Petite question: ne devrait-on pas dire "une ACL" vue qu'il s'agit d'une liste de contrôle d'accès ? Fred
je n'est pas trouver l'option "recursive"
elle a existé juque au environ de 2001-2002 pas plus de doc a jour dessus
aurais t'il un autre moyen
merci
Bonjour
Merci pour cet article très intéressant et très clair.
J'ai essayé de mettre en oeuvre cette technique pour des dossiers partagés entre plusieurs utilisateurs. Je ne comprend cependant pas comment autoriser un utilisateur à rentrer dans des dossiers sans lui donner le droit d'exécuter les fichiers (comme des photos par exemple).
sudo setfacl -Rm u:laurent:rwx /mnt/share_photos/2007 : permet d'entrer dans les sous-dossiers, mais affecte aussi les fichiers.
Peut-on juste apporter le x aux dossiers et pas aux fichiers ?
La sécurité peut être mise à mal
Sur un serveur relié à un domaine Windows (via samba), les utilisateurs vont avoir, en général, comme groupe par défaut le groupe "Utilisa. du domaine".
Si un utilisateur crée un fichier, celui-ci va être de la forme suivante :
-rw-rwx---+ 1 eric.quinton Utilisa. du domaine 0 mai 20 16:42 essai
getfacl essai
"# file: essai
"# owner: eric.quinton
"# group: Utilisa.\040du\040domaine
user::rw-
group::rwx
group:MSI:rwx
mask::rwx
other::---
Tout utiilsateur appartenant au groupe ’Utilisa. du domaine’ va pouvoir le modifier, si on a laissé les droits par défaut ou si on a juste créé des acls complémentaires, même si l’utilisateur ne fait pas partie des droits attribués via les acls...
Pour éviter ce trou de sécurité, il faut supprimer les droits par défaut sur le groupe par défaut ! La solution est assez simple :
setfacl -R -m g::- /opt
setfacl -R -m d:g::- /opt
La lettre g permet d’indiquer qu’on travaille sur un groupe, le nom du groupe laissé à vide permet d’indiquer que l’on s’intéresse au groupe par défaut. Pour supprimer les droits, il faut utiliser le caractère -, sinon le système ne prend pas en compte la demande.