Problème d'ACL POSIX avec un repertoire "partagé"

Le
Julien Demange
Bonjour,

l'affaire ce passe sur un serveur de fichier debian avec Samba
lenny :
linux : 2.6.26-2-amd64
samba : 3.2.5
getfacl : 2.2.47
système de fichier : ext3 (rw,usrquota,grpquota,acl)

Nous avons un répertoire dit "tunnel" qui a pour vocation de permettre
tout utilisateurs de passer un(des) fichier(s) à d'autres utilisateurs,
peu importe le groupe dont fait partie l'envoyeur ou le(s) destinataire(s).
Ce répertoire est donc en lecture/écriture, les fichiers et sous
répertoire qu'il contient devrait l'être aussi.
Sauf que ça ne ce passe pas comme nous voudrions. Certes j'ai réussis à
ce qu'à la création d'un fichier il soit en rw pour tous, mais quand il
s'agit de déplacer un fichier d'un autre répertoire, il conserve ces
anciens droits d'accès ce qui pose problème.

Je pensais avoir trouvé la parade avec le SetGID bit sur le répertoire,
et en attribuant le répertoire a un groupe dont tous le monde fait
partie. Mais là, encore ça ne fonctionnement pas comme j'aimerais, et là
je craque.
En fait, je soupçonne même un bug du noyau ou du système de fichier
quand j'ai regardé de plus près :

%<
./tunnel# ls -al
drwxrwsrwx+ 4 root utilisateurs 4096 déc 17 11:06 .
drwxrwsr-x+ 11 root root 4096 déc 14 16:38 ..
-rw-rwx+ 1 root utilisateurs 5194 déc 17 10:59 tb.zip

./tunnel# cp tb.zip tb2.zip

./tunnel# ls -al
drwxrwsrwx+ 4 root utilisateurs 4096 déc 17 11:06 .
drwxrwsr-x+ 11 root root 4096 déc 14 16:38 ..
-rw-rwx+ 1 root utilisateurs 5194 déc 17 11:06 tb2.zip
-rw-rwx+ 1 root utilisateurs 5194 déc 17 10:59 tb.zip

./tunnel# getfacl . tb.zip tb2.zip
# file: .
# owner: root
# group: utilisateurs
user::rwx
group::rwx
mask::rwx
other::rwx
default:user::rwx
default:group::rwx
default:mask::rwx
default:other::rwx

# file: tb.zip
# owner: root
# group: utilisateurs
user::rw-
group:: << ???
mask::rwx
other::

# file: tb2.zip
# owner: root
# group: utilisateurs
user::rw-
group::rwx
mask::rwx
other::
%<

En fait, le fichier tb.zip a, avec "ls" un accès "rw" (comme prévu)
pour le groupe, mais dans les acl il n'a aucun droit pour le groupes
propriétaire. Ce qui me semble anormal.


En tout état de cause, y a-t-il une façon de permettre à un fichier
arrivant dans un répertoire afin que, dans tous les cas, tout le monde
puisse lire et effacer ce fichier ?
Même les fichiers déplacés depuis le même FS ?


--
Amicalement,
Julien (julien.demange@remiremont.fr)


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Gilles Mocellin
Le #20790561
--qMm9M+Fa2AknHoGS
Content-Type: text/plain; charset=iso-8859-1
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

On Thu, Dec 17, 2009 at 04:52:45PM +0100, Julien Demange wrote:
Bonjour,



[...]
# file: tb.zip
# owner: root
# group: utilisateurs
user::rw-
group::--- <<=== ???
mask::rwx
other::---

# file: tb2.zip
# owner: root
# group: utilisateurs
user::rw-
group::rwx
mask::rwx
other::---
------%<---------------------

En fait, le fichier tb.zip a, avec "ls" un accès "rw" (comme prévu)
pour le groupe, mais dans les acl il n'a aucun droit pour le groupes
propriétaire. Ce qui me semble anormal.

En tout état de cause, y a-t-il une façon de permettre à un fichier
arrivant dans un répertoire afin que, dans tous les cas, tout le monde
puisse lire et effacer ce fichier ?
Même les fichiers déplacés depuis le même FS ?



Quels sont les droits ACL par default du répertoire parent ?
Car plutôt qe un sgid bit, avec les ACLs, je préconniserais plutôt
d'utilser une ACL par default.

On devrait avoir un truc comme ça sur le répertoire parent :
default::group::rwx
Avec le group propriétaire utilisateurs.

--qMm9M+Fa2AknHoGS
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: Digital signature
Content-Disposition: inline

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (GNU/Linux)

iEYEARECAAYFAksqneMACgkQDltnDmLJYdCItgCg0Xla/QQ1HBwbwjTqA8GlVJpa
SOAAoIz9mGgPAeHlqHAOtQbLv2q1we39
=wt+e
-----END PGP SIGNATURE-----

--qMm9M+Fa2AknHoGS--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Julien Demange
Le #20791461
Le 17 décembre 2009 22:08, Gilles Mocellin
Bonjour,





En fait, le fichier tb.zip a, avec "ls"  un accès "rw" (comme prév u)
pour le groupe, mais dans les acl il n'a aucun droit pour le groupes
propriétaire. Ce qui me semble anormal.

En tout état de cause, y a-t-il une façon de permettre à un fichie r
arrivant dans un répertoire afin que, dans tous les cas, tout le monde
puisse lire et effacer ce fichier ?
Même les fichiers déplacés depuis le même FS ?



Quels sont les droits ACL par default du répertoire parent ?
Car plutôt qe un sgid bit, avec les ACLs, je préconniserais plutôt
d'utilser une ACL par default.



aheum, ben si on parle bien du même rép :
# file: .
# owner: root
# group: utilisateurs
user::rwx
group::rwx
mask::rwx
other::rwx
default:user::rwx
default:group::rwx
default:mask::rwx
default:other::rwx


On devrait avoir un truc comme ça sur le répertoire parent :
default::group::rwx
Avec le group propriétaire utilisateurs.



Ce qu'il me semble bien avoir.
auparavant, je n'avais que ça, je veux dire pas de sgid bit.
Par contre, le groupe n'était pas utilisateurs, mais root
Mais, other a aussi rwx en default .

Ca fonctionne très bien pour un fichier créé (copier d'un autre fs).
Mais pas en cas de déplacement depuis un autre répertoire. Dans ce
dernier cas, fichier conservait ses droits initiaux (ce qui est somme
toute logique, mais très gênant).

J'ai utilisé le sgid bit à ce moment. mais il y cette espèce de bug o ù
il y a "rwx" d'afficher avec 'ls' mais "group::---" avec getfacl qui
m'a amené a vous envoyer ce mail...


--
Julien

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Publicité
Poster une réponse
Anonyme