Discussion:
Cómo Forzar permisos y propietarios ... más violento
MAbeeTT
2012-07-09 00:57:50 UTC
Permalink
Ahora tengo otro escenario en el que aparentemente ACL no me sirve.

Si el usuario con permisos crea un archivo y modifica los permisos de
grupo afecta a la máscara (mask) del archivo, y los permisos para los
otros usuarios quedan cancelados por la máscara.

No creo que ningún BOFH haya pasador por esto, debe haber una solución...


Gracias,

***@sobriux:/media/pruebas$ touch testingacl/invitado

###########

***@sobriux:/media/pruebas$ cat testingacl/invitado
***@sobriux:/media/pruebas$
###########

***@sobriux:/media/pruebas$ chmod g-rw testingacl/invitado

###########

***@sobriux:/media/pruebas$ cat testingacl/invitado
cat: testingacl/invitado: Permiso denegado
***@sobriux:/media/pruebas$ getfacl testingacl/invitado
# file: testingacl/invitado
# owner: invitado
# group: matias
user::rw-
user:invitado:rw- #effective:---
group::rwx #effective:---
group:grupin:rw- #effective:---
mask::---
other::r--
--
.::MAbeeTT::.

mabeett [at] gmail [ dot] com
Nycko
2012-07-09 01:03:52 UTC
Permalink
Probaste los permisos by default de acl? setfacl -d ...

Suerte
--
nyckod
Post by MAbeeTT
Ahora tengo otro escenario en el que aparentemente ACL no me sirve.
Si el usuario con permisos crea un archivo y modifica los permisos de
grupo afecta a la máscara (mask) del archivo, y los permisos para los
otros usuarios quedan cancelados por la máscara.
No creo que ningún BOFH haya pasador por esto, debe haber una solución...
Gracias,
###########
###########
###########
cat: testingacl/invitado: Permiso denegado
# file: testingacl/invitado
# owner: invitado
# group: matias
user::rw-
user:invitado:rw- #effective:---
group::rwx #effective:---
group:grupin:rw- #effective:---
mask::---
other::r--
--
.::MAbeeTT::.
mabeett [at] gmail [ dot] com
MAbeeTT
2012-07-09 14:50:18 UTC
Permalink
Post by Nycko
Probaste los permisos by default de acl? setfacl -d ...
El problema son las máscaras Texto de
http://www.suse.de/~agruen/acl/linux-acls/online/#tab:masking

"permissions in entries that are a member of the group class which are
also present in the mask entry are effective. Permissions that are
absent in the mask entry are masked and thus do not take effect. See
Table 2."

Cuando un usuario hace chmod g-rw afecta la máscara (ver ejemplo) y
así los permisos sobre los otros usuarios (ver código).

Irónicamente el comportamiento del módulo de vfat para linux es lo que
necesito. Cuando un usuario hace chmod sobre los archivos que le
pertenecen la llamada de sistema falla.
Post by Nycko
Suerte
Fijate por favor estás respondiendo con top posting, tal vez sea tu teléfono.
Post by Nycko
--
nyckod
Post by MAbeeTT
Ahora tengo otro escenario en el que aparentemente ACL no me sirve.
Si el usuario con permisos crea un archivo y modifica los permisos de
grupo afecta a la máscara (mask) del archivo, y los permisos para los
otros usuarios quedan cancelados por la máscara.
No creo que ningún BOFH haya pasador por esto, debe haber una solución...
Gracias,
###########
###########
###########
cat: testingacl/invitado: Permiso denegado
# file: testingacl/invitado
# owner: invitado
# group: matias
user::rw-
user:invitado:rw- #effective:---
group::rwx #effective:---
group:grupin:rw- #effective:---
mask::---
other::r--
--
.::MAbeeTT::.
mabeett [at] gmail [ dot] com
--
.::MAbeeTT::.

mabeett [at] gmail [ dot] com
Nycko
2012-07-09 15:05:17 UTC
Permalink
Post by MAbeeTT
Post by Nycko
Probaste los permisos by default de acl? setfacl -d ...
El problema son las máscaras Texto de
http://www.suse.de/~agruen/acl/linux-acls/online/#tab:masking
"permissions in entries that are a member of the group class which are
also present in the mask entry are effective. Permissions that are
absent in the mask entry are masked and thus do not take effect. See
Table 2."
Cuando un usuario hace chmod g-rw afecta la máscara (ver ejemplo) y
así los permisos sobre los otros usuarios (ver código).
Irónicamente el comportamiento del módulo de vfat para linux es lo que
necesito. Cuando un usuario hace chmod sobre los archivos que le
pertenecen la llamada de sistema falla.
Post by Nycko
Suerte
Fijate por favor estás respondiendo con top posting, tal vez sea tu teléfono.
Ups, si, es mí teléfono. Ya vi como responder sin hacer top posting.

