extended acls vs umask
Dan Lukes
dan at obluda.cz
Thu Feb 10 05:21:57 CET 2011
On 02/08/11 05:21, Jan Poctavek:
>>> Moja otazka je ako nastavit prava na ftp adresar (ufs), aby kazdy novo
>>> vytvoreny subor v tomto adresari mal read/write pre groupu ftpdata?
> Pravym problemom je priamy pristup zo shellu, tzn. volania cp (prip.
> mv), ktore standardne zavisia od nastavenia umask uzivatela v shelli.
Aha, tak to jsem z toho nepochopil.
> A tu narazam na problem, ci je mozne nastavenim default acls pre parent
> directory obist nastavenie umask u uzivatela
Ne, myslim, ze ne.
> Pokial by to neslo, uz ma napada len pouzit nejaky dtrace skript, ktory
> by sledoval volania open()/creat() a nasledne upravil prava.. ale to je
> zatial len vystrel do tmy.
To je trochu silny kanon - pokud lze vyjmenovat prikazy, ktere budou
uzivatele pouzivat (treba to 'cp') tak lze vytvorit stejnojmenny script,
v ceste driv nez cp, ktery se tudiz pouzije "misto" a po zkopirovani
prava nastavi. Mozna by sel pouzit i "alias". A pokdu nevadi, ze prava
pribudou az z urcitym zpozdenim, tak 'cron'
Nicmene, "prirozenym" resenim pro nevhodny umask je skutecne nastavit
uzivatelum umask na neco vhodnejsiho.
Dan
More information about the Users-l
mailing list