Как правильно распределить права на папку и файлы Linux?

Question

[Артём]

Всем привет.

У меня сообственно возник следующий вопрос, так как до конца не могу разобраться с правами на linux.

Есть у меня к примеру три файла

~/file1
~/file2
~/file3

а также есть 3 пользователя
user1
user2
user3

Допустим владельцем всех файлов является user1. А как сделать, чтоб
file1 мог править user2 и user3
file2 мог править user2 и читать user3
file3 мог читать user2 и не мог читать user3

Возможно ли вообще такое или я не понимаю философии linux?

Comments

[sim3x]

непонятен юзкейс
неясно есть ли другие пользователи

[Артём]

sim3x: да есть и они могут добавлятся. И права у всех могут быть разные на файлы. По группам не получится расскидать.

[sim3x]

Артём Вожжов: ну значит смотри мой ответ

Answer 1

[sim3x]

https://wiki.debian.org/Permissions
https://wiki.archlinux.org/index.php/Access_Contro...

Comments

[Артём]

Похоже setfacl решает мою проблему

[Артём]

Подскажите пожалуйста, что я делаю не так?
вот вывод команды getfacl file1

# file: file1
# owner: test-user
# group: test-user
user::rw-
user:test-user2:rw- #effective:r--
user:test-user3:r--
group::rw- #effective:r--
mask::r--
other::---

Что такое #effective? Почему права для конкретного юзера перетираются?

[sim3x]

Артём Вожжов: askubuntu.com/a/257907
поместить пользователей в одну группу
установить для файлов 664 (660)
установить для каждого пользователя необходимую маску через getfacl

[Артём]

sim3x: Спасибо, буду пробовать.

Answer 2

[D']

Так всё просто:
user2 добавить в группу user1.

И далее по списку:
file1: -rw-rw-rw- (666)
file2: -rw-rw-r-- (664)
file3: -rw-r----- (640)

Comments

[sim3x]

а если есть user4?

[D']

sim3x: и? Вопрос конкретный про user1/2/3.

[sim3x]

D' Normalization:
file1: -rw-rw-rw- (666)

$ whoami 
user4
$ cat /home/user1/file1
foo=bar

[D']

sim3x: правильно, так и должно быть.
Только какое отношение это имеет к вопросу? В вопросе есть конкретно 3 юзера которым нужно дать определенные права.

PS
Там еще и рут есть, который вообще любые файлы читать может, и?

[Артём]

D' Normalization: Да, я не правильно похоже поставил свой вопрос. А вопрос мой собственно в том, а если user4 может править file3, и не может читать file1

[D']

Артём Вожжов: с помощью обычных прав - никак. Ниже дали линк на ACL, с помощью него можно.

[sim3x]

D' Normalization:
sudo-root привелигированный пользователь, сказать об етом стоит также

Не стоит думать, что новичек, который задает тут такой вопрос вообще в курсе, что по-улчанию в системе много системных пользователей, которые в принципе не нужно читать файлы пользователя, так же как и другим пользователям, которые могут быть в системе

[D']

sim3x: я предпочитаю не додумывать за людей. Вопрос был конкретный, и я дал на него конкретный ответ. Выше ТС уточнил, и мой ответ ему не подходит.

Answer 3

[Saboteur]

1. Для каждого набора прав можете создать отдельную группу, включить в нее нужных пользователей и установить права для группы на нужный файл.

2. Не забудьте, что если у пользователя есть право записи на каталоге, он сможет удалить файлы, к которым у него доступа нет, поскольку это считается как работа в каталоге, а не с файлом. Дописать и прочитать не сможет, а удалить сможет.