Linux за българи: Форуми

не това е идеята.не смятам да му задавам такива права на тоя потребител тъй като ще работи от бозичка със Хипер Терминал вързан към сървъра.а пък ако на сървъра го сложа с такива права а съм му казал пасса а  ситуацията се е оплескала.искам да му задам само права за четене  но във целия хард( респективно РАИД МАСИВ )

Ако кажеш с каква точно цел искаш да дадеш права на тоя потребител върху /dev/hda може да е от полза.

Иначе можеш да направиш следното:

usermod -G `cat /etc/group | grep <USERNAME> | grep -vE ':$' | cut -d: -f1 | xargs | sed 's/ /,/g'`,disk <USERNAME>

Така потребителят <USERNAME> ще стане член на групата disk, на която по подразбиране принадлежат дисковите устройства в debian. Групата disk има права за четене и писане върху /dev/hda (и останалите дискови устройства).

Имам 1 проблем.Искам да задам пермисии на нов потребител,но....
проблема е там че не искам да променям настроиките за всички а само за дадения нов потребител.chmod няма да може да ми помогне тъй като чрез него не мога да укажа точния потребител и група за които да важат настроиките r,w,x.Ако някои знае как да се направи това моля да ми каже ще бъда много благодарен.пробвал съм със
chmod {<username>,<usergroup>} {+r,-w } /hda
но нищо не става тъи като ми изкарва непознат стринг.а искам да задам само +r  настройка на този потребител за целия hda но без да разбутвам натройката на останалите потребители.има и други групи потребители но този специално не мога да го сложа в нито 1 от тези групи.Работя в момента на Debian под графична среда GNOME.Но след това същото действие трябва да го направя и на сървъра а там вече е страшно да не разбутам настройките на останалите че ще има кавги много...Предварително Благодаря на Всички които се опитат да ми помогнат.

Поясни се още. Не разбирам каква ти е целта, нито идеята.

Ако искаш да може да чете всичко по диска, то /dev/hda не върши работа. Явно (както споменах) не съм те разбрал.

Както споменах - кажи каква ти е идеята и крайната цел.

значи идеята ми е да пробвам първо на моето пц (на Дебиана ) да направя потребител които само да може да чете по харда но да не може да прави нищо друго ,за да мога след това като тръгна да правя това на сървъра да не се чудя какво да правя.но проблема ми е че не с chmod  не мога да кажа точно определен потребител( или група ) какво могат да правят и съм с вързани ръце в момента.

Не мисля, че можеш да направиш това, което искаш със стандартните инструменти на Linux. Ако не се лъжа, може да стане с нещо от рода на RSBAC, но там трябва четене (бая май).

Това, че потребителя няма права върху block device не означава, че не може да пише в някои файлове от него, респективно обратното е вярно с известни уговорки.

block layer-a и vfs layer-a са съвсем различни неща.

Има обаче един груб начин да направиш каквото искаш:

tune2fs -m 100 /dev/blockdev
mount -o resgid=GID,resuid=UID /dev/blockdev /mountpoint

Където:
/dev/blockdev - устройството
GID, UID - uid/gid на потребителя, който може да пише по диска.

Всички останали могат единствено да четат.

Пак казвам, този вариант е доста груб  

По този начин казваш, че 100% от мястото е резервирано за определен потребител (по дефолт 5% се резервират за потребителя с уид=0). Просто ползваш резервираното пространство, а на всички останали потребители им е отказано правото да пишат по диска (със идиотската грешка, че няма свободно място).

Вероятно някои приложения ще дават идиотски изходни данни, но ако това те урежда, може да пробваш така.

gat3way, вероятно има и други груби начини да се постигне целта, но май не е това идеята...

Не че нещо, ама ти май си падаш по hardcore решенията?

По решенията дето вършат работа лесно. Трябва да се разболея от нещо сериозно, та да тръгна да си правя мои си selinux политики, не е човешко за моя мързел

Но че има и други груби начини - има. Просто този запазва permissions на файловата система. Със средствата на selinux ще постигнеш същото, само че вместо да връща грешка от сорта че няма място на устройството, ще връща operation not permitted. И няма да вади 100% използвано място и подобни странни резултати. Освен което така може да се направи по-гъвкаво, наистина, само да си поиграе човек И ако може да не лог-ва, че ще се напълни лог-а с глупости всеки път като някой провери дали не може да запише нещо

А иначе че това е последната причина, за която са измислили block reservation, наистина е така, ама какво да правиш - малоумната изобретателност не познава граници

На мене ми казаха че е имало някакъв скрипт които при добавяне на потребител е правел това ( задаването на отделните настройки на потребителя ) но вече го няма скрипта при мен.ако някои го има.бтв не смея да пипам там пък и гатеуаи не ме разбра какво имам напредвид.аз не искам да заключа харда (респективно раид масива) и да задам възможност само 1 потребител да може да пише на него а останалите не,ами искам да мога да кажа за точно определен потребител да може само да чете или пък да чете и да пише без да изпълнява в харда но без същевременно да разбутвам настройките на останалите потребители.

Еми, както стана дума, може да се постигне това с RSBAC или SElinux или нещо от рода. Задачата не е особено тривиална, съответно и средствата не са особено прости. Не знам за какъв скрипт става дума, но нещо не ми се връзва много...

А аз се опитах да науча, но не можах, затова пак ще пробвам - за каква конкретна цел ти трябва даден потребител да може да чете всичко и да не може да пише никъде?

тоя скрипт е бил правен от някаква жена ( българка ) работеща нещо свързано с това но не знам коя е..... както и да е.това на сървъра ми трябва тъй като на него се минава през Хипер Терминала и не им трябва да пишат където не им е работа.просто не знам как са правени преди мен нещата и за това малко съм шашнат.Въпроса е че трябва да кажа кой може( ще му трябва ) да пише по харда ( раид масива ) и на кого не.това  е което ми трябва , но пак си стои условието да не разбутвам настройките на останалите че ще стане мацано......

Добре де, аз явно не питам като хората....

Интересува ме какво ще прави тоя потребител, който трябва да може да чете навсякъде? Т.е. има ли наистина нужда определения потребител да чете навсякъде или има определено множество от файлове, които този потребител да може да чете? Не мога да си обясня за какво би му било на човек да даде на някой потребител права само за четене навсякъде.

ами по добре да му дам да чете навсякъде от колкото да изреждам над 4000 фаила ( че и повече )......

ман това нещо след това ще го правя на сървъра който ми поддържа складовете и на него има доста ценна информация до която този потребител трябва да има READ-ONLY достъп.това е всичко.а пък обема на информацията на сървъра е доста и за това по лесното решение ще е да дам READ-ONLY  достъп до целия раид масив от колкото да пиша 1 по 1 фаиловете.

Добре де, ман, аз това го разбрах, че на сървъра ти има ценна информация, и не трябва да може да маже тоя човек. Това, което не разбрах, е - за какво ще му трябва read-only достъп до ВСИЧКИ файлове? Няма ли да ти свърши работа един account с права за писане само в домашната му директория (и в /tmp примерно)? Какви файлове ще трябва да достъпва тоя човек? Каква дейност ще извършва? ЗАЩО ТРЯБВА ДА МОЖЕ ДА ГЛЕДА НАВСЯКЪДЕ?

Xm,

В твоя случай, никога не бих тръгнал да си решавам нещата по някакъв друг начин освен чрез стандартните позволения в линукс. Дефинирам нужните групи, потребители и позволения, собственици и т.н. Трябва внимателно да ги премислиш, в последствие да отделиш време и да го направиш. Ако наистина файловете са 4000, това не е толкова ужасно много, че да не може да се справи човек..

Да не забравим, че ако нямаш read/execute права за една директория, не можеш да видиш нито един файл колкото искаш нива навътре в нея. Това, комбинирано с подходящо дефинирани групи си е мощно решение за проблема.

