Unter Samba: create mask = 2770 directory mask = 2770 Ansonsten: man chmod man chgrp man chusr ...oder in "Linux in a Nutshel" Seite 12ff. Ciao Fomtom

-----Original Message----- From: suse-linux-return-384072-thomas.zinner=web.de@suse.com [mailto:suse- linux-return-384072-thomas.zinner=web.de@suse.com] On Behalf Of Achim Schäfer Sent: Tuesday, October 10, 2006 4:47 PM To: suse-linux@suse.com Subject: [mailinglist] Re: Zugriffsrechte für (neue) Dateien und Verzeichnisse vorgeben.

Am Dienstag, 3. Oktober 2006 21:17 schrieb Achim Schäfer:

...

ich möchte gerne ein Verzeichnis so anlegen, dass alle Daten, die dort abgelegt werden, für eine Benutzergruppe automatisch lesbar sind. Evtl. sollen die Daten sogar auch schreibbar sein.

Ist dieses Problem wirklich so abwegig, dass niemand eine Lösung kennt?

Es muss doch auch woanders vorkommen, dass bestimmte Verzeichnisse immer für eine ganze Benutzergruppe les- und schreibbar sein sollen. Hat niemand eine Idee?

Gruß

Achim

-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com

Am Dienstag, 10. Oktober 2006 19:16 schrieb Achim Schäfer:

Um das noch mal klarzustellen: Ich möchte, dass jede Datei, die in dem besagten Verzeichnis angelegt wird, automatisch (und am besten sofort) für eine gegebene Gruppe les- und schreibbar ist.

chown benutzer:gruppe Verzeichnis -R (falls Unterverzeichnisse vorhanden sind. chmod 770 Verzeichnis. Wichtig ist IMHO, das "gruppe" die Default-Gruppe der betreffenden User ist, da sonst jede neue Datei mit der Gruppe "users" angelegt wird, was ja nicht in deinem Sinne sein dürfte. Dann sollte und dürfte es eigentlich keine Probleme geben. Sollten deine Wünsche weiter gehen, solltest Du dich mit den ACLs beschäftigen (setfacl)

Zu dem, was mir sonst noch dazu an (unzulänglichen) Lösungen eingefallen ist, verweise ich auf meine erste Mail.

Die konnte ich leider nicht lesen, da ich neu in der Liste bin. Gruß Burkhard

Nochmal meinereiner.... Nachdem ich statt "chown" "chusr" geschrieben habe.... (peinlich, peinlich... Ich habe noch 'mal kurz gesucht... Unter http://www.rz.uni-bayreuth.de/lehre//unix_rz/vorlesung/dateibaum/setuid.html steht... schnipp-schnapp ============================================================================ Setgid bei Directories Das Setgid-Bit bei Directories bewirkt, dass alle in diesem Directory neu angelegten Dateien und Unterverzeichnisse nicht der Gruppe, der der anlegende Prozess angehört, zugeordnet werden, sondern der Gruppe, zu der das Directory gehört. ============================================================================ Schnapp-schnipp Das sollte doch reichen. Ohne Klimmzüge! Ciao Fomtom

-----Original Message----- From: suse-linux-return-384076-thomas.zinner=web.de@suse.com [mailto:suse- linux-return-384076-thomas.zinner=web.de@suse.com] On Behalf Of Thomas Zinner Sent: Tuesday, October 10, 2006 6:14 PM To: 'Achim Schäfer'; suse-linux@suse.com Subject: [mailinglist] RE: [mailinglist] Re: Zugriffsrechte für (neue) Dateien und Verzeichnisse vorgeben.

Unter Samba: create mask = 2770 directory mask = 2770

Ansonsten: man chmod man chgrp man chusr

...oder in "Linux in a Nutshel" Seite 12ff.

Ciao Fomtom

...

-----Original Message----- From: suse-linux-return-384072-thomas.zinner=web.de@suse.com [mailto:suse- linux-return-384072-thomas.zinner=web.de@suse.com] On Behalf Of Achim Schäfer Sent: Tuesday, October 10, 2006 4:47 PM To: suse-linux@suse.com Subject: [mailinglist] Re: Zugriffsrechte für (neue) Dateien und Verzeichnisse vorgeben.

Am Dienstag, 3. Oktober 2006 21:17 schrieb Achim Schäfer:

...

ich möchte gerne ein Verzeichnis so anlegen, dass alle Daten, die dort abgelegt werden, für eine Benutzergruppe automatisch lesbar sind. Evtl. sollen die Daten sogar auch schreibbar sein.

Ist dieses Problem wirklich so abwegig, dass niemand eine Lösung kennt?