Tengo un recurso compartido y la forma que encontré para resolver problemas
similares fue usando acl y hasta ahora no tengo problemas y cubre todas las
formas que necesito.
Boris Quiroz
2012-07-09 15:15:20 UTC
Permalink
Post by MAbeeTT
Post by MAbeeTT
Post by Nycko
Probaste los permisos by default de acl? setfacl -d ...
El problema son las máscaras Texto de
http://www.suse.de/~agruen/acl/linux-acls/online/#tab:masking
"permissions in entries that are a member of the group class which are
also present in the mask entry are effective. Permissions that are
absent in the mask entry are masked and thus do not take effect. See
Table 2."
Cuando un usuario hace chmod g-rw afecta la máscara (ver ejemplo) y
así los permisos sobre los otros usuarios (ver código).
Irónicamente el comportamiento del módulo de vfat para linux es lo que
necesito. Cuando un usuario hace chmod sobre los archivos que le
pertenecen la llamada de sistema falla.
Post by Nycko
Suerte
Fijate por favor estás respondiendo con top posting, tal vez sea tu
teléfono.
Ups, si, es mí teléfono. Ya vi como responder sin hacer top posting.
#n00b
:D
Post by MAbeeTT
Tengo un recurso compartido y la forma que encontré para resolver problemas
similares fue usando acl y hasta ahora no tengo problemas y cubre todas las
formas que necesito.
--
http://boris.insert-coin.org
AADB 52A9 8C6B 1C73 D0C4 570E 952C 2DC1 D1D0 A4E7
gpg --keyserver pgp.mit.edu --recv-key D1D0A4E7
Nycko
2012-07-09 15:17:13 UTC
Permalink
Post by MAbeeTT
Post by MAbeeTT
Post by Nycko
Probaste los permisos by default de acl? setfacl -d ...
El problema son las máscaras Texto de
http://www.suse.de/~agruen/acl/linux-acls/online/#tab:masking
"permissions in entries that are a member of the group class which are
also present in the mask entry are effective. Permissions that are
absent in the mask entry are masked and thus do not take effect. See
Table 2."
Cuando un usuario hace chmod g-rw afecta la máscara (ver ejemplo) y
así los permisos sobre los otros usuarios (ver código).
Irónicamente el comportamiento del módulo de vfat para linux es lo que
necesito. Cuando un usuario hace chmod sobre los archivos que le
pertenecen la llamada de sistema falla.
Post by Nycko
Suerte
Fijate por favor estás respondiendo con top posting, tal vez sea tu
teléfono.
Ups, si, es mí teléfono. Ya vi como responder sin hacer top posting.
#n00b
:D
Al tiro el wn.
Boris Quiroz
2012-07-09 15:19:42 UTC
Permalink
Post by Nycko
Post by MAbeeTT
Post by MAbeeTT
Post by Nycko
Probaste los permisos by default de acl? setfacl -d ...
El problema son las máscaras Texto de
http://www.suse.de/~agruen/acl/linux-acls/online/#tab:masking
"permissions in entries that are a member of the group class which are
also present in the mask entry are effective. Permissions that are
absent in the mask entry are masked and thus do not take effect. See
Table 2."
Cuando un usuario hace chmod g-rw afecta la máscara (ver ejemplo) y
así los permisos sobre los otros usuarios (ver código).
Irónicamente el comportamiento del módulo de vfat para linux es lo que
necesito. Cuando un usuario hace chmod sobre los archivos que le
pertenecen la llamada de sistema falla.
Post by Nycko
Suerte
Fijate por favor estás respondiendo con top posting, tal vez sea tu
teléfono.
Ups, si, es mí teléfono. Ya vi como responder sin hacer top posting.
#n00b
:D
Al tiro el wn.
que responda así de rápido quiere decir que al menos alguien lee! :P
--
http://boris.insert-coin.org
AADB 52A9 8C6B 1C73 D0C4 570E 952C 2DC1 D1D0 A4E7
gpg --keyserver pgp.mit.edu --recv-key D1D0A4E7
Lucas Nogueron
2012-07-09 01:50:41 UTC
Permalink
Post by MAbeeTT
Ahora tengo otro escenario en el que aparentemente ACL no me sirve.
Si el usuario con permisos crea un archivo y modifica los permisos de
grupo afecta a la máscara (mask) del archivo, y los permisos para los
otros usuarios quedan cancelados por la máscara.
No creo que ningún BOFH haya pasador por esto, debe haber una solución...
Gracias,
###########
###########
###########
cat: testingacl/invitado: Permiso denegado
# file: testingacl/invitado
# owner: invitado
# group: matias
user::rw-
user:invitado:rw- #effective:---
group::rwx #effective:---
group:grupin:rw- #effective:---
mask::---
other::r--
¿Has leído algo sobre los permisos especiales? . Capaz que te sirva:

