การตั้งค่าสิทธิ์เริ่มต้นสำหรับไฟล์ที่สร้างขึ้นใหม่และไดเร็กทอรีย่อยภายใต้ไดเร็กทอรีใน Linux?

ฉันมีสคริปต์และแอพพลิเคชั่นที่ใช้งานได้ยาวนานจำนวนมากที่จัดเก็บผลลัพธ์ผลลัพธ์ในไดเร็กทอรีที่แชร์ระหว่างผู้ใช้บางคน ฉันต้องการวิธีตรวจสอบให้แน่ใจว่าทุกไฟล์และไดเร็กทอรีที่สร้างขึ้นภายใต้ไดเร็กทอรีที่แชร์นี้มีu=rwxg=rwxo=rสิทธิ์โดยอัตโนมัติ

ฉันรู้ว่าฉันสามารถใช้umask 006ในการปิดสคริปต์ต่างๆของฉันได้ แต่ฉันไม่ชอบวิธีการนั้นเนื่องจากผู้ใช้หลายคนเขียนสคริปต์ของตัวเองและอาจลืมตั้งค่า umask ด้วยตัวเอง

ฉันแค่ต้องการให้ระบบไฟล์ตั้งค่าไฟล์และไดเร็กทอรีที่สร้างขึ้นใหม่โดยได้รับอนุญาตบางอย่างหากอยู่ในโฟลเดอร์ใดโฟลเดอร์หนึ่ง เป็นไปได้หรือไม่

อัปเดต : ฉันคิดว่ามันสามารถทำได้ด้วยPOSIX ACLโดยใช้ฟังก์ชันเริ่มต้น ACL แต่ตอนนี้ฉันอยู่เหนือหัวไปหน่อย หากใครสามารถอธิบายวิธีใช้ ACL เริ่มต้นได้ก็คงจะตอบคำถามนี้ได้ดี

เพื่อให้ได้ความเป็นเจ้าของที่ถูกต้องคุณสามารถตั้งค่าบิต setuid ของกลุ่มบนไดเร็กทอรีด้วย

chmod g+rwxs dirname

เพื่อให้แน่ใจว่าไฟล์ที่สร้างในไดเร็กทอรีเป็นของกลุ่ม จากนั้นคุณควรตรวจสอบให้แน่ใจว่าทุกคนทำงานด้วย umask 002 หรือ 007 หรืออะไรบางอย่างในลักษณะนั้น - นี่คือสาเหตุที่ Debian และระบบ linux อื่น ๆ จำนวนมากได้รับการกำหนดค่าด้วยกลุ่มต่อผู้ใช้ตามค่าเริ่มต้น

ฉันไม่รู้วิธีบังคับใช้สิทธิ์ที่คุณต้องการหาก umask ของผู้ใช้แรงเกินไป

นี่คือวิธีดำเนินการโดยใช้ ACL เริ่มต้นอย่างน้อยก็ใน Linux

ขั้นแรกคุณอาจต้องเปิดใช้งานการสนับสนุน ACL บนระบบไฟล์ของคุณ หากคุณใช้ ext4 แสดงว่าเปิดใช้งานแล้ว ระบบไฟล์อื่น ๆ (เช่น ext3) จำเป็นต้องติดตั้งด้วยaclตัวเลือก ในกรณีนั้นให้เพิ่มตัวเลือกใน/etc/fstabไฟล์. ตัวอย่างเช่นหากไดเร็กทอรีอยู่บนระบบไฟล์รูทของคุณ:

/dev/mapper/qz-root   /    ext3    errors=remount-ro,acl   0  1

จากนั้นนับใหม่:

mount -oremount /

ตอนนี้ใช้คำสั่งต่อไปนี้เพื่อตั้งค่า ACL เริ่มต้น:

setfacl -dm u::rwx,g::rwx,o::r /shared/directory

ไฟล์ใหม่ทั้งหมดใน/shared/directoryตอนนี้ควรได้รับสิทธิ์ที่ต้องการ แน่นอนว่ามันขึ้นอยู่กับแอปพลิเคชันที่สร้างไฟล์ด้วย ตัวอย่างเช่นไฟล์ส่วนใหญ่จะไม่สามารถเรียกใช้งานได้โดยทุกคนตั้งแต่เริ่มต้น (ขึ้นอยู่กับอาร์กิวเมนต์โหมดไปจนถึงการเรียกแบบเปิด (2) หรือ creat (2) เช่นเดียวกับเมื่อใช้ umask สาธารณูปโภคบางคนชอบcp, tarและrsyncจะพยายามที่จะรักษาสิทธิ์ของไฟล์ที่มา (s) ซึ่งจะหน้ากากออกเริ่มต้นของคุณ ACL ถ้าแฟ้มแหล่งที่มาไม่ได้เป็นกลุ่มที่สามารถเขียนได้

หวังว่านี่จะช่วยได้!

มันน่าเกลียด แต่คุณสามารถใช้คำสั่ง setfacl เพื่อบรรลุสิ่งที่คุณต้องการได้

ในเครื่อง Solaris ฉันมีไฟล์ที่มี acls สำหรับผู้ใช้และกลุ่ม น่าเสียดายที่คุณต้องแสดงรายชื่อผู้ใช้ทั้งหมด (อย่างน้อยฉันก็ไม่พบวิธีที่จะทำให้มันใช้งานได้):

user::rwx
user:user_a:rwx
user:user_b:rwx
...
group::rwx
mask:rwx
other:r-x
default:user:user_a:rwx
default:user:user_b:rwx
....
default:group::rwx
default:user::rwx
default:mask:rwx
default:other:r-x

ตั้งชื่อไฟล์ acl.lst และกรอกชื่อผู้ใช้จริงของคุณแทน user_X

ตอนนี้คุณสามารถตั้งค่า acls เหล่านั้นบนไดเร็กทอรีของคุณได้โดยใช้คำสั่งต่อไปนี้:

setfacl -f acl.lst /your/dir/here

ในเชลล์สคริปต์ของคุณ (หรือ.bashrc) คุณอาจใช้บางสิ่งเช่น:

umask 022

umask เป็นคำสั่งที่กำหนดการตั้งค่าของมาสก์ที่ควบคุมวิธีตั้งค่าสิทธิ์ของไฟล์สำหรับไฟล์ที่สร้างขึ้นใหม่