Rättigheter på mappar och filer - problem [LÖST]

[flierman]

Jag har ett problem att lösa

Jag ska skapa en mappstruktur med 3 mappar, mapp1-2-3 och en fil som ligger i mapp3.

Andra användare än ägaren ska kunna läsa filen i mapp3 men inte ha tillgång till mapp1 occh 2.

Hur ska jag kunna få till detta? Jag har testat lite olika varianter som att sätta x på mapp3 men inga rättigheter på mapp 1 och 2 men då kan andra användare inte ens gå in i mapp1 och komma vidare till mapp3....så hur löser jag det?

[djkmmo]

Jag har ett problem att lösa

Jag ska skapa en mappstruktur med 3 mappar, mapp1-2-3 och en fil som ligger i mapp3.

Andra användare än ägaren ska kunna läsa filen i mapp3 men inte ha tillgång till mapp1 occh 2.

Hur ska jag kunna få till detta? Jag har testat lite olika varianter som att sätta x på mapp3 men inga rättigheter på mapp 1 och 2 men då kan andra användare inte ens gå in i mapp1 och komma vidare till mapp3....så hur löser jag det?

Vad exakt menar du med "inte ha tillgång till"? Menar du att andra användare inte skall kunna se (lista) innehållet i mapp1/ och mapp2/ men kunna se det i mapp3/ eller menar du att ingen "vanlig" användare skall kunna titta på och ändra innehållet i de filer som ligger i mapp1/ och mapp2/?

[David Andersson]

Jag ska skapa en mappstruktur med 3 mappar, mapp1-2-3 och en fil som ligger i mapp3.

Andra användare än ägaren ska kunna läsa filen i mapp3 men inte ha tillgång till mapp1 occh 2.

Hur ska jag kunna få till detta? Jag har testat lite olika varianter som att sätta x på mapp3 men inga rättigheter på mapp 1 och 2 men då kan andra användare inte ens gå in i mapp1 och komma vidare till mapp3....så hur löser jag det?

Lite oklart hur mappstrukturen ser ut. Först tänkte jag
huvudmapp
huvudmapp/mapp1
huvudmapp/mapp2
huvudmapp/mapp3

Vid sista stycket fladdrar det till i huvet och blir
huvudmapp
huvudmapp/mapp1
huvudmapp/mapp1/mapp2
huvudmapp/mapp1/mapp2/mapp3

För att andra ska komma åt mapp3 så måste de ha minst x-rättighet för huvudmapp, mapp1, och mapp2.

Exempel

drwxr-xr-x huvudmapp
drwx--x--x huvudmapp/mapp1
drwx--x--x huvudmapp/mapp1/mapp2
drwxr-xr-x huvudmapp/mapp1/mapp2/mapp3

Nu kan andra göra ls huvudmapp/mapp1/mapp2/mapp3, men inte ls huvudmapp/mapp1/mapp2.

För att kunna navigara till mapp3 i ett grafiskt gränssnitt, eller med TAB i en terminal, så måste även mapp1 och mapp2 ha r-rättigheter, men då "kommer de åt" de katalogerna (kan se vilka filer som finns i mapp1 och mapp2). Om det är okej att kunna se filerna där så gör mapp1 och mapp2 r-x också, och skydda filer i mapp1 och mapp2 som de inte ska få komma åt genom att sätta rättigheter på filerna. (Sätta rättigheter på filerna i mapp1 och mapp2 måste du göra ändå, om du vill att andra inte ska kunna läsa dem.)

[David Andersson]

(forts)

För att komma åt mapp3 i ett grafisk verktyg (med bara x-rättigheter på mapp1 och mapp2), så kan du göra en symlänk som andra får gå via.

huvudmapp
huvudmapp/mapp1
huvudmapp/mapp1/mapp2
huvudmapp/mapp1/mapp2/mapp3
huvudmapp/mapp3shortcut -> mapp1/mapp2/mapp3

(Du behöver inte sätta några rättigheter på symlänken, de blir i princip samma som de den pekar på.)

Om det är okej, så blir frågan varför du inte kan ha mapp3 direkt under huvudmapp?

drwxr-xr-x huvudmapp
drwx------ huvudmapp/mapp1
drwxr-xr-x huvudmapp/mapp3

Så blir allt under mapp1 skyddat oavsett rättigheter på enskilda filer i mapp1. Verkar enklare och säkrare.

[flierman]

De ska kunna se och läsa mapp3 och dess innehåll men inte se innehållet i mapp 1 eller 2 vilket jag inte förstår hur det ska gå till.
Jag har insett att det är omöjligt att man inte ska kunna se filerna i mapp 1 och 2 om man ska kunna gå vidare ner till ästa mapp men man kan ju iallafall låsa filerna i mapp 1 och 2.

Tror jag fann lösningen.

drwx-----r-x 3 mike mike 4096 2008-10-28 12:40 dir1
drwx-----r-x 3 mike mike 4096 2008-10-28 12:40 dir2
drwx-----r-x 3 mike mike 4096 2008-10-28 12:40 dir3
-wxr-----r-- 3 mike mike 4096 2008-10-28 12:40 myfile.txt

[David Andersson]

Tror jag fann lösningen.

drwx-----r-x 3 mike mike 4096 2008-10-28 12:40 dir1
drwx-----r-x 3 mike mike 4096 2008-10-28 12:40 dir2
drwx-----r-x 3 mike mike 4096 2008-10-28 12:40 dir3
-wxr-----r-- 3 mike mike 4096 2008-10-28 12:40 myfile.txt

Skulle du inte ta bort läsrättigheterna för andra på dir1 och dir2?

drwx------ 3 mike mike 4096 2008-10-28 12:40 dir1
drwx------ 3 mike mike 4096 2008-10-28 12:40 dir2
drwxr-xr-x 3 mike mike 4096 2008-10-28 12:40 dir3
-rwxr--r-- 3 mike mike 4096 2008-10-28 12:40 myfile.txt

Eller har jag missuppfattat vilka mappar som andra inte skulle komma åt?
(Det är ovanligt att vanliga filer har mer än 1 hardlink. Är sista "3"-an påhittad?)

