Revamp LTSP: Rechteverwaltung mit ACL's
Um die Berechtigungen feiner zu steuern können acl's verwendet werden.
acl
muss dazu als mount option angegeben werden (in der fstab
eintragen).
ACL's werden von NFS Version 3 "normal" unterstützt.
Verwendung
Wenn eine ACL gesetzt ist wird dies in der Ausgabe von ls -l
durch ein zusätzliches "+" bei den Berechtigungen angezeigt.
E.g.:
$ ls -l total 16 drwxrws---+ 3 revamp struktur 4096 Mar 11 13:13 Ablage
Mit getfacl <datei>
können die detaillierten Zugangsinformationen angezeigt werden.
Mit setfacl ...
werden ACL's gesetzt.
E.g.:
$ setfacl -m g:revamp:r-x Datei
Setzen von "read" und "execute" für die Gruppe revamp für Datei.
Umsetzung
Unter /data/..
wurde es folgendermassen umgesetzt.
Ziel ist es "Wildwuchs" auf den Obersten Ebenen zu verhindern.
Daher sollen dort lediglich Mitglieder der Gruppe struktur Schreibrechte haben.
Mitglieder der Gruppe revamp sollen Leserecht haben.
Allen anderen sollen, grundsätzlich, keinen Zugriff haben. Bis auf allfällige Ausnahmen wie ein allgemeiner Download ordner, der sowieso regelmässig bereinigt wird.
Eine solche Umsetzung ist mit den "normalen" Berechtigungen nicht möglich.
Bemerkung: "Default" ACL's werden automatisch vererbt. Diese müssen jedoch zusätzlich gesetzt werden.
Unter /data/
:
$ ls -ld drwxrws--x+ 6 revamp struktur 4096 Mar 17 15:52 .
$ getfacl . # file: . # owner: revamp # group: struktur # flags: -s- user::rwx group::rwx group:revamp:r-x mask::rwx other::--x default:user::rwx default:group::rwx default:group:revamp:r-x default:mask::rwx default:other::---
$ ls -l total 16 drwxrws---+ 3 revamp struktur 4096 Mar 11 13:13 Ablage drwxrwsrwx 2 revamp revamp 4096 Mar 12 15:42 Download drwxrws---+ 3 revamp struktur 4096 Mar 18 14:07 Intern drwxrws---+ 2 revamp struktur 4096 Mar 11 13:16 KundInnen
Bemerkung: Unter /data/ müssen Änderungen an den ACL's u. U. mit dem Benutzer revamp
ausgeführt werden.: sudo -u revamp setfacl ...