Commentaires sur : Access Control List (bis) http://linux-attitude.fr/post/access-control-list-bis?utm_source=rss&utm_medium=rss&utm_campaign=access-control-list-bis Le libre est un état d'esprit Thu, 09 Feb 2012 11:15:34 +0000 hourly 1 http://wordpress.org/?v=3.1.3 Par : Peck http://linux-attitude.fr/post/access-control-list-bis/comment-page-1#comment-352 Peck Thu, 05 Feb 2009 14:41:16 +0000 http://linux-attitude.fr/post/access-control-list-bis#comment-352 <p>Le mask a été créé pour simplifier le fait de retirer massivement des droits sur des fichiers. Mais il est un peu raté au sens où il n'impacte pas other. D'autre part c'est la commande chgrp (et chmod) qui ne fait pas tout à fait ce que tu pense car elle considère que tout le monde sauf le propriétaire fait partie du groupe. Autant l'éviter quand on utilise des acl.</p> <p>Mais pour le coup, ton problème est plus lié au comportement de Virtualbox qu'aux acl.</p> <p>Et enfin utilise plutot inotify que dnotify :-)</p> Le mask a été créé pour simplifier le fait de retirer massivement des droits sur des fichiers. Mais il est un peu raté au sens où il n’impacte pas other. D’autre part c’est la commande chgrp (et chmod) qui ne fait pas tout à fait ce que tu pense car elle considère que tout le monde sauf le propriétaire fait partie du groupe. Autant l’éviter quand on utilise des acl.

Mais pour le coup, ton problème est plus lié au comportement de Virtualbox qu’aux acl.

Et enfin utilise plutot inotify que dnotify :-)

]]> Par : JM http://linux-attitude.fr/post/access-control-list-bis/comment-page-1#comment-351 JM Thu, 05 Feb 2009 13:25:24 +0000 http://linux-attitude.fr/post/access-control-list-bis#comment-351 <p>Ok merci beaucoup ! Voilà qui ne m'arrange pas… Donc en gros je suis bon pour mettre en place un dnotify sur le répertoire pour vérifier que les masques n'ont pas été remis à zéro et agir en fonction. Ça enlève un peu du charme des ACL, c'est quoi au juste la raison de ce masque s'il est autant source d'ennuis ?</p> Ok merci beaucoup ! Voilà qui ne m’arrange pas… Donc en gros je suis bon pour mettre en place un dnotify sur le répertoire pour vérifier que les masques n’ont pas été remis à zéro et agir en fonction. Ça enlève un peu du charme des ACL, c’est quoi au juste la raison de ce masque s’il est autant source d’ennuis ?

]]> Par : Peck http://linux-attitude.fr/post/access-control-list-bis/comment-page-1#comment-350 Peck Wed, 04 Feb 2009 11:40:22 +0000 http://linux-attitude.fr/post/access-control-list-bis#comment-350 <p>Si c'est tout a fait possible.<br /> Il est fort probable que Virtualbox fasse un chmod g-rwx sur les fichiers qu'il considère comme sensibles. Tout comme ssh vérifie les droits dans .ssh</p> <p>Et justement, un chmod impacte les acl puisqu'il modifie le mask.</p> <p>Toujours faire attention au mask, c'est la source de beaucoup de problèmes et d'incompréhensions.</p> Si c’est tout a fait possible.
Il est fort probable que Virtualbox fasse un chmod g-rwx sur les fichiers qu’il considère comme sensibles. Tout comme ssh vérifie les droits dans .ssh

Et justement, un chmod impacte les acl puisqu’il modifie le mask.

Toujours faire attention au mask, c’est la source de beaucoup de problèmes et d’incompréhensions.

