Společná složka pro více uživatelu

[juli]

Zdravím a prosím o radu.
Po mnoha pádech a přeinstalacích Woken, jsem přesvědčil známé k vyzkoušení Linuxu. Nainstaloval jsem Ubuntu 10.04 a vytvořil tři uživatelské profily s právy správce + profil hosta s omezenými právy.
Abych zabezpečil jakoustakous blbuvzdornost, tak jsem ukryl některé položky ze správy systému a předvoleb.

K problému: vzhledem k tomu, jak počítač používají potřebuju vytvořit složku pro soubory, která by byla přístupná ze všech uživatelských profilů, včetně sezení pro hosta. Nenašel jsem takovou možnost, bez toho, abych musel takovou složku umístit někde mimo počítač.
Jak tohle zrealizovat?
Díky za rady.

[Martin Šácha]

Vytvoř adresář třeba v /home/sdilene; nastav mu práva 777; vytvoř link na sdílený adresář;link nakopíruj do všech účtů (např na plochu)

Kód: [Vybrat]

sudo mkdir /home/sdilene
sudo chmod 777 /home/sdilene
ln -s /home/sdilene /home/sdilene_link
sudo cp /home/sdilene_link /home/uzivatel1/Plocha/sdileny_adresar
sudo cp /home/sdilene_link /home/uzivatel2/Plocha/sdileny_adresar
...


[arrange]

Tedy chceš, aby kdokoli mohl ve sdílené složce cokoli číst, měnit a mazat (soubory i složky)?

[juli]

Vytvoř adresář třeba v /home/sdilene; nastav mu práva 777; vytvoř link na sdílený adresář;link nakopíruj do všech účtů (např na plochu)

Kód: [Vybrat]

sudo mkdir /home/sdilene
sudo chmod 777 /home/sdilene
ln -s /home/sdilene /home/sdilene_link
sudo cp /home/sdilene_link /home/uzivatel1/Plocha/sdileny_adresar
sudo cp /home/sdilene_link /home/uzivatel2/Plocha/sdileny_adresar
...


Díky to zkusím.

Tedy chceš, aby kdokoli mohl ve sdílené složce cokoli číst, měnit a mazat (soubory i složky)?

jj přesně tak.

[arrange]

V tom případě to nebude tak jednoduché. Pokud si např. podle výše uvedeného návodu vytvoříš v dané složce soubor, budeš ho vlastnit ty s právy 0755, což znamená, že nikdo jiný do něj nebude moci zapisovat. Atd.

Viz třeba
https://wiki.ubuntu.com/LocalFileShare
http://forum.ubuntu.cz/index.php/topic,2455.0.html
http://forum.ubuntu.cz/index.php/topic,6659.0.html

Nejjednodušší bude asi dát sdílená data na extra oddíl naformátovaný na ntfs nebo fat s parametrem umask=000 (tj. obejít klasická linuxová nastavení práv  )

[Martin Šácha]

V tom případě to nebude tak jednoduché. Pokud si např. podle výše uvedeného návodu vytvoříš v dané složce soubor, budeš ho vlastnit ty s právy 0755, což znamená, že nikdo jiný do něj nebude moci zapisovat. Atd.

Na to jsem zapoměl.

To by řešilo přidání "chmod 777 -r /home/sdilene" do /etc/gdm/PostSession/Default

PS. Nejprve bude třeba přejmenovat soubor Default.sample na "Default". Všechny příkazy v něm se vykonají při odhlašování uživatele s právy roota.

[arrange]

Neřešilo by to práva souborů a složek vzniklých/zkopírovaných apod. v průběhu sezení.

[Martin Šácha]

U stolního PC nepředpokládám práci více uživatelů zároveň. A tomu jednomu aktuálně přihlášenému jeho vlastní soubory nevadí (když se práva změní po odhlášení).

[arrange]

U stolního PC nepředpokládám práci více uživatelů zároveň.
Počítač u mě používá více lidí pomocí rychlého přepínání uživatelů - fast user switching - řekl bych, že to je dnes standard - a tam je právě problém jednoduše nastavit sdílenou složku pro všechny.

[Martin Šácha]

Hmm, máš pravdu, pak tedy bude nejelegantnější vyhradit fat32/ntfs oddíl, jak jsi psal výše.

Ovšem tam můžeme zase narazit na velikost oddílu...

