1 votes

utiliser setfacl pour donner l'accès à un autre utilisateur sans donner l'accès à un groupe

J'ai un utilisateur que j'utilise pour la sauvegarde, et je me sers de setfacl pour donner à cet utilisateur l'accès aux fichiers. Cependant, setfacl modifie l'entrée ACL de base pour le groupe et certaines applications exigent que l'entrée ACL de base pour le groupe soit 0 (ni lecture, ni écriture, ni exécution). Existe-t-il un moyen de donner à l'utilisateur de sauvegarde un accès en lecture sans que les applications ne se fâchent ? Voici un exemple de la façon dont setfacl et les entrées ACL de base interfèrent :

user@host:/tmp$ umask 0077
user@host:/tmp$ touch a
user@host:/tmp$ ls -l a
-rw------- 1 user user 0 2012-02-01 16:28 a
user@host:/tmp$ setfacl -m u:nobody:rX a
user@host:/tmp$ ls -l a
-rw-r-----+ 1 user user 0 2012-02-01 16:28 a
user@host:/tmp$ chmod 600 a
user@host:/tmp$ getfacl a
user:nobody:r--                 #effective:---

EDIT : Je pourrais utiliser root comme utilisateur de sauvegarde, mais je ne pense pas que je devrais. J'utilise rsnapshot (en utilisant rsync (en utilisant ssh)) pour faire une sauvegarde sur un système distant, et je pense qu'il faudrait que j'autorise PermitRootLogin à ssh ou que je fasse de mon utilisateur de sauvegarde uid 0. De plus, j'aimerais que la sauvegarde soit automatisée, ce que je fais actuellement avec des clés ssh. Bien que cela ne me dérange pas que le système de sauvegarde ait un accès en lecture au système sauvegardé, cela me dérangerait qu'il ait un accès en écriture.

1voto

James Mertz Points 390

Non. Si une ACL POSIX est présente, les permissions du "groupe" Unix seront mappées sur l'ACL. mask:: qui définit les permissions maximales autorisées pour toutes les entrées ACL, afin de ne pas rompre la compatibilité avec les outils ne tenant pas compte des ACL. (Voir cette réponse sur ServerFault pour une explication détaillée).

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X