Revamp LTSP: Rechteverwaltung mit ACL's

Aus revampedia
Version vom 22. Juni 2015, 17:18 Uhr von Florian Walder (Diskussion | Beiträge) (Diese Seite wurde zum Übersetzen freigegeben)

Um die Berechtigungen feiner zu steuern können acl's verwendet werden.

acl muss dazu als mount option angegeben werden (in der fstab eintragen).

ACL's werden von NFS Version 3 "normal" unterstützt.

Verwendung

Wenn eine ACL gesetzt ist wird dies in der Ausgabe von ls -l durch ein zusätzliches "+" bei den Berechtigungen angezeigt.
E.g.:

$ ls -l
total 16
drwxrws---+ 3 revamp struktur 4096 Mar 11 13:13 Ablage

Mit getfacl <datei> können die detaillierten Zugangsinformationen angezeigt werden.

Mit setfacl ... werden ACL's gesetzt.
E.g.:

$ setfacl -m g:revamp:r-x Datei

Setzen von "read" und "execute" für die Gruppe revamp für Datei.

Umsetzung

Unter /data/.. wurde es folgendermassen umgesetzt.

Ziel ist es "Wildwuchs" auf den Obersten Ebenen zu verhindern.

Daher sollen dort lediglich Mitglieder der Gruppe struktur Schreibrechte haben.

Mitglieder der Gruppe revamp sollen Leserecht haben.

Allen anderen sollen, grundsätzlich, keinen Zugriff haben. Bis auf allfällige Ausnahmen wie ein allgemeiner Download ordner, der sowieso regelmässig bereinigt wird.

Eine solche Umsetzung ist mit den "normalen" Berechtigungen nicht möglich.

Bemerkung: "Default" ACL's werden automatisch vererbt. Diese müssen jedoch zusätzlich gesetzt werden.

Unter /data/:

$ ls -ld
drwxrws--x+ 6 revamp struktur 4096 Mar 17 15:52 .
$ getfacl .
# file: .
# owner: revamp
# group: struktur
# flags: -s-
user::rwx
group::rwx
group:revamp:r-x
mask::rwx
other::--x
default:user::rwx
default:group::rwx
default:group:revamp:r-x
default:mask::rwx
default:other::---
$ ls -l
total 16
drwxrws---+ 3 revamp struktur 4096 Mar 11 13:13 Ablage
drwxrwsrwx  2 revamp revamp   4096 Mar 12 15:42 Download
drwxrws---+ 3 revamp struktur 4096 Mar 18 14:07 Intern
drwxrws---+ 2 revamp struktur 4096 Mar 11 13:16 KundInnen

Bemerkung: Unter /data/ müssen Änderungen an den ACL's u. U. mit dem Benutzer revamp ausgeführt werden.: sudo -u revamp setfacl ...