[Bowmore]

Känns inte riktigt som en bra idé. Problemet är att det i slutändan är umask som styr sättningen av rättigheter på nya mappar o filer. Och den vill du ju inte ändra då det slår över alla dina mappar o filer.

Bättre är nog att använda acl (access control list) för att undertrycka linux grundrättigheter.

Kommandot getfacl används för att läsa satta acl för mappar
Kommandot setfacl används för att sätta acl för en mapp

ACL har två typer av rättigheter
- en acl som gäller för en viss mapp eller fil
- en default acl som sätts på mappar och ärvs av allt som skapas under den mappen

Sen gäller det ju bara att tänka till hur du vill ha det

[David Andersson]

Jag förstår inte resonemanget om umask? Om du vill att andra inte ska kunna läsa innehållet i mapp1 och mapp2, men ska kunna läsa i mapp3, så räcker det väl med:

drwx------ mapp1
drwx------ mapp2
drwxr-xr-x mapp3

Man sätter rättigheterna en gång med chmod go-rwx mapp1 mapp2. Alla filer och undermappar i mapp1 och mapp2 kan ha sina gamla vanliga rättigheter och alla nya filer som skapas där har vanliga rättigheter. Det räcker att mapp1 och mapp2 är lässkyddade så är allt inuti dem oåtkommligt.

Är problemet kanske att du vill att andra ska kunna skriva i vissa mappar?

[Bowmore]

Jag förstår inte resonemanget om umask?

Prova att skapa en fil under mappen Test1 och kolla sen rättigheterna den filen får. För en default satt umask så kan den läsas av other.

[David Andersson]

Jag förstår inte resonemanget om umask?

Prova att skapa en fil under mappen Test1 och kolla sen rättigheterna den filen får. För en default satt umask så kan den läsas av other.

Ja, filen får normala rättigheter. Nej, andra kan inte läsa den.

drwx------ 2 david david 72 2008-11-08 14:40 mapp1
-rw-r--r-- 1 david david 4 2008-11-08 14:40 mapp1/a
drwx------ 2 david david 72 2008-11-08 14:40 mapp2
-rw-r--r-- 1 david david 4 2008-11-08 14:40 mapp2/b
drwxr-xr-x 2 david david 72 2008-11-08 14:40 mapp3
-rw-r--r-- 1 david david 4 2008-11-08 14:40 mapp3/c

$ cat mapp1/a
cat: mapp1/a: Permission denied
$ cat mapp3/c
hej

De kommer inte åt mappen den ligger i, och då ligger filen säkert. Liksom alla undermappar.

[Bowmore]

Jag förstår inte resonemanget om umask?

Prova att skapa en fil under mappen Test1 och kolla sen rättigheterna den filen får. För en default satt umask så kan den läsas av other.

Ja, filen får normala rättigheter. Nej, andra kan inte läsa den.

drwx------ 2 david david 72 2008-11-08 14:40 mapp1
-rw-r--r-- 1 david david 4 2008-11-08 14:40 mapp1/a
drwx------ 2 david david 72 2008-11-08 14:40 mapp2
-rw-r--r-- 1 david david 4 2008-11-08 14:40 mapp2/b
drwxr-xr-x 2 david david 72 2008-11-08 14:40 mapp3
-rw-r--r-- 1 david david 4 2008-11-08 14:40 mapp3/c

$ cat mapp1/a
cat: mapp1/a: Permission denied
$ cat mapp3/c
hej

De kommer inte åt mappen den ligger i, och då ligger filen säkert. Liksom alla undermappar.

Ser nu att du talar om en platt struktur. Men då är det ju inget problem, bara att ändra rättigheterna i Egenskaper för de mappar under user som t.ex endast user sjäv får gå in i.

Problemet som flierman ville lösa var strukturen Mapp1 -> Mapp2 -> Mapp3 och det går inte att göra med rättigheter som bygger på umask, förutsatt att user inte ändrar manuellt så fort han själv skapar en fil i den strukturen. Lösningen är att använda ACL som jag nämnde tidigare.

[flierman]

För att andra ska komma åt mapp3 så måste de ha minst x-rättighet för huvudmapp, mapp1, och mapp2.

Exempel

drwxr-xr-x huvudmapp
drwx--x--x huvudmapp/mapp1
drwx--x--x huvudmapp/mapp1/mapp2
drwxr-xr-x huvudmapp/mapp1/mapp2/mapp3

Nu kan andra göra ls huvudmapp/mapp1/mapp2/mapp3, men inte ls huvudmapp/mapp1/mapp2.

För att kunna navigara till mapp3 i ett grafiskt gränssnitt, eller med TAB i en terminal, så måste även mapp1 och mapp2 ha r-rättigheter, men då "kommer de åt" de katalogerna (kan se vilka filer som finns i mapp1 och mapp2). Om det är okej att kunna se filerna där så gör mapp1 och mapp2 r-x också, och skydda filer i mapp1 och mapp2 som de inte ska få komma åt genom att sätta rättigheter på filerna. (Sätta rättigheter på filerna i mapp1 och mapp2 måste du göra ändå, om du vill att andra inte ska kunna läsa dem.)

Perfekt..jag tror att det var det här som jag letade efter ser jag nu, tack för hjälpen David!