only = no
browseable = no
; printable = yes
admin users = second
create mask = 0555
Но проблемен си остава втория, защото няма пълни права!
Единият трябва да може да пише в нея, но да не може да си изтрива нещата, а другия с пълни права - може да пише и да трие всичко.
Някакви предложения как може да стане това?
Засега съм го решил по следния начин
[share]
comment = Share
path = /mnt/raid1/users/
valid users = first,second
read only = no
browseable = no
; printable = yes
admin users = second
create mask = 0555
Но проблемен си остава втория, защото няма пълни права!
Титла: Предложение за Samba share
Публикувано от: alabal в Jan 17, 2006, 16:36
write list = @first @root
create mask = 0600
directory mask = 0700
Вероятно това може да сработи, но най-сигурното е директно от конзола да зададеш правата за писане - най-сигурно е:
chown first:users /directory -R
Разбира се, ти си знаеш кои са потребителя, групата и папката.
create mask = 0600
directory mask = 0700
Вероятно това може да сработи, но най-сигурното е директно от конзола да зададеш правата за писане - най-сигурно е:
chown first:users /directory -R
Разбира се, ти си знаеш кои са потребителя, групата и папката.
Титла: Предложение за Samba share
Публикувано от: aylov в Jan 17, 2006, 17:16
да но проблемът е че след като @first запише нещо, след това ще може да го изтрие, а не трябва.
Титла: Предложение за Samba share
Публикувано от: alabal в Jan 17, 2006, 22:31
Братко, мисля, че искаш твърде много. Лично аз не съм чувал за подобна конфигурация, при която само писането да е позволено. Това вероятно може да бъде разрешено със скрипт, който променя правата на файл след като нещо е записано в папката, но как ще става наблюдението за това кой кога пише е мистерия за мен.
Все пак е интересно и ако намериш решение, ще бъде полезно да го споделиш.
PS: ХМ! On second thought - famd и подобни са точно такива демони, които следят какво точно се случва на всеки файл, кога е писано по него, къде и кой е писал, т.е. може да се използват неговите възможности. Само че, за famd не мога да помогна, просто защото никога не съм работил с него.
Това е просто идея.
Все пак е интересно и ако намериш решение, ще бъде полезно да го споделиш.
PS: ХМ! On second thought - famd и подобни са точно такива демони, които следят какво точно се случва на всеки файл, кога е писано по него, къде и кой е писал, т.е. може да се използват неговите възможности. Само че, за famd не мога да помогна, просто защото никога не съм работил с него.
Това е просто идея.
Титла: Предложение за Samba share
Публикувано от: sdr в Jan 17, 2006, 23:01
С риск да прозвучи силно неориентирано нещо подобо не може ли да се постигне с някой харденед вариант или с extended атриути или с SELinux? Ако има няко идеи/наблудения да сподели - мене винаги ми е било интересно но никога не ми е трябвало че да фана да прочета
Титла: Предложение за Samba share
Публикувано от: в Jan 18, 2006, 00:41
| Цитат (aylov @ Ян. 17 2006,18:16) |
| да но проблемът е че след като @first запише нещо, след това ще може да го изтрие, а не трябва. |
Самба ползва възможностите на Линукс (ядрото).
И там си пише:
r - read
w - write
x - execute
Това са правата.
От тук нататък , търсиш подобрени възможнист на ядрото да си ги добавиш с пач или да си инстлаираш вече подобрено ядро , така че да имаш още права (и 'политики'
=> SELinux примерно е такава добавка,но не знам дали има това, което искаш.write е правото се пише , може да "пишеш на ново листче", може да "допълваш на старо листче", а може да "хванеш листчето и да го драскаш или триеш с гумичка , докато нищ о не остане, по-лесен вариянт - в кофата".
Това гроното е, ако не знаеш какво означава правото за писане.
Успех ! Ще имаш нужда.
Титла: Предложение за Samba share
Публикувано от: в Jan 18, 2006, 14:47
aylov,
използвай include с 'variable substitution' - виж smb.conf(5)
използвай include с 'variable substitution' - виж smb.conf(5)
Титла: Предложение за Samba share
Публикувано от: aylov в Jan 19, 2006, 10:53
Аз поне не виждам как variable substitution ще ограничи modify.
Но си мисля дали с нещо като "force user=" няма начин да се дадат пълни права на единия.
Но си мисля дали с нещо като "force user=" няма начин да се дадат пълни права на единия.
Титла: Предложение за Samba share
Публикувано от: в Jan 19, 2006, 10:59
RSBAC предлага контрол до последното "винтче и болтче", и ще направи това, което искаш, но... незнам дали няма да е решение от типа "базука за мухата в хола"... Оставам с впечатлението, че даваш информация на час по лъжичка и това обърква всички, които искат да ти помогнат. Разпиши подробно:
- машините
- потребителите
- какво е общо/споделено
- т.н., т.н. за да ти се помогне
- машините
- потребителите
- какво е общо/споделено
- т.н., т.н. за да ти се помогне
Титла: Предложение за Samba share
Публикувано от: в Jan 19, 2006, 11:55
| Цитат (aylov @ Ян. 19 2006,11:53) |
| Аз поне не виждам как variable substitution ще ограничи modify. Но си мисля дали с нещо като "force user=" няма начин да се дадат пълни права на единия. |
не си разбрал;
[Share] се дефинира се по различен начин за различните потребители
Титла: Предложение за Samba share
Публикувано от: aylov в Jan 19, 2006, 13:01
Да мисля че RSBAC ще ми свърши работа : "aditional independent attributes can be used by individual modules, e.g. the privacy module (PM). All attributes are stored in fully protected directories"
Но ще трябва първо да го разуча.
Благодаря!
Но ще трябва първо да го разуча.
Благодаря!