diego2k
Goto Top

Linux Rechte -Vererbung

Hallo,
ich frage mich gerade wie es mit den Rechten in Unterordnern aussieht. Dazu ein Bsp:
/
|-home
|--folder1
|---folder2

Benutzer:
user1
user2

Gruppen:
admin{user1}
benutzer{user2}

Also der Folder user1 hat nun rwx für user1 und rwx für Gruppe admin und - für other.
Ich kopiere nun als user1 folder2 in folder1. folder1 gehört aber user2 und dessen Gruppe.
Nun hat user2 zwar immer noch Rechte an folder2 kommt aber an diesen nicht ran...
bzw. würde nur wenn an folder1 das recht für other auf r gestellt wird.

So nun zu meiner eigentlichen Frage, ich verwende ACL und die komplette Struktur(also alles unter folder1)
würde einer Gruppe zb. domain-admins gehöhren. Ich will hier sicher stellen das wirklich nur domain-admins
darin schreibrechte haben, auch wenn so wie hier dargestellt ein "folder2" reinkopiert wird.
Was ist hier der way 2 go?

mfg diego

Content-ID: 195091

Url: https://administrator.de/contentid/195091

Ausgedruckt am: 05.11.2024 um 11:11 Uhr

Alchimedes
Alchimedes 28.11.2012 um 23:11:18 Uhr
Goto Top
Hallo,

Zuerst waere es schoen wenn Du Dein Problem mal strukturiert darbietest.

Also der Folder user1 hat nun rwx für user1 und rwx für Gruppe admin und - für other

es gibt keinen Folder user 1 .....

Um Rechte zu vererben nutzt Du chmod -R

Aber:
linux kennt keine Berechtigungsstruktur bei Unterordnern.
Das Heißt im Klartext:
wenn ich einen Unterordner einer Anderen Gruppe oder User zuordnen möchte ohne das diese Zugriff auf die Anderen Ordner erhält geht das nur mit acl's.....

Das hat aber auch Nachteile. Du wirst bei steigender Rechtevergabe nicht mehr erkennen wer wo welchen Zugriff hat.
Sobald ein User einen Ordner verschiebt kann es passieren das die acl's nicht übernommen werden.
Außerdem werden beim Backup z.B durch rsync die acl's nicht mit übertragen. Sobald man das Backup einspielen muss
sind die acl's futsch....


http://wiki.ubuntuusers.de/ACL

Gruss
diego2k
diego2k 30.11.2012 um 12:04:57 Uhr
Goto Top
Danke!
ich meinte natürlich nicht Folder user1 sonder folder1.
Kann ich zumindest davon ausgehen das wenn ein User/Gruppe *keine* Rechte auf den darüber liegenden Ordner hat niemals die Daten eines darunter liegenden Ordners erreichen kann auch wenn er darin Rechte haben sollte?
Alchimedes
Alchimedes 30.11.2012 um 21:55:55 Uhr
Goto Top
Hallo ,

wie soll er auf untergeordnete Ordner zugreifen können, wenn er auf den Hauptordner keine Rechte hat?
geht nicht... nur mit acl's.... siehe oben.

Nehmen wir an Du hast einen Ordner Fibu.... mit folgenden Rechten und Gruppen Zuweisung

drwx------ fibu:smb Fibu

bedeutet nur der Eigentümer hat das Recht in den Ordner zu wechseln dort zu arbeiten, lesen schreiben .. blafasel. Der Gruppe Fibu zugeordneten User noch alle Anderen dürfen nichts.

nun gibt es aber unter dem Ordner Fibu einen Unterordner Gehälter mit folgenden Rechten..

drwxr-xr-x fibu:smb Gehälter

heisst das jetzt das ... die Gruppe Fibu und alle Anderen die Gehälter sehen und bearbeiten dürfen ?

face-smile

wenn ja wieso ? und wenn nicht warum nicht?

http://de.wikipedia.org/wiki/Unix-Dateirechte

Gruss und bleib am Ball !
Guenni
Guenni 01.12.2012 aktualisiert um 07:01:56 Uhr
Goto Top
Hi,

Zitat von @Alchimedes:
wie soll er auf untergeordnete Ordner zugreifen können, wenn er auf den Hauptordner keine Rechte hat?

Rechte Owner Group Ordner
drwx-----x max user1 Fibu

Durch das x bei others kann ich doch jetzt in den Ordner wechseln, obwohl ich nicht der max bin.

Ich sehe nur keine Dateien/Unterordner. Jetzt lege ich unter Fibu den Ordner Lager an.

Rechte Owner Group Ordner
drwx------ moritz user2 Lager

Jetzt kann ich als moritz ohne Probleme mit cd /Fibu/Lager direkt in meinen Ordner wechseln. Und auf diesem

Ordner hat max keinen Zugriff, obwohl sich dieser in seinem Ordner befindet. Auch über Samba ist ein Zugriff

von Windows-Clients möglich.

Aber so'n Blödsinn macht natürlich keiner.


Gruß
Günni
Alchimedes
Alchimedes 03.12.2012 um 11:21:26 Uhr
Goto Top
Hallo,

damit haben alle Anderen Ausfuerungsrechte.Also koennen Sie in den Ordner Wechseln.

mit drwx --- --- waere das nicht moeglich. Dann kann das nur der Owner.


Gruss