Es muss doch auch woanders vorkommen, dass bestimmte Verzeichnisse immer für eine ganze Benutzergruppe les- und schreibbar sein sollen. Hat niemand eine Idee?

Gruß

Achim

-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com

-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com

Hallo, Am Die, 10 Okt 2006, Achim Schäfer schrieb:

Am Dienstag, 3. Oktober 2006 21:17 schrieb Achim Schäfer:

...

ich möchte gerne ein Verzeichnis so anlegen, dass alle Daten, die dort abgelegt werden, für eine Benutzergruppe automatisch lesbar sind. Evtl. sollen die Daten sogar auch schreibbar sein.

Ist dieses Problem wirklich so abwegig, dass niemand eine Lösung kennt?

Es muss doch auch woanders vorkommen, dass bestimmte Verzeichnisse immer für eine ganze Benutzergruppe les- und schreibbar sein sollen. Hat niemand eine Idee?

umask. sgid Bit beim Verzeichnis. Mehr geht nur mit ACLs. -dnh -- Excerpt from a conversation with a friend, early in my unix odyssey: "So now I've got all these floppy-sized archive pieces, and I haven't been able to figure out what program I'm supposed to use to concat-- er, never mind." [void]

Hallo, Am Die, 10 Okt 2006, Achim Schäfer schrieb:

Am Dienstag, 10. Oktober 2006 17:38 schrieb David Haller:

...

...

Am Dienstag, 3. Oktober 2006 21:17 schrieb Achim Schäfer:

...

ich möchte gerne ein Verzeichnis so anlegen, dass alle Daten, die dort abgelegt werden, für eine Benutzergruppe automatisch lesbar sind. Evtl. sollen die Daten sogar auch schreibbar sein.

[...] umask

Das betrifft aber dann nicht nur ein Verzeichnis, oder?

Ja.

...

. sgid Bit beim Verzeichnis.

Hilft nicht gegen 'mv Verzeichnisbaum lesbaresVerzeichnis'.

Äh, doch. Wenn die User nicht im üebergeordneten Verzeichnis schreiben dürfen ;) Gegen cp hilft das aber prinzipbedingt nicht. cat /Verzeichnis/foo > foo Wer lesen kann, kann auch kopieren.

...

Mehr geht nur mit ACLs.

Wirklich so wie ich es gerne hätte? (siehe auch meine erste Mail)

Soweit ich weiss ja. Aber gegen's Lesen eben nicht.

Ich habe angefangen, mich einzulesen. Allerdings hatte ich es so verstanden, dass es auch nicht gegen 'mv Verzeichnisbaum lesbaresVerzeichnis' hilft.

Setz im Verzeichnis drüber die passenden Rechte.

Ich hätte die Lesbarkeit (und ggf. auch Schreibbarkeit) aber gerne auf jeden Fall unabhängig von der Art, wie ich dort Dateien und Verzeichnisse anlege.

s.o.

Falls Du mir bestätigst, dass das mit ACLs geht, nehme ich gerne Tipps entgegen, wo ich mich darüber einlesen kann.

Tut mir leid, ich habe hier nix mit ACLs ;) Ich weiß ungefähr was man damit machen kann und das war's auch schon. -dnh -- Eine kurze richtige Antwort (mancher mag sie als unfreundlich bezeichnen) ist besser als eine lange, freundliche, falsche. [Dirk H. Hohndel, SuSE]

Am Dienstag, 10. Oktober 2006 21:03 schrieb Sandy Drobic:

Michael Post wrote:

...

...

Eine entsprechend gemountete vfat Partition macht beinahe das, was ich will. Aber erstens gehen auch sonstige Dateiattribute verloren (z.B. der Besitzer der Datei) und zweitens habe ich nun mal keine Partition, sondern nur ein Verzeichnis.

Bei einer eingehängten Partition kann man entsprechende Optionen setzen (mode=xxx, umask=yyy).

Eine Partition ist das leider nicht. Es soll nur ein Verzeichnis werden.

Ich kenne mich mit NFS nicht viel aus. Vielleicht reicht es, ein Verzeichnis zu exportieren und mit den gewünschten Rechten zu mounten.

Das wäre noch eine Möglichkeit, die mir zumindest besser gefällt als Samba. Wie aufwändig (Rechenlast, Performance, ...) ist es denn wohl, ein lokales Verzeichnis per NFS zu mounten. Bisher nutze ich hier kein NFS und der Rechner ist nicht gerade schnell. Gruß Achim

Achim Schäfer frug:

Wie aufwändig (Rechenlast, Performance, ...) ist es denn wohl, ein lokales Verzeichnis per NFS zu mounten. Bisher nutze ich hier kein NFS und der Rechner ist nicht gerade schnell.

