[opensuse-es] Compartir directorio y subdirectorios en la misma máquina
Hola a tod@s: Le he dado vueltas toda la mañana al tema y no logro resolverlo, así que acudo a su experiencia/conocimiento: Tengo un directorio en el home de un usuario enjaulado para que solo pueda acceder por SFTP al servidor, ese usuario tiene propiedad sobre un directorio y puede leer y escribir en él. He creado otro usuario (también enjaulado y accede por SFTP) y necesito que éste usuario acceda al directorio ubicado en el home del usuario anteriormente mencionado, sólo para leer/visualizar el directorio mencionado anteriormente, y su contenido. Lo he intentado con enlaces al directorio y no me ha funcionado. He cambiado permisos al directorio y no me ha funcionado. He agregado un usuario al grupo del otro y no me ha funcionado. Quedo atento a sus comentarios/indicaciones/sugerencias. Cordialmente, Cuervo Linuxero -- No recibo/envío información elaborados en/para M$-Word, M$-Excel, M$-PowerPoint, M$-Outlook o formatos privativos similares. Le invito a leer mis razones: http://www.gnu.org/philosophy/no-word-attachments.es.html -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2010-06-03 a las 11:46 -0500, RŌNIN escribió:
Lo he intentado con enlaces al directorio y no me ha funcionado. He
Prueba enlaces duros. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAkwICNoACgkQtTMYHG2NR9VVyQCeMk5JZsbo753aB5KcRwLQjjVh 1usAn05Ncsn35RbRJDKRaCGebY3hoZRh =UdZn -----END PGP SIGNATURE-----
Hola a tod@s: El día 3 de junio de 2010 14:56, Carlos E. R. escribió:
Prueba enlaces duros.
Lo había intentado desde antes, pero aparece un mensaje: "no se permiten enlaces fuertes para directorios" :-( Cordialmente, Cuervo Linuxero -- No recibo/envío información elaborados en/para M$-Word, M$-Excel, M$-PowerPoint, M$-Outlook o formatos privativos similares. Le invito a leer mis razones: http://www.gnu.org/philosophy/no-word-attachments.es.html -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2010-06-03 a las 15:22 -0500, RŌNIN escribió:
El día 3 de junio de 2010 14:56, Carlos E. R. escribió:
Prueba enlaces duros.
Lo había intentado desde antes, pero aparece un mensaje: "no se permiten enlaces fuertes para directorios" :-(
No, fichero a fichero, con un script. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAkwIEAUACgkQtTMYHG2NR9VQ8wCfYwFJjrBH5eAi4CwDVEHVRc9u O3QAn0VYiNxguWRe+8M1imcEykt3Z1CI =rDaa -----END PGP SIGNATURE-----
Hola a tod@s: El día 3 de junio de 2010 15:26, Carlos E. R. escribió:
No, fichero a fichero, con un script.
Eso estaría bien para los archivos existentes ... pero ¿y si crean archivos nuevos, debo hacer lo mismo otra vez?. Cordialmente, Cuervo Linuxero -- No recibo/envío información elaborados en/para M$-Word, M$-Excel, M$-PowerPoint, M$-Outlook o formatos privativos similares. Le invito a leer mis razones: http://www.gnu.org/philosophy/no-word-attachments.es.html -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2010-06-03 a las 17:34 -0500, RŌNIN escribió:
Hola a tod@s:
El día 3 de junio de 2010 15:26, Carlos E. R. escribió:
No, fichero a fichero, con un script.
Eso estaría bien para los archivos existentes ... pero ¿y si crean archivos nuevos, debo hacer lo mismo otra vez?.
No recuerdo si este daemon permitía ejecutar un script cada vez que un usuario subía un fichero. Sé que algunos lo hacen porque el administrador debe revisar los ficheros que se suben antes de permitir que otros lo puedan bajar (por si es ilegal, pe). O leerte el manual del daemon para ver si hay algo que te sirva para compartir directorios enjaulados :-) - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAkwIQtMACgkQtTMYHG2NR9X1aACfVUQDtWt1fOoYsSzEETF/RZSU s4kAnAovy9JflJWbI6VJSQ0mdONxxxmA =1ZH7 -----END PGP SIGNATURE-----
Hola :) On Thursday 03 June 2010 18:46 RŌNIN wrote
Hola a tod@s:
Le he dado vueltas toda la ma�ana al tema y no logro resolverlo, as� que acudo a su experiencia/conocimiento:
Tengo un directorio en el home de un usuario enjaulado para que solo pueda acceder por SFTP al servidor, ese usuario tiene propiedad sobre un directorio y puede leer y escribir en �l.
He creado otro usuario (tambi�n enjaulado y accede por SFTP) y necesito que �ste usuario acceda al directorio ubicado en el home del usuario anteriormente mencionado, s�lo para leer/visualizar el directorio mencionado anteriormente, y su contenido.
