Re: [OT] Sobre permisos en samba (create mask = 0570)
El Sat, 29 Dec 2012 15:34:24 -0300, enodisarpiz escribió:
(...)
>> No estaría de más consultar la documentación de samba sobre este tema,
>> te puede dar alguna idea:
>>
>> <http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/
>> AccessControls.html>
>
> OK, gracias, estaba al tanto del documento, le voy a dar una re-leída.
Pues me parece que el quid de la cuestión esta ahí mismo, en los
apartados "Protecting Directories and Files from Deletion" y "Windows
NT/200X ACLs and POSIX ACLs Limitations". En el primero dice:
"(...) For the record, in the UNIX environment the ability to delete a
file is controlled by the permissions on the directory that the file is
in. In other words, a user can delete a file in a directory to which that
user has write access, even if that user does not own the file."
Vamos, que si un usuario tiene permisos de escritura sobre un directorio,
puede eliminar archivos contenidos dentro de él lo cual choca con tu idea
principal de evitar esto mismo.
No sé si definiendo una política de control de acceso más afinada con las
ACL podrás obtener el resultado que buscas, sería cuestión de
probarlo :-?
> Ahora bien, hice una "prueba de fuego" y hay algo efectivamente que no
> está funcionando bien:
>
> En las propiedades del recurso "share" de samba usé:
>
> create mask = 750
> force create mode = 750
> force user = y
> forcé group = y
>
> Luego con el usuario "x" cree un archivo, verifique los permisos,
> estaban como correspondían y la sorpresa es que el usuario "x" puede
> eliminar/modificar el archivo! Como es esto posible? De mas esta decir
> que el usuario "x" no es miembro del grupo "y" y sin embargo puede hacer
> con el archivo lo que se le antoje. No entiendo.
El tema de los permisos de samba es muy complicado ya que no sólo tienes
que jugar con los permisos posix (de linux) sino que tienes que
encargarte de éstos sean "traducidos" e "interpretados" correctamente en
el entorno samba ya que el sistema de archivos ntfs usa un modelo acl más
complejo.
Acabo de probar a crear un recurso compartido con los datos que has
enviado en el primer mensaje y no me ha dejado siquiera crear un archivo
en ese directorio con un valor de "create mask = 0570".
En fin, que se trata de hacer pruebas hasta que des con una solución,
sino perfecta, que al menos te sirva para tu propósito.
Saludos,
--
Camaleón
Reply to: