Posted By: jerryiii (Vsude dobre, v CR nejhur) on 'CZunix'
Title:     Re: File System Permissions
Date:      Thu Oct 20 22:02:33 2005

>  To si asi nerozumime - tato ACL samozrejme nastavis na tom adresari a bude
> se 
> to tedy tykat soubory vyrobenych v tom adresari.
>  Samzorejme mluvim o Posix ACL, nebot jsi nespecifikoval o jaky UNIX se
> jedna 
> a na tech "mainstreamovych" standardne jsou (Linux, FreeBSD, Solaris - no,
> tam 
> to sice nejsou primo Posix ACL, ale je to podobne). 

Jojo, ja si mezitim precet ACL HOWTO a doslo mi to :) defaultni ACL na 
adresari, pred tim (kdyz sem tohle psal) sem si myslel ze budou defaultni ACL 
pro uzivatele, jako je defaultni umask. 

Jinak tohle neni pro fileserver, ale pro web servery. ACL tam potrebuu na dve 
veci (a hodne nesouhlasim s tim ACL HOWTO ze do /var je ACL nesmysl):

* Na logy. Majitelem je service account, a nikdo s vyjimkou par lidi je nesmi 
cist a uz skoro nikdo je nesmi mazat. Tohle by teoreticky slo vyresit groupou, 
ale davat service ucty do groupy s lidma jen kvuli tomu aby mohli cist logy 
mi prijde trosku zbytecny. Namluve o tom je tam porad ten problem s maskou. S 
ACL proste nastavim slusnej defaultni acl a je vystarano. Jinak logy sou, kde 
jinde, ve /var/log/

* Na releasy. Ostry servery sou zabedneny jak to jde, vcetne toho ze nikdo 
krome roota nesmi prepisovat aplikacni soubory, vyvojari maj velice omezenej 
read-only access a kod tam dava dedikovana skupina lidi tim ze sudoujou 
skriptiky. A tady byl ten problem, ze kdyz nekdo vydal kod, pak se v nem 
nasla chyba bylo potreba vydat novej (pod stejnym jmenem) tak ten druhej 
clovek nemohl smazat tu predchozi instalaci, protoze ji predtim delal nekdo 
jinej a prava byly 600 :)

A jeste jedna vec - jde o POSIX ACL a nenasel sem tam dedicnost. Na NTFS muzu 
rict ze danej node bude mit ty ACL jako rodic, bez ohledu na to co ty ACL 
sou. Kdyz zmenim ACL na rodici tak se ta zmena projevi na tech nodech co 
dedej. Plus tam jde udelat ze muzu dedit + mit extra ACL. Na POSIX ACL mi 
prislo ze tohle nejde, ze kdyz zmenim ACL na adresari tak neni mozny aby se 
ta zmena promitla na souborech/adresarich co maj dedit, jediny co jde to 
zmenit s -R na celym stromu, ale pak bych mohl zmenit i ty co nechci dedit :) 

> >           Jerry III
> 
> ... tak takhle bych to asi pojal
>                                                       Podlesh
>                                                    the lost whiner

          Jerry III

Enough said ...
http://jerryiii.home.sprynet.com/mica/index.htm

Search the boards