¿Cómo los has "enjaulado"? ¿chroot, jail, máquina virtual? Puede que esté aquí el problema, revisa la configuración. Lo digo porque posiblemente la jaula de B impida acceder fuera de B (recordemos que A está fuera de B ;)
Lo he intentado con enlaces al directorio y no me ha funcionado. He cambiado permisos al directorio y no me ha funcionado. He agregado un usuario al grupo del otro y no me ha funcionado.
Quedo atento a sus comentarios/indicaciones/sugerencias.
Si el problema no es la "jaula", se me ocurren dos cosas: - ACLs - crear un tercer directorio que tenga: * permisos: 1770 * dueño: root * grupo: manicomio ;) * ambos usuarios pertenecen al mismo grupo manicomio * ambos usuarios tienen acceso a este directorio HTH Rafa -- "We cannot treat computers as Humans. Computers need love." Happily using KDE 4.4.3 :) -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Hola a tod@s: El día 4 de junio de 2010 05:45, Rafa Grimán escribió:
Hola :)
¿Cómo los has "enjaulado"? ¿chroot, jail, máquina virtual?
Puede que esté aquí el problema, revisa la configuración. Lo digo porque posiblemente la jaula de B impida acceder fuera de B (recordemos que A está fuera de B ;)
Los he enjaulado siguiendo éstas instrucciones: http://redes-privadas-virtuales.blogspot.com/2010/02/enjaular-usuarios-chroo...
Si el problema no es la "jaula", se me ocurren dos cosas: - ACLs - crear un tercer directorio que tenga: * permisos: 1770 * dueño: root * grupo: manicomio ;) * ambos usuarios pertenecen al mismo grupo manicomio * ambos usuarios tienen acceso a este directorio
Espero por si la información anterior te sirve para ayudar a orientarme, de lo contrario, ensayaré ésta segunda opción.
Happily using KDE 4.4.3 :) --
¿No has usado el pacman -Syu ? ... KDE 4.4.4 ;) Gracias por el interés y la ayuda. Cordialmente, Cuervo Linuxero -- No recibo/envío información elaborados en/para M$-Word, M$-Excel, M$-PowerPoint, M$-Outlook o formatos privativos similares. Le invito a leer mis razones: http://www.gnu.org/philosophy/no-word-attachments.es.html -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Hola :) On Friday 04 June 2010 16:36 RŌNIN wrote [...]
Happily using KDE 4.4.3 :) --
�No has usado el pacman -Syu ? ... KDE 4.4.4 ;)
=:O No he cambiado la firma. Gracias por darte cuenta. Vaya cabeza la mía ... ;) Rafa -- "We cannot treat computers as Humans. Computers need love." Happily using KDE 4.4.4 :) -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Hola :) On Friday 04 June 2010 16:36 RŌNIN wrote
Hola a tod@s:
El d�a 4 de junio de 2010 05:45, Rafa Grim�n escribi�:
Hola :)
�C�mo los has "enjaulado"? �chroot, jail, m�quina virtual?
Puede que est� aqu� el problema, revisa la configuraci�n. Lo digo porque posiblemente la jaula de B impida acceder fuera de B (recordemos que A est� fuera de B ;)
Los he enjaulado siguiendo �stas instrucciones: http://redes-privadas-virtuales.blogspot.com/2010/02/enjaular-usuarios-chro ot-por-sshsftpscp.html
Va a ser eso, en el post dice: "Enjaular a un usuario dentro de un sistema Linux viene a ser lo mismo que restringirle el acceso a un determinado árbol de directorios. Por ejemplo, podemos enjaular a un determinado usuario dentro de su propio home, y que no pueda acceder al resto de directorios de la raíz (/etc, /var, /bin, etc.)." Es decir, el usuario A no puede salir de /home/A/ y el usuario B no puede salir de /home/B/. He leído alguna vez que se puede salir de un chroot, pero nunca lo he hecho y además, no creo que te interese que tus usuarios se salgan de su chroot ;) Los symlinks y hard links no valen porque se salen de /home/A o de /home/B. Ahora mismo no se me ocurre cómo conseguir lo que quieres ... Seguiré pensando a ver qué se me ocurre. 0:) Rafa -- "We cannot treat computers as Humans. Computers need love." Happily using KDE 4.4.4 :) -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 On 2010-06-04 17:58, Rafa Grimán wrote:
Hola :)
On Friday 04 June 2010 16:36 RŌNIN wrote
Hola a tod@s:
Es decir, el usuario A no puede salir de /home/A/ y el usuario B no puede salir de /home/B/.
He leído alguna vez que se puede salir de un chroot, pero nunca lo he hecho y además, no creo que te interese que tus usuarios se salgan de su chroot ;)
Los symlinks y hard links no valen porque se salen de /home/A o de /home/B.