Ich habe das (aus ganz ähnlichen Gründen) auch mal gemacht. Das lief eigentlich recht flott, obwohl mein alter Laptop nur 800MHz hat. Gruß, Michael --    ____           / / / / /__/         Michael Höhne /  /   / / /  /   mih-hoehne@web.de / ___________________________________/

Hallo, Am Die, 10 Okt 2006, Sandy Drobic schrieb:

Michael Post wrote:

...

...

Eine entsprechend gemountete vfat Partition macht beinahe das, was ich will. Aber erstens gehen auch sonstige Dateiattribute verloren (z.B. der Besitzer der Datei) und zweitens habe ich nun mal keine Partition, sondern nur ein Verzeichnis.

Bei einer eingehängten Partition kann man entsprechende Optionen setzen (mode=xxx, umask=yyy). Ich kenne mich mit NFS nicht viel aus. Vielleicht reicht es, ein Verzeichnis zu exportieren und mit den gewünschten Rechten zu mounten.

mount --bind? -dnh -- I didn't know it was impossible when I did it.

Hallo, Am Mit, 11 Okt 2006, Martin Schröder schrieb:

2006/10/11, David Haller :

...

mount --bind?

Aus mount(8): Note that the filesystem mount options will remain the same as those on the original mount point, and cannot be changed by passing the -o option along with --bind/--rbind.

*hrumpfl* ;) In meiner Manpage steht das nicht drin und: # mkdir /tmp/home2 # mount -o umask=700,ro --bind /home/ /tmp/home2/ # mount | grep home /dev/hdc8 on /home type ext3 (rw) /home on /tmp/home2 type none (ro,bind,umask=700) # umask 027 # touch /tmp/home2/foo # ls -l /tmp/home2/foo -rw-r----- 1 root root 0 Oct 11 04:44 /tmp/home2/foo Da zeigt sich die Zufallssig im Nachhinein als zutreffend... -dnh -- Die Sourcen sind ja nachwievor dabei, und man kann ja auch via FTP nachinstallieren. Ich würde das somit eher als ISO-basierten Netzwerk-Installer mit etwas schlecht zusammengestelltem On-CD Cache betrachten... -- LMB zur "SuSE 9.1 Personal"

Am Dienstag, 17. Oktober 2006 00:00 schrieb Christian Boltz:

(sorry für die späte Antwort)

Kein Problem. Ich muss gerade sowieso erst mal andere Dinge erledigen.

Am Dienstag, 3. Oktober 2006 21:17 schrieb Achim Schäfer:

...

ich möchte gerne ein Verzeichnis so anlegen, dass alle Daten, die dort abgelegt werden, für eine Benutzergruppe automatisch lesbar sind. Evtl. sollen die Daten sogar auch schreibbar sein.

[...]

...

ACLs habe ich begonnen, mir anzusehen, aber dort scheint es die selbe Problematik zu geben.

ACLs können Dein Problem lösen.

Wirklich? Und was ist mit mv? (s.u.)

Nachdem hier einiges herumgerätselt wurde, empfehle ich einen Blick in die FAQ ;-)

    7.6. Was ist die umask? Wie kann ich sie festlegen?     http://suse-linux-faq.koehntopp.de/q/q-filesystems-umask.html

Auch wenn sich der Titel nicht ganz wie die Antwort auf Deine Frage anhört, bist Du dort goldrichtig ;-)

Danke für den Hinweis. Das was dort steht, war mir schon bekannt. Aber ich glaube immer noch, dass es nicht hilft, default ACLs zu setzen. Ich beschreibe jetzt noch mal, woher dieser Glaube kommt. Vielleicht kann jemand, der ACLs benutzt, das einfach mal ausprobieren? (Um das selbst zu probieren, müsste ich erst mal ACLs einführen. Geht das nachträglich über einen geänderten fstab Eintrag ohne Nebenwirkungen?) Ich habe 'man acl' gelesen. Dort steht unter "OBJECT CREATION AND DEFAULT ACLs" zunächst mal, dass die default ACL berücksichtigt wird "when the object is created with any of the creat(), mkdir(), mknod(), mkfifo(), or open() functions". Weiter unten steht aber: "The mv(1) utility always preserves ACLs." Also schein mv andere als die genannten Funktionen zu benutzen? Daraus folgere ich, dass beim Verschieben von Dateien (und Verzeichnissen) mit mv die default ACLs des Ziels *nicht* ausgewertet werden. Damit ist mir nicht gedient, weil ich mit mv eben doch Dateien erzeugen kann, die nicht allgemein lesbar sind. Ähnlich ist es mit dem sgid Bit. (Das habe ich ausprobiert.) Mit mv kann man in einem Verzeichnis mit gesetztem sgid-Bit dennoch Unterverzeichnisse mit anderer Gruppe erzeugen. Wenn Du selbst schon ACLs benutzt, würdest Du mir einen großen Gefallen tun, indem Du das einfach mal ausprobierst. Gruß Achim

Am Dienstag, 17. Oktober 2006 11:02 schrieb Burkhard Schichtel:

...

Und was ist mit mv? (s.u.)

Solange für das zu verschiebene Verzeichnis keine ACLs gesetzt sind, wüsste ich nicht, welche ACLs im Falle von mv erhalten bleiben sollten.

Und wenn doch, habe ich ein Problem. Genau diese Problem will ich umgehen.

Andernfalls: Warum müssem für das zu verschiebene Verzeichnis andere ACLs gesetzt werden, als für das künftige Zielverzeichnis, so das sich ein Problem ergeben könnte? Auch dies erschließt sich mir nicht.

Es muss gar nicht, kann aber.

OT: Ich verstehe die Problematik mit dem Verschieben eh nicht. Ich, als Anwender, würde mich bedanken, wenn Verzeichnisse "ständig" irgendwo anders liegen würden, als da wo ich ich sie bisher kannte.

Es geht mir darum, dass der Anwender selbst ein Verzeichnis verschiebt. Noch mal ganz konkret: Ich möchte ein Verzeichnis /home/gemeinsameDateien/ haben. (In der von Christian angesprochenen FAQ heisst das /home/austausch/.) Jeder Anwender soll dort Daten ablegen können, die *automatisch* für eine ganze Gruppe lesbar sind (ggf. auch schreibbar, das ist aber nicht so wichtig). Über folgende Situation denke ich nach: Ich habe als Anwender irgendwo Daten liegen, die mit beliebigen Rechten (und ACLs) ausgestattet sind. Jetzt entscheide ich, dass ich diese der ganzen Gruppe zur Verfügung stellen möchte. --> mv Daten /home/gemeinsameDateien/ Nach diesem mv möchte ich mich nicht mehr darum kümmern müssen, die Daten für die Gruppe lesbar zu machen. Es soll automatisch lesbar sein. Und zwar unabhängig davon, welche Rechte die Daten vorher hatten. Das ganze soll voll automatisch, für DAUs geeignet passieren. Außerdem geht es mir nicht nur um mv, sondern es soll ganz einfach unabhängig davon sein, auf welche Art ich die Daten in dem Verzeichnis /home/gemeinsameDateien/ anlege. Dazu auch noch ein Beispiel: Ich arbeite oft mit unterschiedlichen Gruppen, für die ich dann auch eigene umasks definiert habe. (z.B. Gruppe "geheim" -> umask 0007) Dennoch möchte ich aber, dass Dateien unter /home/gemeinsameDateien/ immer für alle lesbar sind. Egal, ob ich gerade unter der Gruppe "geheim" arbeite, und egal, auf welche Art und Weise ich die Daten in /home/gemeinsameDateien/ erzeuge. Ausführlicher kann ich das jetzt wirklich nicht mehr erklären. Warum speziell mv Probleme macht, habe ich in der Antwort auf Christians Mail beschrieben. Gruß Achim

Am Dienstag, 17. Oktober 2006 22:04 schrieb Manfred Tremmel:

[lange Problembeschreibung]

...

Daraus folgere ich, dass beim Verschieben von Dateien (und Verzeichnissen) mit mv die default ACLs des Ziels *nicht* ausgewertet werden. Damit ist mir nicht gedient, weil ich mit mv eben doch Dateien erzeugen kann, die nicht allgemein lesbar sind.

Mit mv kannst Du keine Daten erzeugen, Du kannst Dateien umbenennen oder einem anderen Speicherort zuweisen.

OK, "erzeugen" ist das falsche Wort. Jedenfalls bekomme ich damit an dem Ort, wo alles allgemein lesbar sein soll, dennoch Dateien, die nicht allgemein lesbar sind.

Wenn Jemand wirklich auf die Kommandozeile runterwechselt und Dateien mit mv verschiebt, dann sollte er eigentlich auch ein gewisses Grundwissen besitzen und sich der Tatsache bewusst sein.

Stimmt. Aber ich bin manchmal gerne bequem und außerdem vergesslich. Ich arbeite viel mit der Kommandozeile und möchte nicht immer daran denken müssen.

Wenn Du damit nicht leben kannst, wirst Du um ein periodisches laufendes chmod/chown nicht rum kommen.

Das ist die Aussage, die ich befürchtet (und erwartet) hatte. Dann kann ich mir das Ausprobieren sparen. Danke. Als Alternative bleibt mir dann wohl nur noch NFS. Gruß Achim