]]> Par : JM http://linux-attitude.fr/post/access-control-list-bis/comment-page-1#comment-349 JM Wed, 04 Feb 2009 11:08:16 +0000 http://linux-attitude.fr/post/access-control-list-bis#comment-349 <p>En fait je partage des machines virtuelles locales VirtualBox entre plusieurs utilisateurs. Je viens d'essayer de modifier les « defaults » des répertoires parents mais ça ne marche pas plus. Je finis par me demander si ce ne serait pas l'application VirtualBox qui poserait problème parce que j'ai fait un test avec un fichier texte dans les répertoires VirtualBox et tout fonctionne comme attendu. Voilà ce que j'ai fait :</p> <p>$ find /vm/VirtualBox/ -type d -exec setfacl -m g:vboxusers:rwx,m::rwx,d:u::rwx,d:g::rwx,d:g:vboxusers:rwx,d:m::rwx {} \;<br /> $ find /vm/VirtualBox/ -type f -exec setfacl -m u::rw,g::rw,g:vboxusers:rw,m::rw {} \;</p> <p>Je précise tout de suite que les répertoires .VirtualBox des utilisateurs pointent tous sur /vm/VirtualBox/. Après cette opération on a bien ce qu'il faut, enfin a priori :</p> <p>$ getfacl /vm/VirtualBox/Machines<br /> getfacl: Removing leading '/' from absolute path names</p> <ol> <li>file: vm/VirtualBox/Machines</li> <li>owner: tom</li> <li>group: grouptom</li> </ol> <p>user::rwx<br /> group::rwx<br /> group:vboxusers:rwx<br /> mask::rwx<br /> other::---<br /> default:user::rwx<br /> default:group::rwx<br /> default:group:vboxusers:rwx<br /> default:mask::rwx<br /> default:other::---</p> <p>Quand je crée une nouvelle VM, ici « test », j'obtiens un mauvais masque sur les fichiers créés mais pas sur les répertoires :</p> <p>$ getfacl /vm/VirtualBox/Machines/test/test.xml<br /> getfacl: Removing leading '/' from absolute path names</p> <ol> <li>file: vm/VirtualBox/Machines/test/test.xml</li> <li>owner: alfred</li> <li>group: groupalfred</li> </ol> <p>user::rw-<br /> group::rwx #effective:---<br /> group:vboxusers:rwx #effective:---<br /> mask::---<br /> other::---</p> <p>$ getfacl /vm/VirtualBox/Machines/test/<br /> getfacl: Removing leading '/' from absolute path names</p> <ol> <li>file: vm/VirtualBox/Machines/test/</li> <li>owner: alfred</li> <li>group: groupalfred</li> </ol> <p>user::rwx<br /> group::rwx<br /> group:vboxusers:rwx<br /> mask::rwx<br /> other::---<br /> default:user::rwx<br /> default:group::rwx<br /> default:group:vboxusers:rwx<br /> default:mask::rwx<br /> default:other::---</p> <p>Ce qui est étrange c'est que ça ne le fait pas sur tous les fichiers VirtualBox. Ça le fait sur les fichiers d'image disque *.vdi et *.sav mais pas sur le fichier de configuration principal VirtualBox.xml… Ce serait l'application VirtualBox qui remettrait à zéro le masque de certains fichiers ? Quelle drôle d'idée…</p> En fait je partage des machines virtuelles locales VirtualBox entre plusieurs utilisateurs. Je viens d’essayer de modifier les « defaults » des répertoires parents mais ça ne marche pas plus. Je finis par me demander si ce ne serait pas l’application VirtualBox qui poserait problème parce que j’ai fait un test avec un fichier texte dans les répertoires VirtualBox et tout fonctionne comme attendu. Voilà ce que j’ai fait :

$ find /vm/VirtualBox/ -type d -exec setfacl -m g:vboxusers:rwx,m::rwx,d:u::rwx,d:g::rwx,d:g:vboxusers:rwx,d:m::rwx {} \;
$ find /vm/VirtualBox/ -type f -exec setfacl -m u::rw,g::rw,g:vboxusers:rw,m::rw {} \;

Je précise tout de suite que les répertoires .VirtualBox des utilisateurs pointent tous sur /vm/VirtualBox/. Après cette opération on a bien ce qu’il faut, enfin a priori :

$ getfacl /vm/VirtualBox/Machines
getfacl: Removing leading ‘/’ from absolute path names

  1. file: vm/VirtualBox/Machines
  2. owner: tom
  3. group: grouptom

user::rwx
group::rwx
group:vboxusers:rwx
mask::rwx
other::—
default:user::rwx
default:group::rwx
default:group:vboxusers:rwx
default:mask::rwx
default:other::—

Quand je crée une nouvelle VM, ici « test », j’obtiens un mauvais masque sur les fichiers créés mais pas sur les répertoires :

$ getfacl /vm/VirtualBox/Machines/test/test.xml
getfacl: Removing leading ‘/’ from absolute path names

  1. file: vm/VirtualBox/Machines/test/test.xml
  2. owner: alfred
  3. group: groupalfred

user::rw-
group::rwx #effective:—
group:vboxusers:rwx #effective:—
mask::—
other::—

$ getfacl /vm/VirtualBox/Machines/test/
getfacl: Removing leading ‘/’ from absolute path names

  1. file: vm/VirtualBox/Machines/test/
  2. owner: alfred
  3. group: groupalfred

user::rwx
group::rwx
group:vboxusers:rwx
mask::rwx
other::—
default:user::rwx
default:group::rwx
default:group:vboxusers:rwx
default:mask::rwx
default:other::—

Ce qui est étrange c’est que ça ne le fait pas sur tous les fichiers VirtualBox. Ça le fait sur les fichiers d’image disque *.vdi et *.sav mais pas sur le fichier de configuration principal VirtualBox.xml… Ce serait l’application VirtualBox qui remettrait à zéro le masque de certains fichiers ? Quelle drôle d’idée…

