[Eisfair] [e64]: Gruppenverzeichnis Rechte (einschl. smb)
Rolf Bensch
azubi at bensch-net.de
Do Aug 15 15:39:27 CEST 2024
Hallo Marcus,
Am 15.08.24 um 12:44 schrieb Marcus Röckrath:
> Hallo Rolf,
>
> Rolf Bensch wrote:
>
>> ich stauchele gerade an eine Rechtevergabe für ein Gruppenverzeichnis.
>> Mitglieder der Linux-Gruppe sollen rwx-Zugriff auf ein Verzeichnis
>> erhalten, später dann auch über smb.
>>
>> Basis ist das /data-Verzeichnis:
>>
>> # mount | grep data
>> /dev/vda1 on /data type ext4 (rw,relatime)
>>
>> neues Verzeichnis erstellen:
>>
>> # mkdir /data/test
>> # chmod 770 /data/test
>> # chown markus:musik /data/test
>>
>> # ls -l /data | grep test
>> drwxrwx---+ 2 markus musik 4096 Aug 15 10:42 test
>>
>> soweit scheint alles in Ordnung - aber:
>>
>> # su - rolf
>>
>> Welcome to eisfair!
>> eisfair-base: 3.4.14
>> eiskernel : 5.15.161-eisfair-64-VIRT
>>
>> rolf at IBK-Server (~) > groups
>> users root sudo ibk musik
>>
>> Ich bin Mitglied der Gruppe "musik"
>>
>> rolf at IBK-Server (~) > cd /data/test
>> rolf at IBK-Server (test) > echo test >test.txt
>> -bash: test.txt: Permission denied
>>
>> Kann aber nicht in das Verzeichnis schreiben. Es gibt offensichtlich ACL
>> auf dem Verzeichnis:
>>
>> rolf at IBK-Server (test) > getfacl ..
>
> Wenn du in /data/test stehst, müsste sich "getfacl .." auf /data beziehen.
>
> Mach mal
>
> getfacl /data/test
# getfacl /data/test
getfacl: Removing leading '/' from absolute path names
# file: data/test
# owner: markus
# group: musik
user::rwx
user:492:r-x
group::r-x
mask::rwx
other::---
default:user::rwx
default:user:492:r-x
default:group::r-x
default:mask::r-x
default:other::r-x
>> # file: ..
>> # owner: markus
>> # group: root
>> user::rwx
>> user:492:r-x
>
> Wer ist der User 492?
Den gibt es hier nicht:
# grep 492 /etc/passwd
#
Ich finde lediglich noch eine Referenz in /etc/groups:
# grep 492 /etc/group
www:x:492:wwwrun
ohne dass ich das jetzt irgendwie zuordnen könnte.
>
>> group::r-x
>> group:musik:rwx
>> mask::rwx
>> other::rwx
>> default:user::rwx
>> default:user:492:r-x
>> default:group::r-x
>> default:mask::r-x
>> default:other::r-x
>>
>> "group musik" hat hier rwx-Rechte, dennoch kann ich nicht schreiben. Wo
>> ist mein Denkfehler?
>>
>> Naja, trotzdem ein Versuch via smb.
>
> Da smbfs/cifs davon abhängt, was im Linuxsystem erlaubt ist, sollten wir
> zunächst dieses ausklammern.
das sehe ich auch so.
>> Jetzt noch etwas das mir das mich ganz aus dem Konzept wirft: erstelle ich
>> das neue Verzeichnis unter /date/home/ (/home ist Link darauf),
>> funktioniert es wie es soll.
>
> Wie sieht in diesem Fall getfacl aus:
>
> getfacl /data/home/test
Gerade nochmals frisch getestet: ein neu angelegtes Verzeichnis /data/home/test2 erhält die gleichen Rechte wie /data/test. Ich hatte gestern vermutlich manuell ein "setfacl -m g:musik:rwx /data/home/test2/" ausgeführt. Darüber haben dann Mitglieder der Gruppe "musik" auch Schreibzugriff. Führe ich das auch auf /data/test aus, erhalte ich das gleiche Ergebnis - es funktioniert. Es gibt also keinen Unterschied zwischen /data und /data/home (sorry wg des Durcheinanders).
Es bleiben für mich aber 2 Fragen offen:
1. Ist es richtig, dass die ACL auch auf Shell-Ebene des Servers greifen? Ich finde es sehr verwirrend, wenn ich mich nicht mehr auf ein "ls -l" verlassen kann.
2. Wieso ist auf dem Server plötzlich ACL aktiv und wirksam. Auf meinen anderen Servern ist das nicht der Fall und bewusst aktiviert habe ich das nicht. Ist es möglich, dass man das über einen Windows-Client i.V.m. Samba aktivieren kann? Wie werde ich das wieder los? Auch wenn das ein (fast) reiner Fileserver ist, sehe ich aktuell keine Notwendigkeit für ACLs.
Grüße
Rolf
Mehr Informationen über die Mailingliste Eisfair