Uprawnienia, niepożądane przenoszenie grupy właściciela.

[adamg71]

Witam. Problem dotyczy niepożądanego przenoszenia grupy właściciela katalogu w trakcie jego przenoszenia (katalogu), np.: katalog ZASOBY zawiera dwa podkatalogi: DOKUMENTY i PRODUKTY.
DOKUMENTY - grupa właściciela: kierownicy
PRODUKTY - grupa właściciela: pracownicy
Wszystkie obiekty tworzone w DOKUMENTY należą do grupy kierownicy, a w PRODUKTY do grupy pracownicy.
Problem pojawia się gdy któryś z kierowników przeniesie jakikolwiek katalog z DOKUMENTY do PRODUKTY, jego przynależność do grupy kierownicy zostanie zachowana a przez to niemożliwy jest dostęp do zapisu w tym katalogu przez pracowników.
Problemu dotyczy jedynie przenoszenia, w przypadku kopiowania nie występuje.
Zasoby udostępniane są za pomocą Samby na Mandrivie 2009 Free.
Jedyne co przychodzi mi do głowy to zablokowanie przenoszenia, tylko jak to zrobić?

[arctgx]

Blokada przenoszenia - rozwiązanie trochę z grubej rury. Dlaczego po prostu "kierownik" nie da "pracownikom" (czyli "reszcie") uprawnień do zapisu?

Możesz też spróbować zrobić grupę o nazwie np. "personel", do której należą zarówno kierownicy jak i pracownicy. Wtedy dajesz plikowi grupę persolenl i prawa zapisu dla niej.

Zmienić właściciela może tylko root, jeśli dobrze mi wiadomo. Za to udało mi się jako użytkownikowi zmienić jedną grupę na inną, do której należę.

[adamg71]

No niestety nie można dać "reszcie" uprawnień do zapisu ponieważ w systemie jest wiele grup i niektóre nie mogą mieć takich praw. Podałem tylko przykład aby zilustrować problem. Pyzatym pomysł z ustawianiem uprawnień przez użytkowników też odpada, trzeba by jakieś szkolenia robić, i tak pewnie był by bałagan.
Stawiam na zablokowanie polecenia przenoszenia (mv). Byłbym wdzięczny za podpowiedz co zrobić aby użytkownicy nie mogli przenosić obiektow a jedynie kopiować i usuwać no i tworzyć.

[arctgx]

Jeśli problem leży w umiejętnościach uzytkowników, to np. przesłoń polecenie mv jakimś mniej lub bardziej użytecznym aliasem lub funkcją o takiej nazwie gdzieś w /etc/bash.bashrc (uwarunkowaną tym, kto jej używa, by roota wykluczyć). Jeśli ktoś użyje pełnej ścieżki /bin/mv, ominie oczywiście tę sztuczkę.

Chciałbym jednak zwrócić uwagę na coś takiego jak bit sgid dla katalogów. Jeśli ustawisz go (chmod g+s kierownicy pracownicy, przy okazji dasz grupie prawa do zapisu w danym katalogu), a katalogom tym dasz grupę np. personel, to nowo tworzone pliki (w tym katalogi) będą miały ustawianą grupę personel i podczas przesuwania nie byłoby już problemów z dostępem. Warunek tylko, by plik powstał w takim katalogu z sgidem (zapisanie strony HTML w przeglądarce do tego katalogu dało taki efekt). Jeśli taki "kierownik" wrzuci tam plik z płytki, sposób na nic. Co z istniejącymi już plikami? Jednorazowo możesz zmienić im grupę sam.

Problemem może być tu nadanie zbyt dużych uprawnień - ale bezwiedzy czego dokładnie nie mogą posczególni użytkownicy i dla jakich plików, to tylko próżna spekulacja.

Polecenie cpio, którym można by zamaskować cp lub mv, może dać ciekawe możliwości, szczególnie w połączeniu z sgid. Sam go jednak używałem kilka razy w życiu.

Polecenie mv ludzie opanowali, a z chgrp mieliby problem? Nie wystarczyłoby "szkolenie" w postaci kilkunastu linijek wyjaśnienia z przykładem? Obyłoby się bez maskowania poleceń, a człowiek zmieniałby grupę tylko wybranym plikom.