การตั้งค่าชื่อผู้ใช้และกลุ่มเริ่มต้นสำหรับไฟล์ในไดเรกทอรี

ใช้โพสต์ที่เป็นประโยชน์นี้ฉันสามารถตั้งค่ากลุ่มเริ่มต้นและการอนุญาตไฟล์ในโฟลเดอร์

ฉันมีปัญหาในการตั้งค่าเจ้าของเริ่มต้น (ทีม uid 1234)

setfacl -d -m g::rwx /my/test/folder
setfacl -d -m o::rx /my/test/folder

getfacl /my/test/folder

# file: /my/test/folder
# owner: teamlead
# group: web_prod
# flags: -s-
user::rwx
group::r-x
other::r-x
default:user::rwx
default:group::rwx
default:other::r-x

ด้วยที่:

[mary@boxen]# touch /my/test/folder/somefile
[mary@boxen]# ll /my/test/folder/somefile
-rw-rw-r--. 1 mary web_prod 0 Nov  6 08:58 somefile

ดังนั้นกลุ่มที่ถูกต้องจะถูกกำหนด แต่ไฟล์ใหม่มีความเป็นเจ้าของของผู้ใช้ที่สร้างไฟล์ ฉันต้องการให้ไฟล์ที่สร้างขึ้นใหม่มี teamlead: web_prod เจ้าของ / กลุ่ม

ปรากฏว่าsetfaclสามารถใช้ตั้งค่าผู้ใช้เริ่มต้นได้เช่นกัน ด้วยโฟลเดอร์ acl config ที่มีอยู่ (ด้านบน):

[mary@boxen]# setfacl -d -m u:1234:rwx /my/test/folder

ตอนนี้เพื่อสร้างไฟล์เป็นผู้ใช้อื่น ฉันคาดหวังว่าจะมีการเป็นผู้นำทีม: ความเป็นเจ้าของ web_prod

[mary@boxen]# touch /my/test/folder/anotherfile
[mary@boxen]# ll /my/test/folder/anotherfile
-rw-rw-r--+ 1 mary web_prod 0 Nov  6 08:58 somefile

ไฟล์ใหม่ยังคงมีความเป็นเจ้าของในการสร้างไฟล์ไม่ใช่ uid 1234 (นำทีม)

สิ่งที่ฉันเป็นไปได้แม้หลังจากหรือเป็นวิธีที่ฉันจะผิดเกี่ยวกับเรื่องนี้?

ด้วย setfacl คุณสามารถตั้งค่าการอนุญาตเริ่มต้น แต่ไม่ใช่เจ้าของ / กลุ่มเริ่มต้นสำหรับไฟล์ที่สร้างขึ้นใหม่

ในการรับไฟล์ใหม่ให้เป็นของผู้ใช้เฉพาะคุณต้องมีบิต setuid ที่ใช้งานได้เช่นบิต setgid ในไดเรกทอรี น่าเสียดายที่ไม่มีการใช้งาน

ด้วย setfacl คุณสามารถทำบางสิ่งบางอย่างซึ่งเป็นเกือบเทียบเท่าในสถานการณ์ที่สุด: คุณสามารถตั้งค่า ACL default:user:teamlead:rwxเช่น ด้วยวิธีนี้ผู้ใช้ที่มีชื่อสามารถเขียนไฟล์ใหม่แม้ว่าคนอื่นจะเป็นเจ้าของไฟล์ก็ตาม

ไฟล์ใหม่จะถูกสร้างขึ้นเป็นของผู้ใช้ที่กระบวนการสร้างไฟล์นั้นทำงานอยู่เสมอ (ID ผู้ใช้ที่มีประสิทธิภาพที่จะแม่นยำ.) นี้ไม่สามารถเปลี่ยนแปลงได้เพราะช่วยให้ผู้ใช้ในการสร้างไฟล์ที่อยู่กับผู้ใช้งานอื่น ๆ ที่จะรักษาความปลอดภัยหลุมคล้ายกับช่วยให้ผู้ใช้ที่ไม่ใช่รากจะให้ออกไปไฟล์

ไม่ว่าคุณจะพยายามทำอะไรคุณไม่จำเป็นต้องทำเช่นนี้ ACL เพียงพอสำหรับการรับรองว่าอะไรก็ตามที่จะต้องอ่านไฟล์ในภายหลังจะมีสิทธิ์เพียงพอ ปล่อยให้ไฟล์เป็นของผู้ใช้ที่สร้างขึ้น

ถ้าคุณต้องการที่จะสร้างไฟล์ใหม่ด้วยกลุ่มใหม่คุณต้องเปลี่ยนกลุ่มหลัก

สำหรับสิ่งนี้คุณสามารถใช้usermodและพารามิเตอร์ -g

   -g, --gid GROUP
       The group name or number of the user's new initial login group. The group must exist.
       Any file from the user's home directory owned by the previous primary group of the user will be owned by this new group.
       The group ownership of files outside of the user's home directory must be fixed manually.

เช่น

test2@kinakuta:/tmp$ id
uid=1002(test2) gid=1002(test2) grupos=1002(test2),1003(testgroup)
test2@kinakuta:/tmp$ touch test2
test2@kinakuta:/tmp$ ls -la test2
-rw-r--r-- 1 test2 test2 0 nov 23 22:26 test2
root@kinakuta:/tmp# usermod -g testgroup test2
root@kinakuta:/tmp# su test2
test2@kinakuta:/tmp$ touch test2_1
test2@kinakuta:/tmp$ ls -la test2_1 
-rw-r--r-- 1 test2 testgroup 0 nov 23 22:27 test2_1

บน Linux คุณต้องมี sgid บนพาเรนต์หลักเพื่อรับกลุ่มสำหรับไฟล์ (แม้ว่าคุณไม่จำเป็นต้องใช้ sgid ในไดเรกทอรีบนระบบ BSD)