Posted By: jerryiii (Vsude dobre, v CR nejhur) on 'CZunix' Title: Re: File System Permissions Date: Thu Oct 20 22:02:33 2005 > To si asi nerozumime - tato ACL samozrejme nastavis na tom adresari a bude > se > to tedy tykat soubory vyrobenych v tom adresari. > Samzorejme mluvim o Posix ACL, nebot jsi nespecifikoval o jaky UNIX se > jedna > a na tech "mainstreamovych" standardne jsou (Linux, FreeBSD, Solaris - no, > tam > to sice nejsou primo Posix ACL, ale je to podobne). Jojo, ja si mezitim precet ACL HOWTO a doslo mi to :) defaultni ACL na adresari, pred tim (kdyz sem tohle psal) sem si myslel ze budou defaultni ACL pro uzivatele, jako je defaultni umask. Jinak tohle neni pro fileserver, ale pro web servery. ACL tam potrebuu na dve veci (a hodne nesouhlasim s tim ACL HOWTO ze do /var je ACL nesmysl): * Na logy. Majitelem je service account, a nikdo s vyjimkou par lidi je nesmi cist a uz skoro nikdo je nesmi mazat. Tohle by teoreticky slo vyresit groupou, ale davat service ucty do groupy s lidma jen kvuli tomu aby mohli cist logy mi prijde trosku zbytecny. Namluve o tom je tam porad ten problem s maskou. S ACL proste nastavim slusnej defaultni acl a je vystarano. Jinak logy sou, kde jinde, ve /var/log/ * Na releasy. Ostry servery sou zabedneny jak to jde, vcetne toho ze nikdo krome roota nesmi prepisovat aplikacni soubory, vyvojari maj velice omezenej read-only access a kod tam dava dedikovana skupina lidi tim ze sudoujou skriptiky. A tady byl ten problem, ze kdyz nekdo vydal kod, pak se v nem nasla chyba bylo potreba vydat novej (pod stejnym jmenem) tak ten druhej clovek nemohl smazat tu predchozi instalaci, protoze ji predtim delal nekdo jinej a prava byly 600 :) A jeste jedna vec - jde o POSIX ACL a nenasel sem tam dedicnost. Na NTFS muzu rict ze danej node bude mit ty ACL jako rodic, bez ohledu na to co ty ACL sou. Kdyz zmenim ACL na rodici tak se ta zmena projevi na tech nodech co dedej. Plus tam jde udelat ze muzu dedit + mit extra ACL. Na POSIX ACL mi prislo ze tohle nejde, ze kdyz zmenim ACL na adresari tak neni mozny aby se ta zmena promitla na souborech/adresarich co maj dedit, jediny co jde to zmenit s -R na celym stromu, ale pak bych mohl zmenit i ty co nechci dedit :) > > Jerry III > > ... tak takhle bych to asi pojal > Podlesh > the lost whiner Jerry III Enough said ... http://jerryiii.home.sprynet.com/mica/index.htm