permissões de diretório Linux ler escrever, mas não de exclusão

StackOverflow https://stackoverflow.com/questions/869536

  •  22-08-2019
  •  | 
  •  

Pergunta

É possível permissões de diretório de instalação de tal forma que um grupo é capaz de ler e arquivos de gravação e subdiretórios, mas não nada de exclusão?

Foi útil?

Solução

Pode ser o suficiente para definir o bit pegajoso nos diretórios. Os usuários serão capazes de apagar todos os arquivos que possuem, mas não aqueles de outros usuários. Isso pode ser suficiente para o seu caso de uso. Na maioria dos sistemas, / tmp está configurado dessa forma (/ tmp está definido 1777)

chmod 1775 / controlado

No entanto, se você quiser mais controle, você tem que habilitar ACL no sistema de arquivos em questão.

Em / etc / fstab, anexar acl para as bandeiras: 

/dev/root        /                       ext3    defaults,acl       1 1

Você pode então usar setfacl / getfacl de controle e ver acl permissões de nível.

Exemplo: (. Crie arquivos, uma vez escrito, eles são apenas para leitura, mas pode ser eliminado pelo proprietário, mas não outros) 

setfacl --set u::rwxs,g::rwx /controlled
setfacl -d --set u::r-x,g::r-x,o::- /controlled

Você pode definir uma lista acl padrão em um diretório que será usado por todos os arquivos criados lá.

Como outros já mencionado, ter o cuidado de especificar exatamente o que você quer. Você diz "write" - mas os usuários podem substituir seus próprios arquivos? eles podem mudar o conteúdo existente, ou simplesmente acrescentar? Uma vez escritos, é só ler? Talvez você pode especificar mais detalhes nos comentários.

Por fim, selinux e grsecurity fornecem ainda mais controle, mas isso é toda uma outra lata de vermes. Ele pode ser bastante envolvido com a instalação.

Outras dicas

Bem, seria r-x para este diretório.

e arquivos em que teria rw -.

Isso ocorre porque um arquivo pode ser escrito, se as permissões permitem escrever, mas ele só pode ser eliminado se o seu diretório 's permissões permitir Write.

Possível ou não, certifique-se que a substituição com um arquivo de 0 byte não é equivalente a excluir o arquivo em seu contexto particular.

Licenciado em: CC-BY-SA com atribuição
Não afiliado a StackOverflow
scroll top