Comments | ru_linux: Непонятности с ACL

3apa3a_b_ta3e in ru_linux

Непонятности с ACL

Nov 20, 2015 14:57

Стало надо погибче настроить доступ к fs в Debian`е. Почитал про ACL, установил, настроил по мануалу. Сделал remount для нужного раздела, dmesg говорит:

EXT4-fs (sda1): re-mounted. Opts: errors=remount-ro,acl

getfacl и setfacl отрабатывают нормально, не ругаются.

НО! По факту в выводе mount нет упоминания acl (и defaults тоже нет) и фактически ( Read more... )

debian, acl, mount

Comments 14

tzirechnoy November 20 2015, 12:28:56 UTC

А можэте тэстовый пример сэссии с проверкой acl набросать?

(а то вроде у меня на xfs всё работало).

3apa3a_b_ta3e November 20 2015, 12:45:43 UTC

В смысле?
Я становлюсь пользователем через su user, захожу в нужный каталог и пытаюсь создать ещё каталог через mkdir или файл через touch. Мне говорят - permission denied.

tzirechnoy November 20 2015, 13:08:54 UTC

Ну, скопипастьте сэссию с getfacl . от рута и от кого там su.

dikiy_mujchina November 20 2015, 13:23:38 UTC

а может у вас в ядре модуль acl выпилен по-умолчанию?
sda1 - это / ? дайте вывод /etc/fstab строки где прописан sda1.

3apa3a_b_ta3e November 23 2015, 07:13:08 UTC

а он же в debian`е ставится отдельно, нет? я сделал apt-get install acl, получил утилиты. Если бы модуля не было - утилиты бы тоже ругались.

prividen November 20 2015, 13:38:45 UTC

А в /proc/mounts что-нибудь видно?

3apa3a_b_ta3e November 23 2015, 07:11:34 UTC

А разве простой mount не оттуда данные читает?
Нет, там вывод аналогичный.

dil November 20 2015, 14:25:45 UTC

1) У ext3 и ext4 acl включён по умолчанию, см. tune2fs -l /dev/... | grep Default
Так что если он не нужен, его надо явно отключать опцией noacl.

2) что конкретно показывает getfacl? А то бывает, что дополнительные права есть, а маски не хватает, и в результате эти права не работают.

3apa3a_b_ta3e November 23 2015, 07:07:51 UTC

~getfacl /var/www/web/sites/sitename.ru/

getfacl: Removing leading '/' from absolute path names
# file: var/www/web/sites/sitename.ru/
# owner: www-data
# group: www-data
user::rwx
group::r-x
other::r-x
default:user::rwx
default:user:rznak:rwx
default:group::r-x
default:group:rznak:rwx
default:mask::rwx
default:other::r-x

вот этому самому rznak`у надо дать доступ на запись

dil November 23 2015, 22:07:18 UTC

Насколько я вижу, юзеру и группе rznak установили только дефолтовые права, которые будут наследоваться при создании поддиректорий и файлов. А на саму эту директорию они не распространяются, их надо указать явно (setfacl без -d):

setfacl -m u:rznak:rwx /var/www/web/sites/sitename.ru/
и если надо и для группы rznak, то
setfacl -m g:rznak:rwx /var/www/web/sites/sitename.ru/

После этого getfacl должен показать в списке
user:rznak:rwx
и
group:rznak:rwx

Вот тогда он и сможет туда писать.

3apa3a_b_ta3e November 24 2015, 10:54:00 UTC

Бинго!
Пардон, это я крупно затупил.

Thread 7