extended acls vs umask

Dan Lukes dan at obluda.cz
Thu Feb 10 05:21:57 CET 2011


On 02/08/11 05:21, Jan Poctavek:
>>> Moja otazka je ako nastavit prava na ftp adresar (ufs), aby kazdy novo
>>> vytvoreny subor v tomto adresari mal read/write pre groupu ftpdata?

> Pravym problemom je priamy pristup zo shellu, tzn. volania cp (prip.
> mv), ktore standardne zavisia od nastavenia umask uzivatela v shelli.

Aha, tak to jsem z toho nepochopil.

> A tu narazam na problem, ci je mozne nastavenim default acls pre parent
> directory obist nastavenie umask u uzivatela

Ne, myslim, ze ne.

> Pokial by to neslo, uz ma napada len pouzit nejaky dtrace skript, ktory
> by sledoval volania open()/creat() a nasledne upravil prava.. ale to je
> zatial len vystrel do tmy.

To je trochu silny kanon - pokud lze vyjmenovat prikazy, ktere budou 
uzivatele pouzivat (treba to 'cp') tak lze vytvorit stejnojmenny script, 
v ceste driv nez cp, ktery se tudiz pouzije "misto" a po zkopirovani 
prava nastavi. Mozna by sel pouzit i "alias". A pokdu nevadi, ze prava 
pribudou az z urcitym zpozdenim, tak 'cron'

Nicmene, "prirozenym" resenim pro nevhodny umask je skutecne nastavit 
uzivatelum umask na neco vhodnejsiho.

Dan



More information about the Users-l mailing list