[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [OT] Sobre permisos en samba (create mask = 0570)

El Sat, 29 Dec 2012 15:34:24 -0300, enodisarpiz escribió:

(...)

>> No estaría de más consultar la documentación de samba sobre este tema,
>> te puede dar alguna idea:
>> 
>> <http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/
>> AccessControls.html>
> 
> OK, gracias, estaba al tanto del documento, le voy a dar una re-leída.

Pues me parece que el quid de la cuestión esta ahí mismo, en los 
apartados "Protecting Directories and Files from Deletion" y "Windows 
NT/200X ACLs and POSIX ACLs Limitations". En el primero dice:

"(...) For the record, in the UNIX environment the ability to delete a 
file is controlled by the permissions on the directory that the file is 
in. In other words, a user can delete a file in a directory to which that 
user has write access, even if that user does not own the file."

Vamos, que si un usuario tiene permisos de escritura sobre un directorio, 
puede eliminar archivos contenidos dentro de él lo cual choca con tu idea 
principal de evitar esto mismo.

No sé si definiendo una política de control de acceso más afinada con las 
ACL podrás obtener el resultado que buscas, sería cuestión de 
probarlo :-? 

> Ahora bien, hice una "prueba de fuego" y hay algo efectivamente que no
> está funcionando bien:
> 
> En las propiedades del recurso "share" de samba usé:
> 
> create mask = 750
> force create mode = 750
> force user = y
> forcé group = y
> 
> Luego con el usuario "x" cree un archivo, verifique los permisos,
> estaban como correspondían y la sorpresa es que el usuario "x" puede
> eliminar/modificar el archivo! Como es esto posible? De mas esta decir
> que el usuario "x" no es miembro del grupo "y" y sin embargo puede hacer
> con el archivo lo que se le antoje. No entiendo.

El tema de los permisos de samba es muy complicado ya que no sólo tienes 
que jugar con los permisos posix (de linux) sino que tienes que 
encargarte de éstos sean "traducidos" e "interpretados" correctamente en 
el entorno samba ya que el sistema de archivos ntfs usa un modelo acl más 
complejo. 

Acabo de probar a crear un recurso compartido con los datos que has 
enviado en el primer mensaje y no me ha dejado siquiera crear un archivo 
en ese directorio con un valor de "create mask = 0570".

En fin, que se trata de hacer pruebas hasta que des con una solución, 
sino perfecta, que al menos te sirva para tu propósito.

Saludos,

-- 
Camaleón
Reply to: