|
Титла: samba + acl + freebsd Публикувано от: anakinn в Mar 21, 2013, 11:25 Здравейте
Казуса е следния. FreeBSD 9.1-RELEASE + samba 3.6.9 с компилирана поддръжка на acl в шеър docs имам папки rabotna и proba. Идеята е get, root & dimitar да има пълен достъп в папка rabotna а в папка proba dimitar да няма (да не може да я достъпва). drwxr-xr-x 14 storage storage 1024 Mar 21 10:15 rabotna/ drwxr-xr-x 2 storage storage 512 Mar 21 10:23 proba/ Пробвах с setfacl -m u:dimitar:r proba getfacl proba/ # file: proba/ # owner: storage # group: storage user::rwx user:dimitar:r-- group::r-x mask::r-x other::r-x Юзър storage ми е юзър, с който ровя през фтп из фолдърите. Юзър dimitar е в група sambi. Когато влезе в директория proba юзър dimitar има пълни права. Къде бъркам ? Благодаря [global] workgroup = zzz server string = srv smb passwd file = /usr/local/etc/usrpass log level = 2 vfs:3 syslog = 0 log file = /var/log/samba/%U.%m.log name resolve order = wins bcast host lpq cache time = 10 socket options = TCP_NODELAY, SO_RCVBUF=8192 SO_SNDBUF=8192 load printers = No printcap name = /etc/printcap show add printer wizard = No os level = 21 local master = No domain master = No dns proxy = No wins support = No idmap config * : range = idmap config * : backend = tdb admin users = get, root read only = No acl map full control = No [docs] comment = docs path = /storage/docs admin users = root, get, dimitar read list = root, get, dimitar write list = root, get, dimitar vfs objects = recycle recycle:touch = Yes recycle:versions = Yes recycle:maxsize = 314123123 recycle:exclude = *.tmp|*.temp|*.0|~$*|*.~?? recycle:excludedir = /tmp recycle:noversions = *.tmp recycle:repository = /storage/trash recycle:keeptree = Yes # inherit permissions = yes # inherit acls = yes # map acl inherit = yes # acl group control = yes # vfs objects = acl_xattr Титла: Re: samba + acl + freebsd Публикувано от: morbid_viper в Mar 21, 2013, 15:07 admin users = root, get, dimitar
с това всъщност придобиваш тези права. пробвай да махнеш dimitar от admin users и да остане в останалите два списъка в [global] не пише каква е полицата на сигурността, виж коя е по подразбиране или си сложи изрично security = user Титла: Re: samba + acl + freebsd Публикувано от: anakinn в Mar 21, 2013, 22:53 Да security = user.
Малко по друг начин реших нещата. Направих права на директориите 777 барабар с create mask, за да може юзъра да има достъп, групата storage заради ftp-то и other за да може, който и да създаде файла да може да се ползва, като махнах admin users. Т.е. който е в админ юзърс има достъп до всичко. Та ако искам да орежа някой файл/папка от някой потребител пиша следното setfacl -m u:dimitar:r-- proba или файл вътре и сработва на 90% - не може трие, отваря, копира, преименува файла, но пък може да го трие ! Титла: Re: samba + acl + freebsd Публикувано от: morbid_viper в Mar 25, 2013, 13:33 да, също е вариант
|