Mailinglist Archive: opensuse-es (1064 mails)

< Previous Next >
Re: [opensuse-es] Cada vez que un usuario crea o copia informacion, debo correr chmod -R... como puedo evitarlo...?
  • From: Juan Francisco <juanfco.ruiz@xxxxxxxxx>
  • Date: Fri, 3 Jul 2009 23:32:04 +0200
  • Message-id: <7d0366790907031432k14dfc3abj4fa4f6e2a1f40d91@xxxxxxxxxxxxxx>
Impresionante, de verdad.

Me parece muy buena tu idea para implementar la seguridad en Samba con
las ACLs ... Deberías publicarlo como un HOWTO o Cómo en la wiki de
OpenSuSE ( si no lo has hecho ya, claro ).

Saludos.


yo lo que hago es poner permisos en las carpetas a nivel de grupo, usando acls
y poner el grupo como sticky

no permito a los usuarios fijar permisos salvo, todos los permisos van por
funciones, creo grupos por funciones, y asigno los grupos a cada usuario, como
grupo principal el de su funcion de mayor jerarquia

te pongo aqui un extracto de un documento que cree como guia para implementar
esto


****************************************************************************



Estructura de Carpetas

La estructura sera la siguiente:

Ruta                                                            Funcion
/public                                                 Documentos y
Aplicaciones Empresa
/public/Aplicaciones                                    Aplicaciones Empresa
/public/Documentos/                             Documentos Empresa
/public/Documentos/Contabilidad         Departamentos
/public/Documentos/Informatica
/public/Documentos/..................

Dentro de la carpeta de cada departamento, este tendra total autonomia, aunque
nos podra pedir implementar seguridad por funciones a un nivel inferior. En
este caso, segiruiamos la misma operativa, cambiariamos los permisos de la
carpeta de nivel superior para que las funciones de mas bajo nivel solo
tuvieran capacidad de recorrido, y el grupo de mayor nivel sea el que puede
crear estructura. Para las subcarpetas por funciones, aplicariamos el mismo
criterio que aplicamos en las carpetas departamentales.

Permisos de /public

# file: public
# owner: root
# group: root
user::rwx
group::r-x
other::r-x

(permisos por defecto de puntos de montaje en el raiz, y sin uso de acl)

permisos de /public/Aplicaciones

drwxrws--- Aplicaciones (fijaros que tiene el grupo con set group id, herencia
de permisos)

# file: Aplicaciones
# owner: root
# group: admin
user::rwx
group::rwx
other::---

Permisos de /public/Documentos

drwxrws---+ Documentos

# file: Documentos
# owner: nobody
# group: nobody
user::rwx
group::---
group:users:r-x
group:Informatica:rwx
mask::rwx
other::---
default:user::---
default:user:Informatica:rwx
default:group::---
default:mask::rwx
default:other::---

permisos de las Carpetas de Departamentos /public/Documentos/Carpeta

drwxrws---+ Carpeta

# file: Carpeta
# owner: nobody
# group: Departamento
user::rwx
group::rwx
group:users:--x
group:Informatica:rwx
mask::rwx
other::---
default:user::rwx
default:group::rwx
default:group:users:--x
default:group:Informatica:rwx
default:mask::rwx
default:other::---

donde Carpeta es el nombre de la carpeta y departamento es el nombre del
departamento

Para fijar los permisos de las carpetas se procede como sigue:

se crea como administrador la carpeta con el comando mkdir Carpeta
se fijan los propietarios y permisos con los comandos siguientes.

chrown nobody.Departamento Carpeta
chmod u:+rwx Carpeta
chmod g:+rwxs Carpeta
chmod o:-rwx Carpeta
setfacl -m group::rwx Carpeta
setfacl -m default:group::rwx Carpeta
setfacl -m user::rwx Carpeta
setfacl -m default:user::rwx Carpeta
setfacl -m group:users:--x Carpeta
setfacl -m default:group:users:--x Carpeta
setfacl -m group:Informatica:rwx Carpeta
setfacl -m default:group:rwx Informatica Carpeta

Se puede utilizar en todos estos comandos el flag -R patra hacerlo recursivo

PRECAUCIONES:
No usar en la carpeta Documentos directamente, solo en sus subcarpetas, ya que
sino nos cargamos todos los permisos.
No usar en ninguna carpeta fuera de la jerarquia de /public/Documentos

******************************************************************

ademas de esto, puedes añadir mas grupos (funciones) a una carpeta de manera
similar a como añadimos el grupo Informatica o el users, pero con los permisos
adecuados. Tambien puedes usar enlaces simbolicos a documentos para permisos
de acceso especificos a un fichero en concreto dentro de una carpeta que sea
inaccesible para el usuario, por ejemplo.

tienes una carpeta A en la que el usuario tiene acceso, y una carpeta B en la
que el usuario no puede acceder, pero quieres que acceda a un documento o
subcarpeta especifica dentro de esta.

creas en A un enlace simbolico al documento o carpeta, y le das acceso ademas
al usuario al documento o carpeta en concreto, y el usuario podra acceder via
el enlace simbolico, y para el es transparente, es como si el fichero o
carpeta estuvieran realmente bajo la carpeta A, el windows ni se entera que es
un enlace simbolico.


por ultimo. consejo. maneja solo los permisos desde linux.

Suerte




--

Un saludo.

Carlos Lorenzo Matés

clmates AT mundo-r.com
--
Para dar de baja la suscripción, mande un mensaje a:
  opensuse-es+unsubscribe@xxxxxxxxxxxx
Para obtener el resto de direcciones-comando, mande
un mensaje a:
  opensuse-es+help@xxxxxxxxxxxx





--
¡AVISO IMPORTANTE! POR FAVOR, CUANDO REENVÍES ESTE CORREO TEN EN
CUENTA LOS SIGUIENTES PUNTOS:
1.- Borra la dirección del remitente, así como cualquier otra
dirección que aparezca en el cuerpo del mensaje.
2.- Protege las direcciones de los destinatarios colocando las mismas
en la línea CCO (CON COPIA OCULTA).
Combatir el SPAM es tarea de todos.
--
Para dar de baja la suscripción, mande un mensaje a:
opensuse-es+unsubscribe@xxxxxxxxxxxx
Para obtener el resto de direcciones-comando, mande
un mensaje a:
opensuse-es+help@xxxxxxxxxxxx

< Previous Next >