]]> Par : Peck http://linux-attitude.fr/post/access-control-list-bis/comment-page-1#comment-348 Peck Tue, 03 Feb 2009 19:12:45 +0000 http://linux-attitude.fr/post/access-control-list-bis#comment-348 <p>N'aurais-tu pas un default:mask:: à --- dans le répertoire parent ?</p> <p>Cela force le mask des fils créés à --- ce qui produit des effective à ---</p> <p>Par contre pour la modification des droits c'est bizarre, avec quoi édite-tu le fichier ?</p> N’aurais-tu pas un default:mask:: à — dans le répertoire parent ?

Cela force le mask des fils créés à — ce qui produit des effective à —

Par contre pour la modification des droits c’est bizarre, avec quoi édite-tu le fichier ?

]]> Par : JM http://linux-attitude.fr/post/access-control-list-bis/comment-page-1#comment-347 JM Tue, 03 Feb 2009 17:50:05 +0000 http://linux-attitude.fr/post/access-control-list-bis#comment-347 <p>Bonjour !</p> <p>Tout ceci est très intéressant et j'ai donc foncé pour mettre en pratique. Malheureusement j'ai un problème qui a l'air de venir du masque que je ne maîtrise pas du tout… J'essaie de partager un fichier en lecture/écriture pour 2 utilisateurs tom et alfred de groupe principal différent mais appartenant à un même groupe secondaire, disons alftom. Si tom écrit un fichier et modifie les ACL avec cette commande :</p> <p>$ setfacl -m g:alftom:rw <fichier></p> <p>alors alfred ne peut toujours pas lire le fichier et getfacl rapporte pour le groupe alftom un message du type :</p> <p>group:alftom:rw- #effective:---</p> <p>Pour arranger les choses, j'ai modifié le masque avec :</p> <p>$ setfacl -m m::rw <fichier></p> <p>À ce moment-là alfred peut ouvrir et modifier le fichier, ce qu'il fait et ça va changer les UID et GID du fichier, normal. Par contre les ACL sont alors visiblement modifiées aussi au niveau du masque, puisque tom ne peut plus lire le fichier. La commande getfacl rapporte que le groupe alftom a toujours les droits de lecture/écriture mais apparaît à nouveau le message « group:alftom:rw- #effective:--- ».</p> <p>Quel est donc le mystère de ce masque ? C'est le sujet du 3ème billet sur le sujet ? ;-)</p> Bonjour !

Tout ceci est très intéressant et j’ai donc foncé pour mettre en pratique. Malheureusement j’ai un problème qui a l’air de venir du masque que je ne maîtrise pas du tout… J’essaie de partager un fichier en lecture/écriture pour 2 utilisateurs tom et alfred de groupe principal différent mais appartenant à un même groupe secondaire, disons alftom. Si tom écrit un fichier et modifie les ACL avec cette commande :

$ setfacl -m g:alftom:rw <fichier>

alors alfred ne peut toujours pas lire le fichier et getfacl rapporte pour le groupe alftom un message du type :

group:alftom:rw- #effective:—

Pour arranger les choses, j’ai modifié le masque avec :

$ setfacl -m m::rw <fichier>

À ce moment-là alfred peut ouvrir et modifier le fichier, ce qu’il fait et ça va changer les UID et GID du fichier, normal. Par contre les ACL sont alors visiblement modifiées aussi au niveau du masque, puisque tom ne peut plus lire le fichier. La commande getfacl rapporte que le groupe alftom a toujours les droits de lecture/écriture mais apparaît à nouveau le message « group:alftom:rw- #effective:— ».

Quel est donc le mystère de ce masque ? C’est le sujet du 3ème billet sur le sujet ? ;-)

]]> Par : Peck http://linux-attitude.fr/post/access-control-list-bis/comment-page-1#comment-346 Peck Tue, 03 Feb 2009 10:58:27 +0000 http://linux-attitude.fr/post/access-control-list-bis#comment-346 <p>Tu peux faire la même chose qu'un chmod -R -x, c'est à dire interdire l'exécution sur les fichiers qui existent déjà.</p> <p>Les default peuvent te permettre de les interdire aux nouveaux "par défaut", pas mieux qu'un umask. Rien n'empêche un utilisateur de faire un chmod ou un setfacl.</p> Tu peux faire la même chose qu’un chmod -R -x, c’est à dire interdire l’exécution sur les fichiers qui existent déjà.

Les default peuvent te permettre de les interdire aux nouveaux "par défaut", pas mieux qu’un umask. Rien n’empêche un utilisateur de faire un chmod ou un setfacl.

]]>