Problème avec les droits ACL et les groupes
Problème avec les droits ACL et les groupes - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 19-06-2017 à 16:06:03
tu as pu créer le repertoire "config" avec user1 ???
comment ne peux tu pas toucher ce qu'il y a dedans ?
et par contre selon le mask , user2 n'est pas censé pouvoir y toucher. parfois si ca depends , comme tu le sais , des droits.precisemment de l'umask qu'est associsé a user1
Message édité par sukhoigeorge le 19-06-2017 à 16:09:15
Marsh Posté le 19-06-2017 à 16:06:41
ls -la ../config please
Message édité par sukhoigeorge le 19-06-2017 à 16:08:08
Marsh Posté le 19-06-2017 à 16:21:00
Le répertoire config a bien été créé avec le user1
Ensuite, une "couche" sécurité est venue positionner les droits en r-xr-x--x puis les acl ont été modifiés pour permettre aux comptes du groupe groupe1 d'y accéder en lecture/écriture.
$> ls -lad config |
Les acl ont été modifiés avec :
/usr/bin/setfacl -m d:u:user1:rwx,g:groupe1:rwx $CONFIG_HOME/config |
Si je retire ces acl, les droits sur le répertoire sont ceux positionnés à l'origine
dr-xr-x--x+ 3 user1 groupe1 4096 Jun 19 15:54 config |
---------------
Achats/Ventes
Marsh Posté le 19-06-2017 à 17:04:13
je vois pas d'autorisation d'ecriture pour user1 sur ./config
c'est moitié curiosité moitié culture que je te dis ca . je ne serai pas l'expert qui te dira ou t'a merdé .
je vois juste une seconde couche de droit . la premiere t'interdisant d'ecrire. mais je vais suivre ton probleme.
le :
| Citation : $> touch config/test |
t'indique deja qu'il y a un probleme de permission.
un chmod u+rwx par exemple
Message édité par sukhoigeorge le 19-06-2017 à 17:12:02
Marsh Posté le 19-06-2017 à 17:25:01
ton user2 a des droit supplementaire . simple .
user1 n'a PAS les droit d'ecriture.
Marsh Posté le 19-06-2017 à 17:28:51
user1 et user2 ont les droits d'écriture au travers des ACL justement :
user1 via lui-même : default:user:user1:rwx
user2 via le groupe : group:group1:rwx
Enfin, ça, c'est la théorie.
Le chmod u+rwx n'est pas possible dans ma configuration, et c'est pourquoi je dois affiner les droits via les ACL.
---------------
Achats/Ventes
Marsh Posté le 19-06-2017 à 17:33:08
ok . ta des retour sur les log ?
Message édité par sukhoigeorge le 19-06-2017 à 17:35:33
Marsh Posté le 19-06-2017 à 17:36:50
ta pas oublié un -R pour inondé le repertoire de droit ? ce fameux . ?
"/usr/bin/setfacl -Rm d:u:user1:rwx,g:groupe1:rwx $CONFIG_HOME/config"
Message édité par sukhoigeorge le 19-06-2017 à 17:38:32
Marsh Posté le 19-06-2017 à 17:42:57
Reply
Marsh Posté le 19-06-2017 à 17:54:51
je recapitule :
ta pas acces a l'ecriture avec user1 , mais t'y a acces avec user2 ?
Marsh Posté le 19-06-2017 à 17:56:11
user2 c'est quoi le GID ? et user1 ?
Message édité par sukhoigeorge le 19-06-2017 à 17:56:43
Marsh Posté le 19-06-2017 à 18:07:11
je seche . mais ca m'interesse . frack . ta definis les droit par l'util. le GID prends 9K de valeur mais c'est logique.
Message édité par sukhoigeorge le 19-06-2017 à 18:09:00
Marsh Posté le 19-06-2017 à 18:20:12
m'interroge. faut pas relancer le service ? entre les changements de config ?
un petit kill -HUP $PID ferait pas l'affaire ? sinon tu signal 15 et relance ?
Message édité par sukhoigeorge le 19-06-2017 à 18:22:46
Marsh Posté le 20-06-2017 à 09:15:26
| sukhoigeorge a écrit : je recapitule : |
Affirmatif
| sukhoigeorge a écrit : user2 c'est quoi le GID ? et user1 ? |
Les 2 comptes ont le même GID : gid=10001(groupe1)
| sukhoigeorge a écrit : je seche . mais ca m'interesse . frack . ta definis les droit par l'util. le GID prends 9K de valeur mais c'est logique. |
Je définis les droits à la main. Je n'ai pas d'utilitaires étant sur une machine sécurisée avec le strict minimum nécessaire installé (base RHEL 7.2)
| sukhoigeorge a écrit : m'interroge. faut pas relancer le service ? entre les changements de config ? |
Euh, quel service ?
---------------
Achats/Ventes
Sujets relatifs:
- Problème d'upload sur serveur web debian
- Problème installation Ipcop
- Probléme Base de donnée sur un Debian 8.7 x64
- Problème de connexion sur un NAS avec OpenMediaVault
- Problème pour un client nomade de openvpn d'acceder aux postes du LAN
- [Resolus] Problème driver wireless Debian
- Problème d'envoi de mail depuis Thunderbird vers hotmail.com
- Problème avec Dropbox
- Newbie Linux : Installation Dropbox user comment ?
- LDAP + FusionDirectory + Téléphone Yealink = Problème
Marsh Posté le 19-06-2017 à 14:49:38
J'ai un problème avec les droits ACL et les goupes utilisateurs.
Voilà la contexte :
Je défini un répertoire config avec le compte user1 qui est membre du groupe groupe1
Je défini sur ce répertoire les ACL suivants:
$> getfacl config
# file: config
# owner: user1
# group: groupe1
user::r-x
group::r-x
group:group1:rwx
mask::rwx
other::--x
default:user::rwx
default:user:user1:rwx
default:group::r-x
default:mask::rwx
default:other::--x
Avec le compte user1, je ne peux pas créer de nouveau fichier dans config :
$> touch config/test
touch: cannot touch "config/test": Permission denied
Avec un nouvel utilisateur, user2 appartenant lui aussi au groupe groupe1, je peux créer un fichier dans config:
$>id
uid=10025(user2) gid=10001(groupe1) groups=10001(groupe1)
$>touch config/test
$>ls -l config/test
-rw-rw----+ 1 user2 groupe1 0 Jun 19 13:15 config/test
et :
$> getfacl config/test
# file: config/test
# owner: user2
# group: groupe1
user::rw-
user:user1:rwx #effective:rw-
group::r-x #effective:r--
mask::rw-
other::---
je ne vois pas ce que j'ai loupé
---------------
Achats/Ventes