Пък и нищо не пречи да си дефинираш един/два/пет/N потребителя, които членуват във всички възможни групи, собственици на директории и файлове. Така дефакто тези ще могат да четат и пишат по целия харддиск.

Не мога да се сетя за по-лесен начин от този. Верно, организацията на всичко това няма да е прост и лесен процес, ама пък да тръгнеш да пишеш и "компилираш" selinux policies, там толкова "ако"-та има и толкова по-трудно ще стане, не е работа

Абе струва ми се че търсиш някакво вълшебно елементарно решение на проблема. За съжаление не мисля че има такова, или поне не мога да го измисля. Ако някой се сети да каже

Хм, btw аз си мислех че по складовете има разни ERP-та  навързани с бази, по-примитивни или по-advanced такива. Никога не съм очаквал нещата да се държат на файлове и да ги бърникат потребителите. Явно съм имал някаква идеализирана представа за реалността..

то и аз преди да почна си мислех така ама.................бтв тоя котйто ще може само да чете навсякъде е производствения директор..........а пък човечеца си е лайк и не му трябва да пише нищо а само да зема нужната информация.за това са му само реад-онли правата...

И сега ми кажи, че производствения директори се интересува от информация, намираща се в /bin, /etc, /usr, /var директориите и ще се метна през прозореца до мен, който не се отваря...

Да позная ли, че файловете, до които трябва да има достъп тоя директор, се намират в една или няколко (краен брой) директории? Ако съм познал, не виждам какъв е проблема (както спомена gat3way) да създадеш напълно нормален потребител, да го включиш в определена група, чиято собственост са въпросните файлове и да дадеш права за четене на групата? Може би не си чувал за опцията -R на chmod/chown?

Бе може да реши да пише или трие там, знае ли ги човек прищевките на любознателните бизнес-хора...

Абе няколко неща от /etc ще е добре да може да чете. Някои неща от /usr и всички от /lib със сигурност също ще трябва да може да чете. В противен случай  може да се появят доста неприятни проблеми..

Добре бе, аз наистина не знам на какъв език говоря...

Един нормален непривилегирован потребител по подразбиране има права за четене на по-голямата част от файловете във файловата структура на Linux. Никъде не съм казал да му се отнемат тези права. Казах, че най-вероятно въпросния директори ли какъв е там няма да го интересуват нещата от тези директории.

gat3way, като стана дума за неприятни проблеми - твоята идея с resgid=GID,resuid=UID няма да причини никакви проблеми и системата ще си фунционира перфектно и всички потребители ще са щастливи, нали?

Тука леко вече се заяждам, ама просто не мога да разбера какво толкова сложно казвам или по какъв толкова непонятен начин го казвам.


Хипотетично (понеже HellSteed не желае да сподели каква е реално ситуацията) - ако имаме директория /some/dir/with/important/manager/files (може да са и повече директории, няма значение), в която са нещата, които трябва да може да чете въпросния тип, и създадем за него потребител, който не участва в системни групи като root, bin и т.н., и го включим в групата, към която са зачислени файловете, които дадения потребител трябва да може да чете няма ли да се получи отговора на задачата на HellSteed? Кое точно не е ясно? Не му даваме права за писане по системни файлове. Не му отнемаме права за четене на файлове, които може да чете по подразбиране при създаването на account-а. Толкова ли неясно обяснявам? Наистина ли не се разбира какво се опитвам да кажа?

Добре значи остава единственото решение да разбутвам групите и да го включвам тоя в някоя група......

Мне бе, аз не разбрах отначало за кво ставаше въпрос.

Всъщност има ли значение, всички сме единодушни какъв е проблема, за подробностите няма смисъл да спорим..

Бтв, с моята идея може да сработи спокойно бе Просто е един груб компромис със сигурността и с доста други неща. Примерно първия проблем, който се сещам е че някои демони тряя да могат да пишат там, при което ще тряя вървят с такъв уид/гид. Ама конкретно за неговия проблем изобщо не му върши работа, ама аз толкова разбрах тогава какво точно иска човека.