| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
Agp
Зарегистрирован: 26.03.2003
Сообщения: 101
|
 Добавлено: Вт Мар 04 2003 12:20 Заголовок сообщения: Вопрос по теории прав доступа?? |
 |
|
Здравствуйте. Подскажите пожалуйста кто знает теорию. Надо раздать права на директорию, с базой данных. Имеется группа юзеров, группа админов базы и группа всех остальных пользователей. Значится надо чтобы юзеры могли запускать и читать файлы, админы ещё и записывать в файлы, а все остальные не имели доступа к файлам. Когда-то эта база лежала на Микрософте а там сами знаете проблем с этим нет, добавил в список доступа группу дал одни права, добавил другую дал другие права.
Пока умными людьми дано два совета:
Первый сделать папку с правами 750 с группой юзеры и в ней папку с базой и правами 775 с группой админы; а админов включить в группу юзеров. Таким образом остальные юзеры отрежутся - родительской папкой, а доступ на запись пользователям - разрешением 775.
Второй прикрутить к Linux acl и будет похоже на микрософт - забыл где видел ссылку на доку; ну в общем это тоже тема отдельная.
Вообщем оба метода малость кривоваты. Так как же всё-таки такую проблемму решали старшие братья лет 10 назад когда acl не было?? |
|
| Вернуться к началу |
|
 |
Dmitry.Karpov http://prof
Гость
|
| Добавлено: Вт Мар 04 2003 13:38 Заголовок сообщения: Да, это узкое место в правах доступа Unix, но оно обходится иначе |
|
|
Можно сделать специальную утилиту с именем типа "rmdatabase" (обязательно бинарник, не скрипт),
дать ей атрибут SetUID,
дать ей такого же хозяина, как и директории,
дать ей группу админов;
а директории с файлами дать атрибут 755 или 1*** (sticky).
Утилита должна стирать только те файлы, котрые можно стирать (т.е. не позволять себе стирать файлы вне этой директории).
Другой вариант - вместо SetUID использовать пакет sudo; тогда "rmdatabase" м.б. скриптом.
И вообще, нормальные атрибуты для файла данных - 600, а доступ предоставлять через специализированный программный интерфейс, который гарантирует корректность работы.
PS: Насчет 775 ты что-то напутал. |
|
| Вернуться к началу |
|
|
aimak
Зарегистрирован: 10.02.2003
Сообщения: 86
Откуда: Ростов
|
| Добавлено: Вт Мар 04 2003 16:27 Заголовок сообщения: Re: Вопрос по теории прав доступа?? |
|
|
Я пробовал помоему RSBAC.Точно названия не помню.Неделю мучился.Все таки разграничил.Все как в винде (полная ACL).
Но когда расшарил Самбой (эти каталоги), все вернулось к тому же САМБА работает от имени root и на этом заглохло.
Т.е. в Linux разграничение работало, а мне нужен был простой файл-сервер с гибкими правами
Так что если Самба не нужна то используй RSBAC |
|
| Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Ср Мар 05 2003 14:45 Заголовок сообщения: Самба работает так, как ее скампили и настроили. У меня в Самбе с ACL все хорошо (-) |
|
|
| - |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