http://rm-rf.es/permisos-especiales-setuid-setgid-sticky-bit/

Saludos.
--
"Si no fuera por C, estaríamos escribiendo programas en BASI, PASAL, y OBOL."

Luxas
MAbeeTT
2012-07-09 15:16:45 UTC
Permalink
Post by Lucas Nogueron
Post by MAbeeTT
Ahora tengo otro escenario en el que aparentemente ACL no me sirve.
Si el usuario con permisos crea un archivo y modifica los permisos de
grupo afecta a la máscara (mask) del archivo, y los permisos para los
otros usuarios quedan cancelados por la máscara.
No creo que ningún BOFH haya pasador por esto, debe haber una solución...
Gracias,
###########
###########
###########
cat: testingacl/invitado: Permiso denegado
# file: testingacl/invitado
# owner: invitado
# group: matias
user::rw-
user:invitado:rw- #effective:---
group::rwx #effective:---
group:grupin:rw- #effective:---
mask::---
other::r--
http://rm-rf.es/permisos-especiales-setuid-setgid-sticky-bit/
Si el usuario crea un archivo en un directorio con setgid queda con
grupo del directorio, bien. Si a continuación el usuario hace chmod
g+rw los usuarios del grupo no tienen permiso de lectura.

:(
Post by Lucas Nogueron
Saludos.
--
"Si no fuera por C, estaríamos escribiendo programas en BASI, PASAL, y OBOL."
Luxas
--
.::MAbeeTT::.

mabeett [at] gmail [ dot] com
Leandro Lucarella
2012-07-10 12:37:41 UTC
Permalink
Post by MAbeeTT
Post by Lucas Nogueron
http://rm-rf.es/permisos-especiales-setuid-setgid-sticky-bit/
Si el usuario crea un archivo en un directorio con setgid queda con
grupo del directorio, bien. Si a continuación el usuario hace chmod
g+rw los usuarios del grupo no tienen permiso de lectura.
Qué usuarios más jodidos que tenés eh!

Tal vez es demasiado radical, pero podrías hacerte un fs con fuse que no
permita cambiar los permisos (en python debería salir bastante simple).
--
Leandro Lucarella (AKA luca) http://llucax.com.ar/
----------------------------------------------------------------------
GPG Key: 5F5A8D05 (F8CD F9A7 BF00 5431 4145 104C 949E BFB6 5F5A 8D05)
----------------------------------------------------------------------
Ladrón no es cualquiera, ladrón es quien usurpa el bien ajeno en
beneficio propio, si no, no.
-- Ricardo Vaporeso
Alejandro Vargas
2012-07-10 15:21:56 UTC
Permalink
Yo creo que ya debe existir, en otro mail comenté que lo usan en android 4
Post by Leandro Lucarella
Post by MAbeeTT
Post by Lucas Nogueron
http://rm-rf.es/permisos-especiales-setuid-setgid-sticky-bit/
Si el usuario crea un archivo en un directorio con setgid queda con
grupo del directorio, bien. Si a continuación el usuario hace chmod
g+rw los usuarios del grupo no tienen permiso de lectura.
Qué usuarios más jodidos que tenés eh!
Tal vez es demasiado radical, pero podrías hacerte un fs con fuse que no
permita cambiar los permisos (en python debería salir bastante simple).
--
Leandro Lucarella (AKA luca) http://llucax.com.ar/
----------------------------------------------------------------------
GPG Key: 5F5A8D05 (F8CD F9A7 BF00 5431 4145 104C 949E BFB6 5F5A 8D05)
----------------------------------------------------------------------
Ladrón no es cualquiera, ladrón es quien usurpa el bien ajeno en
beneficio propio, si no, no.
-- Ricardo Vaporeso
MAbeeTT
2012-07-13 01:20:37 UTC
Permalink
Post by Leandro Lucarella
Post by MAbeeTT
Post by Lucas Nogueron
http://rm-rf.es/permisos-especiales-setuid-setgid-sticky-bit/
Si el usuario crea un archivo en un directorio con setgid queda con
grupo del directorio, bien. Si a continuación el usuario hace chmod
g+rw los usuarios del grupo no tienen permiso de lectura.
Qué usuarios más jodidos que tenés eh!
En realidad el tema viene por el uso que le he dado a VirtualBox para
una computadora de escritorio. Cada usuario tiene una máquina virtual
común (hay un slink al directorio de la máquina en cada ~/VirtualBox
VMs/).

