Изпечатай

[HellSteed]

ман това нещо след това ще го правя на сървъра който ми поддържа складовете и на него има доста ценна информация до която този потребител трябва да има READ-ONLY достъп.това е всичко.а пък обема на информацията на сървъра е доста и за това по лесното решение ще е да дам READ-ONLY  достъп до целия раид масив от колкото да пиша 1 по 1 фаиловете.

[Hapkoc]

Добре де, ман, аз това го разбрах, че на сървъра ти има ценна информация, и не трябва да може да маже тоя човек. Това, което не разбрах, е - за какво ще му трябва read-only достъп до ВСИЧКИ файлове? Няма ли да ти свърши работа един account с права за писане само в домашната му директория (и в /tmp примерно)? Какви файлове ще трябва да достъпва тоя човек? Каква дейност ще извършва? ЗАЩО ТРЯБВА ДА МОЖЕ ДА ГЛЕДА НАВСЯКЪДЕ?

[Hapkoc]

Цитат

за какво ще му трябва read-only достъп до ВСИЧКИ файлове

Не защо да е read-only, защо до ВСИЧКИ файлове? Не знам как по-ясно да се изразя.

Xm,

В твоя случай, никога не бих тръгнал да си решавам нещата по някакъв друг начин освен чрез стандартните позволения в линукс. Дефинирам нужните групи, потребители и позволения, собственици и т.н. Трябва внимателно да ги премислиш, в последствие да отделиш време и да го направиш. Ако наистина файловете са 4000, това не е толкова ужасно много, че да не може да се справи човек..

Да не забравим, че ако нямаш read/execute права за една директория, не можеш да видиш нито един файл колкото искаш нива навътре в нея. Това, комбинирано с подходящо дефинирани групи си е мощно решение за проблема.

Пък и нищо не пречи да си дефинираш един/два/пет/N потребителя, които членуват във всички възможни групи, собственици на директории и файлове. Така дефакто тези ще могат да четат и пишат по целия харддиск.

Не мога да се сетя за по-лесен начин от този. Верно, организацията на всичко това няма да е прост и лесен процес, ама пък да тръгнеш да пишеш и "компилираш" selinux policies, там толкова "ако"-та има и толкова по-трудно ще стане, не е работа '>

Абе струва ми се че търсиш някакво вълшебно елементарно решение на проблема. За съжаление не мисля че има такова, или поне не мога да го измисля. Ако някой се сети да каже '>

Хм, btw аз си мислех че по складовете има разни ERP-та  навързани с бази, по-примитивни или по-advanced такива. Никога не съм очаквал нещата да се държат на файлове и да ги бърникат потребителите. Явно съм имал някаква идеализирана представа за реалността..

[HellSteed]

то и аз преди да почна си мислех така ама.................бтв тоя котйто ще може само да чете навсякъде е производствения директор..........а пък човечеца си е лайк и не му трябва да пише нищо а само да зема нужната информация.за това са му само реад-онли правата...

[Hapkoc]

И сега ми кажи, че производствения директори се интересува от информация, намираща се в /bin, /etc, /usr, /var директориите и ще се метна през прозореца до мен, който не се отваря...

Да позная ли, че файловете, до които трябва да има достъп тоя директор, се намират в една или няколко (краен брой) директории? Ако съм познал, не виждам какъв е проблема (както спомена gat3way) да създадеш напълно нормален потребител, да го включиш в определена група, чиято собственост са въпросните файлове и да дадеш права за четене на групата? Може би не си чувал за опцията -R на chmod/chown?

Бе може да реши да пише или трие там, знае ли ги човек прищевките на любознателните бизнес-хора...

[Hapkoc]

Цитат

Бе може да реши да пише или трие там, знае ли ги човек прищевките на любознателните бизнес-хора...

Е чакай бе, аз къде съм казал да му се дадат права за писане в споменатите директории? Питам каква работа има да ЧЕТЕ в тея директории. Нещо май на друг език пиша днес....

Абе няколко неща от /etc ще е добре да може да чете. Някои неща от /usr и всички от /lib със сигурност също ще трябва да може да чете. В противен случай  може да се появят доста неприятни проблеми..

[Hapkoc]

Добре бе, аз наистина не знам на какъв език говоря...

Един нормален непривилегирован потребител по подразбиране има права за четене на по-голямата част от файловете във файловата структура на Linux. Никъде не съм казал да му се отнемат тези права. Казах, че най-вероятно въпросния директори ли какъв е там няма да го интересуват нещата от тези директории.

gat3way, като стана дума за неприятни проблеми - твоята идея с resgid=GID,resuid=UID няма да причини никакви проблеми и системата ще си фунционира перфектно и всички потребители ще са щастливи, нали?

Тука леко вече се заяждам, ама просто не мога да разбера какво толкова сложно казвам или по какъв толкова непонятен начин го казвам.


Хипотетично (понеже HellSteed не желае да сподели каква е реално ситуацията) - ако имаме директория /some/dir/with/important/manager/files (може да са и повече директории, няма значение), в която са нещата, които трябва да може да чете въпросния тип, и създадем за него потребител, който не участва в системни групи като root, bin и т.н., и го включим в групата, към която са зачислени файловете, които дадения потребител трябва да може да чете няма ли да се получи отговора на задачата на HellSteed? Кое точно не е ясно? Не му даваме права за писане по системни файлове. Не му отнемаме права за четене на файлове, които може да чете по подразбиране при създаването на account-а. Толкова ли неясно обяснявам? Наистина ли не се разбира какво се опитвам да кажа?

[HellSteed]

Добре значи остава единственото решение да разбутвам групите и да го включвам тоя в някоя група......

Мне бе, аз не разбрах отначало за кво ставаше въпрос.

Всъщност има ли значение, всички сме единодушни какъв е проблема, за подробностите няма смисъл да спорим..

Бтв, с моята идея може да сработи спокойно бе '> Просто е един груб компромис със сигурността и с доста други неща. Примерно първия проблем, който се сещам е че някои демони тряя да могат да пишат там, при което ще тряя вървят с такъв уид/гид. Ама конкретно за неговия проблем изобщо не му върши работа, ама аз толкова разбрах тогава какво точно иска човека.