[arrange]

Nejelegantnější rozhodně ne, je to jen workaround, možná jen nejjednodušší   

[donny]

Ideální řešení podle mě je vytvořit nějakou skupinu, třeba shared, a poté přidat všechny ty uživatele do této skupiny. Pak by mělo stačit nastavenému sdílenému adresáři nastavit skupinu "shared" a nastavit práva g+rwx. Ve zkratce tedy nějak takto:


sudo groupadd shared
sudo mkdir /home/shared
sudo chown root:shared /home/shared
sudo chmod 775 /home/shared
for u in uživatel1 uživatel2 uživatel3 host1; do sudo gpasswd -a $u shared; done

Pak odhlásit všechny uživatele a mělo by být hotovo.

[arrange]

Jenže pokud potom v adresáři někdo vytvoří soubor nebo jiný adresář, práva se "nedědí", a zase k němu nemá nikdo ze skupiny právo zapisovat.
Šlo by změnit globálně umask, ale to je bezpečnostní riziko + to neřeší kopírování souborů do sdíleného adresáře, které implicitně zachovává vlastnosti.
Podrobnosti viz uvedené odkazy.

[donny]

Jo, zrovna nad tim teď přemejšlim ... a googlim. Narazil jsem na http://ubuntuforums.org/showthread.php?p=1193555 a borec tam píše toto:

What I needed was ACL control. So, I followed the instructions in the post above and added ACL. I also added Eiciel, which is an extension to Nautilus for editing ACLs graphically. (Although, I have to say, I prefered the command line. Eiciel was a bit confusing for me.) After adding the ACL tools, I was ready to go. It turns out XFS has it already enabled by default, so there was no need to reboot or add a parameter to turn it on in the fstab file.

After some heavy research (http://www.vanemery.com/Linux/ACL/linux-acl.html) and a good deal of trial and error, I ran this command:

Kód: [Vybrat]

sudo setfacl -d --set u::rwx,g::rwx,o::rx .

Ahh things were working now!

Stálo by to za vyzkoušení.

EDIT:

Tak jsem to vyzkoušel a funguje to - vytvořil jsem nového uživatele "test", uživatelé "donny" a "test" jsou ve skupině shared a to je i skupina adresáře /home/shared; ACL je zapnutý a výše uvedený příkaz proveden:


donny@chakra-laptop:/home/shared $ ls
celkem 0
donny@chakra-laptop:/home/shared $ touch test1donny
donny@chakra-laptop:/home/shared $ ls
celkem 0
-rw-rw-r-- 1 donny users 0  4. zář 23.03 test1donny
donny@chakra-laptop:/home/shared $ su test
Heslo:
[test@chakra-laptop shared]$ ls
test1donny
[test@chakra-laptop shared]$ rm test1donny
rm: smazat proti zápisu chráněný běžný prázdný soubor „test1donny“? a
[test@chakra-laptop shared]$ ls
[test@chakra-laptop shared]$ touch test2shared
[test@chakra-laptop shared]$ exit
donny@chakra-laptop:/home/shared $ ls
celkem 0
-rw-rw-r-- 1 test test 0  4. zář 23.04 test2shared
donny@chakra-laptop:/home/shared $ rm test2shared
donny@chakra-laptop:/home/shared $ ls
celkem 0
donny@chakra-laptop:/home/shared $ exit

[arrange]

ACL pravděpodobně neřeší problém s právy při kopírování DO sdílené složky, ACL ale neznám.
http://www.abclinuxu.cz/poradna/linux/show/141839

[donny]

ACL pravděpodobně neřeší problém s právy při kopírování DO sdílené složky, ACL ale neznám.
http://www.abclinuxu.cz/poradna/linux/show/141839

EDIT:

rychlejš píšu než myslím. Problém je při kopírování ADRESÁŘŮ do sdílené složky.

[arrange]

Tedy chceš, aby kdokoli mohl ve sdílené složce cokoli číst, měnit a mazat (soubory i složky)?

jj přesně tak.

[test@chakra-laptop shared]$ ls -l
celkem 720
-rw-r--r-- 1 donny users 731329  4. zář 23.17 DSC00001nová_.JPG

Tady se právě láme chleba. Uživatel ze skupiny users nemůže soubor jednoduše upravovat - např. pokud chci pracovat na společném projektu a nakopíruju šablonu do sdílené složky.