Cuando apagan la máquina virtual. El gracioso de VBox hace chmod
og-rwx en los archivos. La sucia solución que encontré fue cron.
Cuando apareció otro problema de permisos para que que cron+chmod iba
a ser una carga grande para el sistema (más de 20G en archivos de
5Mbytes) me acordé de este otro.
Post by Leandro Lucarella
Tal vez es demasiado radical, pero podrías hacerte un fs con fuse que no
permita cambiar los permisos (en python debería salir bastante simple).
Me hasta ahora parece lo más apropiado. Debería leer un poco de fuse,
para poder contarles si se ajusta.
Post by Leandro Lucarella
--
Leandro Lucarella (AKA luca) http://llucax.com.ar/
----------------------------------------------------------------------
GPG Key: 5F5A8D05 (F8CD F9A7 BF00 5431 4145 104C 949E BFB6 5F5A 8D05)
----------------------------------------------------------------------
Ladrón no es cualquiera, ladrón es quien usurpa el bien ajeno en
beneficio propio, si no, no.
-- Ricardo Vaporeso
--
.::MAbeeTT::.

mabeett [at] gmail [ dot] com
Alejandro Vargas
2012-07-28 07:01:56 UTC
Permalink
Entonces hace un hard link en lu de un symlink, asicada junten sus propios
permisos.
Post by MAbeeTT
Post by Leandro Lucarella
Post by MAbeeTT
Post by Lucas Nogueron
http://rm-rf.es/permisos-especiales-setuid-setgid-sticky-bit/
Si el usuario crea un archivo en un directorio con setgid queda con
grupo del directorio, bien. Si a continuación el usuario hace chmod
g+rw los usuarios del grupo no tienen permiso de lectura.
Qué usuarios más jodidos que tenés eh!
En realidad el tema viene por el uso que le he dado a VirtualBox para
una computadora de escritorio. Cada usuario tiene una máquina virtual
común (hay un slink al directorio de la máquina en cada ~/VirtualBox
VMs/).
Cuando apagan la máquina virtual. El gracioso de VBox hace chmod
og-rwx en los archivos. La sucia solución que encontré fue cron.
Cuando apareció otro problema de permisos para que que cron+chmod iba
a ser una carga grande para el sistema (más de 20G en archivos de
5Mbytes) me acordé de este otro.
Post by Leandro Lucarella
Tal vez es demasiado radical, pero podrías hacerte un fs con fuse que no
permita cambiar los permisos (en python debería salir bastante simple).
Me hasta ahora parece lo más apropiado. Debería leer un poco de fuse,
para poder contarles si se ajusta.
Post by Leandro Lucarella
--
Leandro Lucarella (AKA luca) http://llucax.com.ar/
----------------------------------------------------------------------
GPG Key: 5F5A8D05 (F8CD F9A7 BF00 5431 4145 104C 949E BFB6 5F5A 8D05)
----------------------------------------------------------------------
Ladrón no es cualquiera, ladrón es quien usurpa el bien ajeno en
beneficio propio, si no, no.
-- Ricardo Vaporeso
--
.::MAbeeTT::.
mabeett [at] gmail [ dot] com
Rodrigo Campos
2012-07-13 04:19:37 UTC
Permalink
Post by MAbeeTT
Ahora tengo otro escenario en el que aparentemente ACL no me sirve.
Si el usuario con permisos crea un archivo y modifica los permisos de
grupo afecta a la máscara (mask) del archivo, y los permisos para los
otros usuarios quedan cancelados por la máscara.
No creo que ningún BOFH haya pasador por esto, debe haber una solución...
No podés forzar a que él no sea el owner ? Que el owner sea otro (root, nobody,
lo que sea). De esa forma no va a poder cambiar los permisos del grupo como
mostras, o entiendo mal ?





Saludos,
Rodrigo
Loading...