Tim Ritberg <t...@server.invalid>:
>Am 13.07.21 um 22:04 schrieb Helmut Waitzmann:
>>> Das ist nicht schlimm, so kann er weiteren Usern den Zugriff
>>> erlauben, was auch geplant war.
>>
>> Ich bin mir jetzt nicht sicher, ob ich mich unmissverständlich
>> ausgedrückt hatte: Unkooperatives Verhalten kann auch bedeuten,
>> dass ein Benutzer der 4. Gruppe den Benutzern der 3. Gruppe den
>> Zugriff verbietet. Solange die von einem Benutzer angelegten
>> Dateien oder Verzeichnisse ihm weiterhin gehören, kann er alle
>> Zugriffsrechte – auch die, die von Default‐ACLs stammen –
>> nachträglich ändern.
>
>Ähm ja...über Shell könnte er es wohl, aber nicht über Samba, wie
>es aussieht.
Mit Samba kenn' ich mich nicht genug aus, um das beurteilen zu
können.
>> Verstehe ich dich richtig? Das Verzeichnis «/srv/http» soll die
>> Gruppe «www-data» mit Set‐GId‐Bit erhalten? Das wirkt so ähnlich
>> wie Default‐ACLs und verhindert ebenso wenig unkooperatives
>> Verhalten wie Default‐ACLs. Im Gegensatz zu Default‐ACLs entmachtet
>> es zusätzlich nicht das file creation mask. Was ACLs mit dem file
>> creation mask anstellen, steht im Abschnitt «OBJECT CREATION AND
>> DEFAULT ACLs» des Handbuchs «acl(5)».
>Ich habe es bisher nicht anders geschafft, die Gruppe "Domain Users"
>anders auszusperren.
>Zusätzlich habe ich noch eine default acl "default:group:Domain
>Users:---". Die scheint aber nutzlos, wenn die Gruppe auf Domain
>Users steht.
Du müsstest noch «default:group::---» mit angeben.
>> Wenn unkooperatives Verhalten kein Problem ist (etwa, weil alle
>> kooperieren), genügen (Default‐) ACLs, um den Teilnehmern
>> kooperatives Verhalten zu erleichtern.
>Kooperation aber nur über die Gruppe 3, was so eine Art root light
>ist. Ich habe als root keine Lust, hier nachträglich Rechte
>vergeben zu müssen, soll jemand aus der Gruppe 3 machen.
Das wird nicht gehen: Die Zugriffsrechte eines Inodes kann
(traditionell) nur der Eigentümer oder «root» ändern. Solange ein
unkooperativer Benutzer der Gruppe 3 keinen Zugriff gewährt, hilft
es einem Nicht‐«root»‐Prozess nicht, Mitglied der Gruppe 3 zu sein:
Er kann trotzdem die Zugriffsrechte eines fremden Inodes nicht
ändern.
Außerdem: Nachträglich Rechte zu vergeben oder Eigentümerschaft zu
ändern, ist eine gefährliche Angelegenheit. Wenn man da nicht
verhindert, dass jemand mit einem Symlink‐Angriff «root» dazu
verführt, am falschen Inode die Zugriffsrechte oder die
Eigentümerschaft zu ändern, ist das gesamte System in Gefahr,
gekapert zu werden.
>Vielleicht muss ich doch einen bestimmten Teil von eibem
>Sudo-Script erledigen lassen.
Wenn man unkooperatives Verhalten vereiteln will, kommt man nicht
darum herum, auf irgend eine Weise einen sorgfältig beschränkten
Dienst anzubieten, der es von vorneherein verhindert, dass Benutzer
aus der Gruppe 4 Inodes unkooperative Zugriffsrechte verpassen.