Revamp LTSP: Rechteverwaltung mit ACL's: Unterschied zwischen den Versionen
K (Cem Aydin verschob die Seite LTSP: Rechteverwaltung mit ACL's nach Revamp LTSP: Rechteverwaltung mit ACL's) |
(übersetzung löschen) |
||
(2 dazwischenliegende Versionen von einem anderen Benutzer werden nicht angezeigt) | |||
Zeile 5: | Zeile 5: | ||
ACL's werden von NFS Version 3 "normal" unterstützt. | ACL's werden von NFS Version 3 "normal" unterstützt. | ||
− | = Verwendung = | + | == Verwendung == |
Wenn eine ACL gesetzt ist wird dies in der Ausgabe von <code>ls -l</code> durch ein zusätzliches "+" bei den Berechtigungen angezeigt.<br />E.g.: | Wenn eine ACL gesetzt ist wird dies in der Ausgabe von <code>ls -l</code> durch ein zusätzliches "+" bei den Berechtigungen angezeigt.<br />E.g.: | ||
Zeile 19: | Zeile 19: | ||
Setzen von "read" und "execute" für die Gruppe revamp für Datei. | Setzen von "read" und "execute" für die Gruppe revamp für Datei. | ||
− | = Umsetzung = | + | == Umsetzung == |
Unter <code>/data/..</code> wurde es folgendermassen umgesetzt. | Unter <code>/data/..</code> wurde es folgendermassen umgesetzt. |
Aktuelle Version vom 15. September 2015, 15:26 Uhr
Um die Berechtigungen feiner zu steuern können acl's verwendet werden.
acl
muss dazu als mount option angegeben werden (in der fstab
eintragen).
ACL's werden von NFS Version 3 "normal" unterstützt.
Verwendung
Wenn eine ACL gesetzt ist wird dies in der Ausgabe von ls -l
durch ein zusätzliches "+" bei den Berechtigungen angezeigt.
E.g.:
$ ls -l total 16 drwxrws---+ 3 revamp struktur 4096 Mar 11 13:13 Ablage
Mit getfacl <datei>
können die detaillierten Zugangsinformationen angezeigt werden.
Mit setfacl ...
werden ACL's gesetzt.
E.g.:
$ setfacl -m g:revamp:r-x Datei
Setzen von "read" und "execute" für die Gruppe revamp für Datei.
Umsetzung
Unter /data/..
wurde es folgendermassen umgesetzt.
Ziel ist es "Wildwuchs" auf den Obersten Ebenen zu verhindern.
Daher sollen dort lediglich Mitglieder der Gruppe struktur Schreibrechte haben.
Mitglieder der Gruppe revamp sollen Leserecht haben.
Allen anderen sollen, grundsätzlich, keinen Zugriff haben. Bis auf allfällige Ausnahmen wie ein allgemeiner Download ordner, der sowieso regelmässig bereinigt wird.
Eine solche Umsetzung ist mit den "normalen" Berechtigungen nicht möglich.
Bemerkung: "Default" ACL's werden automatisch vererbt. Diese müssen jedoch zusätzlich gesetzt werden.
Unter /data/
:
$ ls -ld drwxrws--x+ 6 revamp struktur 4096 Mar 17 15:52 .
$ getfacl . # file: . # owner: revamp # group: struktur # flags: -s- user::rwx group::rwx group:revamp:r-x mask::rwx other::--x default:user::rwx default:group::rwx default:group:revamp:r-x default:mask::rwx default:other::---
$ ls -l total 16 drwxrws---+ 3 revamp struktur 4096 Mar 11 13:13 Ablage drwxrwsrwx 2 revamp revamp 4096 Mar 12 15:42 Download drwxrws---+ 3 revamp struktur 4096 Mar 18 14:07 Intern drwxrws---+ 2 revamp struktur 4096 Mar 11 13:16 KundInnen
Bemerkung: Unter /data/ müssen Änderungen an den ACL's u. U. mit dem Benutzer revamp
ausgeführt werden.: sudo -u revamp setfacl ...