[donny]

arrange, trošku tě mate ta skupina users - to je defaultní skupina uživatele, s tímto nemá nic společného. Jak jsem přepsal příspěvek výše, problém je, když v Dolphinu (pod uživatelem donny) nakopíruju do shared adresáře nějaký podadresáře, tak pod jiným uživatelem (test) je problém:

[test@chakra-laptop /]$ cd /home/shared/dvdrip-data/unnamed/tmp/
[test@chakra-laptop tmp]$ rm logfile.txt
rm: smazat proti zápisu chráněný běžný soubor „logfile.txt“ a
rm: nelze odstranit „logfile.txt“: Operace  zamítnuta
[test@chakra-laptop tmp]$

[donny]

I tenhle problém se dá vyřešit - stačí sdílenému adresáři nastavit sedgid flag:

sudo chmod g+s /home/shared

který zajistí, že se nově vytvářeným souborům a podadresářům nastaví skupina toho adresáře (tedy shared), nikoliv primární skupina uživatele; nové podadresáře navíc setgid flag dědí. ACL potom funguje jak má.


donny@chakra-laptop:~ $ sudo chmod g+s /home/shared
Heslo:
donny@chakra-laptop:~ $ cd /home/shared
donny@chakra-laptop:/home/shared $ ls
celkem 0
donny@chakra-laptop:/home/shared $ su test
Heslo:
# pod uživatelem donny jsem mezitím do /home/shared nakopíroval nějaké adresáře se soubory
[test@chakra-laptop shared]$ ls
dvdrip-data
[test@chakra-laptop shared]$ cd dvdrip-data/unnamed/tmp/
[test@chakra-laptop tmp]$ ls
backup.rip  ifo  logfile.txt  unnamed-002-nav.log
[test@chakra-laptop tmp]$ rm logfile.txt
rm: smazat proti zápisu chráněný běžný soubor „logfile.txt“? a
[test@chakra-laptop tmp]$ ls
backup.rip  ifo  unnamed-002-nav.log
[test@chakra-laptop tmp]$

[arrange]

Takže ještě jednou: pokud do sdíleného adresáře nakopíruju soubor, který má v mé domovské složce klasická práva rw-r--r--, bude ho pak schopen v té sdílené kdokoli upravovat (ne mazat)? Změní se jeho práva?

[donny]

Sakra. Ne, není to tak. Sorry, už jsem unavenej, zkoušel jsem jenom to mazání.

[juli]

Koukám, že tohle vyřešit tak, aby práci se soubory ve společné složce zvládli i neumětelové mého typu, nebude jen tak.
V každém případě díky za zájem o tenhle problém. Pro mne je to podnět, pro laborování a uživatelům zatím poslouží společná USB flashka...
Ještě jednou moc dík.

[Martin Šácha]

Njn, tady se projevuje výhoda dědičnosti ACL (acces control list) z windows nad UGO z *nixu (user, group, other). Ač je linux odjakživa víceuživatelský, tohle se pořešit zatím nepodařilo

[arrange]

Windows neznám, ale mám tomu rozumět tak, že dejme tomu (je to jen příklad) mám ve své složce spustitelný soubor, ale není povoleno jej z bezp. důvodů spouštět. Stačí ho tedy zkopírovat do sdíleného adresáře (kde mám nastavena volnější pravidla) a pak je již spustitelný?

[jmp]

ono to ve windows neni tak jednoznacne...
at je nebo neni zapnute dedeni prav, tak pri kopirovani to co kopirujete nastavi stejna opravneni jako ma cilovy adresar, pri presunu to zachova puvodni opravneni
nastaveni prav ve windows je opravdu velmi jemne a ne vzdy zcela jednoznacne a prehledne (je mozne povolovat i zakazovat, pricemz zakazy maji pri konecnem vyhodnoceni opravneni prednost), takze je tam take mnohem vetsi prostor pro chyby...
navic windows dlouhodobe nemaji v zakladu rozumny nastroj pro hromadnou editaci opravneni (nejprve nebylo dostupne nic a po nejake dobe pribyl cacls.exe, ale ten pak ovsem neumel pracovat s novikou, kterou bylo prave dedeni prav a tak pribyl xcacls.vbs, ktery to umi, ale je to pro zmenu interpretovany skript, takze to ma mizerny vykon...)

zakladni opravneni jsou:
full control
modify
read&execute
list folder content
read
write
a indikace "special permissions"

special permissions jsou:
full control
traverse folder / execute file
list folder /read data
read attributes
read extended attributes
create files / write data
create folders / append data
write attributes
write extended attributes
delete subfolders and files
delete
read permissions
change permissions
take ownership

tato jednotliva opravneni se daji nastavit (povolit nebo zakazat) pro jednotlivce ci skupinu a to at se jedna o lokalni ci domenove ucty (coz je ACE access control entry, sbirka ACE tvori ACL access control list)
kazda polozka (at uz soubor ci adresar) v ntfs filesystemu ma svuj ACL
takze jak rikam - je to velky prostor na omyl...