Linux: разрешение на удаление файлов, но запрет на создание

Question

[bugaga0112358]

Доброго времени суток всем.

Можно ли настроить в линуксе такое разграничение прав для директории:
— пользователь может удалять файлы из директории;
— пользователь не может создавать новые файлы в директории.

Как выглядит процесс:
1. Пользователь создает в директории файлы.
2. Администратор шаманит.
3. Пользователь может удалять старые файлы, но не может создавать новые.

Парюсь со sticky bit, но пока либо могу удалить/создать, либо не могу удалить/создать.

Заранее спасибо.

UPD
Задачка, можно сказать, спортивная. Просто в Windows такое сделать можно, стало интересно, можно ли с линуксом, но пока не смог =)

Answer 1

[Eddy_Em]

Разместить эту директорию на отдельном разделе. Запустить простенький демон, который будет заполнять все освободившееся место в этой директории (на директорию налепить t-бит, файлу назначить владельцем рута).
Все. Задача решена: при удалении пользователем файла место сразу же будет забито, новый файл он создать не сможет.

А невелосипедных способов, естественно, не существует.

Comments

[bugaga0112358]

Я уже понял, что невелосипедных нет. Просто вдруг кто-то знает о крутых велосипедах, которые не надо самому собирать :) Спасибо за идею :)

Answer 2

[sistemshik]

Можно:
superuser.com/questions/152161/is-it-possible-to-forbid-removal-of-files-but-allow-creation-of-them-for-specifi

Comments

[Eddy_Em]

Там через inotifywait сделано — тоже вариант, но опять-таки, через задницу демона (как я выше говорил).

[sistemshik]

Там еще про selinux написано, мне лично это показалось более правильным решением.

Единственное, у selinux learning curve примерно вот такая: www.vayapotra.es/wordpress/wp-content/uploads/2009/02/2rmqi6o.gif

[bugaga0112358]

Спасибо, надо поковырять =)

[Eddy_Em]

С selinux еще другая проблема есть: кое-какие демоны и приложения с ним «вдруг» перестают работать или же работают коряво.
Но, конечно, если подойти с умом (рисунок, кстати, в тему), то все можно сделать — но уж очень долго мануалы читать придется.
Написать демона на баше — намного проще, если хочется решить задачу быстро.

Answer 3

[Влад Животнев]

Попробуйте про xattr почитать, скорее всего там есть искомое.

Comments

[Алексей Сундуков]

Там есть обратное — запрет удаления (флаг u). Не говоря уже о том, что реализация xattr на многих системах по прежнему не полная.

Answer 4

[Глеб Старков]

Нельзя.
Удаление и создание — это запись в директорию.
Право на запись либо есть, либо нет.

Answer 5

[sledopit]

Операции создания/удаления файлов требуют прав на запись в директорию, где находятся файлы. Выставлять права от типа совершаемой операции, емнип, невозможно. Стики биты здесь тоже не помощники, т.к. запрет на изменение директории приведёт к невозможности удаления файлов.
Можно сваять некие костыли, в духе использования разных пользователей для чтения/удаления (хотя пользователей имеющий право на удаление всё же будет иметь право на создание), либо использовать различные костыли в духе алиасов на удаление (что, дескать, удаление = «chmod +w dir; rm dir/file; chmod -w dir»).
Мне кажется, что других путей нет.

Answer 6

[ertaquo]

Подобное можно сделать при помощи файловой системы AFS. Но как именно это делается — не знаю.

Answer 7

[stg34]

А ACL не спасает в данном случае?

Comments

[ertaquo]

Афайк, ALC может установить только те флаги, что поддерживаются файловой системой, а ext* не поддерживают флаг удаления.

[Eddy_Em]

ТС про файловую систему ни слова не говорил.

[bugaga0112358]

ext4

Answer 8

[Tthread]

Посмотрите в сторону RSBAC. Там реализованы различные модели разграничения доступа.