Los hardlinks sí valen, "salen" del chroot porque en realidad, están en ambos directorios... son entradas en ambos directorios apuntando al mismo inodo, luego ambos directorios piensan que el fichero está en ese directorio. Los softlinks en cambio son enlaces, el programa tiene que leer físicamente el otro directorio... que no puede hacer. - -- Cheers / Saludos, Carlos E. R. (from 11.2 x86_64 "Emerald" GM (Elessar)) -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.12 (GNU/Linux) Comment: Using GnuPG with SUSE - http://enigmail.mozdev.org/ iEYEARECAAYFAkwJaFwACgkQU92UU+smfQVZKwCeJiznx78hCsDgZmxDFZcKhyQV urkAnREbGqDCXApiJyQZthwoMKP9h17Z =nTNu -----END PGP SIGNATURE----- -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El Thu, 03 Jun 2010 11:46:01 -0500, RŌNIN escribió:
Tengo un directorio en el home de un usuario enjaulado para que solo pueda acceder por SFTP al servidor, ese usuario tiene propiedad sobre un directorio y puede leer y escribir en él.
He creado otro usuario (también enjaulado y accede por SFTP) y necesito que éste usuario acceda al directorio ubicado en el home del usuario anteriormente mencionado, sólo para leer/visualizar el directorio mencionado anteriormente, y su contenido.
Lo he intentado con enlaces al directorio y no me ha funcionado. He cambiado permisos al directorio y no me ha funcionado. He agregado un usuario al grupo del otro y no me ha funcionado.
Después de leer los comentarios de Rafa, estaba pensando... ¿no podrías crear una jaula común para ambos usuarios? Quizá esté diciendo una tontería pero imaginemos: /home/jaula ← de aquí para arriba no pueden acceder /home/jaula/usuario1 ← directorio del usuario1 /home/jaula/usuario2 ← directorio del usuario2 /home/jaula/compartido ← director común para ambos Es decir, se trataría de recrear la misma situación que se presentaría en un entorno sin jaula (jugando con los permisos de los directorios y los archivos) pero limitando a los usuarios a su zona de actuación. En este caso, los archivos del directorio compartido sólo podrían eliminarse/ modificarse/crearse por el usuario1 y el usaurio2 que sólo tuviera acceso a la lectura. Ojo, que es sólo una hipótesis, no sé cómo funcionan los entornos "chrooteados" O:-) Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El Jueves 03 Junio 2010, RŌNIN escribió:
Hola a tod@s:
Le he dado vueltas toda la mañana al tema y no logro resolverlo, así que acudo a su experiencia/conocimiento:
Tengo un directorio en el home de un usuario enjaulado para que solo pueda acceder por SFTP al servidor, ese usuario tiene propiedad sobre un directorio y puede leer y escribir en él.
He creado otro usuario (también enjaulado y accede por SFTP) y necesito que éste usuario acceda al directorio ubicado en el home del usuario anteriormente mencionado, sólo para leer/visualizar el directorio mencionado anteriormente, y su contenido.
Lo he intentado con enlaces al directorio y no me ha funcionado. He cambiado permisos al directorio y no me ha funcionado. He agregado un usuario al grupo del otro y no me ha funcionado.
Quedo atento a sus comentarios/indicaciones/sugerencias.
* Crea la jaula por encima de los dos usuarios, es decir comparte la jaula para esos dos usuarios y restringe con acl o permisos standard segun lo complicado que quieras hacerlo, ten en cuenta que chroot no enjaula sockets y otras historias, lo digo por que no te creas que es la panacea, el usuario puede ejecutar un binario, digamos un miniftp que escuche en un puerto alto por ejemplo, asi que segun lo que quieras, deberas complementar el asunto con mas "cosas". * No soy nada amigo de los entornos chroot para "usuarios", prefiero montar un DMS, o Escritorio web, eyeos, webdav, ftp, etc ..., si tengo que dar esos servicios, en los entornos en los que hay muchos usuarios reales, accediendo desde la lan, termino poniendo ltsp con nx como conexion. * Resumiendo las comparticiones las quiero, por decirlo de manera entendible, a nivel de aplicacion, no de sistema operativo.
Hola a tod@s: Gracias a tod@s por sus respuestas. Lo solucioné (por si a alguien más le sirve) de la siguiente manera: dejé la jaula que construí y creé un alias que conduce a la jaula, desde el servidor apache. Así que el usuario que escribe, accede a través de la jaula y el usuario que sólo lee/visualiza, accede mediante el navegador web. Hasta la próxima. Cordialmente, Cuervo Linuxero -- No recibo/envío información elaborados en/para M$-Word, M$-Excel, M$-PowerPoint, M$-Outlook o formatos privativos similares. Le invito a leer mis razones: http://www.gnu.org/philosophy/no-word-attachments.es.html -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
participants (5)
-
Camaleón
-
Carlos E. R.
-
jose maria
-
Rafa Grimán
-
RŌNIN