Linux. Debian. VMWare. fuse. Правильные права на файлы и каталоги?

Question

[Дмитрий]

Доброго дня!
Требуется помощь/консультация специалиста по Linux.

Ситуация следующая:
1. Есть хост (debian, внутри несколько вм на VMWare, VMWare работает от имени пользователя username), на котором существует каталог /mnt/storage/cloud, владелец каталога username:username права на каталог 700;
2. Есть гостевая машина (debian), в которой указанный выше каталог примонтирован в /mnt/hgfs/cloud, при этом владелец каталога username:username, права на каталог 700;
3. На гостевой машине работает веб-сервер, на котором среди сайтов крутится облако - nextcloud. Каталог nextcloud /var/www/nextcloud, владелец каталога nextcloud www-cloud:www-data, облако работает под пхп-фпм пулом www-cloud;
4. Все пользовательские файлы nextcloud складывает по пути /mnt/hgfs/cloud, при этом на все создаваемые им каталоги и файлы устанавливаются права 755 и 644 соответственно, а владелец - username:username

Вопрос: да как так то? Каким образом устанавливаются права на файлы и каталоги и их владелец? Нужно, чтобы права выставлялись 700 и 600.

Answer 1

[res2001]

Дык этож не винда, наследования прав нет. Процесс создающий файл сам задает права доступа.
Гуглите umask.
Установите нужную маску для пользователя из-под которого работает www-cloud.
И еще, по моему, чтоб схема работала должно быть username UID == www-cloud UID

Comments

[Дмитрий]

Спасибо за ответ.
На наследование прав я и не рассчитываю. Вопрос в том, где и каким образом определяется, какие права облако выставляет на файлы?

На всякий случай продублирую: на госте все процессы работают от пользователя username, под этим же пользователем работает vmware на хосте, он же владелец файлов и каталогов, расшариваемых гостю.
Просто никак не отловлю, как заставить создавать файлы недоступные на чтение всем и вся

[res2001]

Дмитрий,

какие права облако выставляет на файлы

Этого я не знаю. Возможно это можно сконфигурировать в конфиге или нет. Но с помощью umask вы извне можете повлиять на процессы пользователя, которые создают новые файлы. Не зависимо от того какие права хочет назначить процесс, на них все равно накладывается маска установленная umask:
https://handynotes.ru/2010/02/umask.html
https://linux.die.net/man/2/umask
Правда есть одно но! Процесс сам может установить для себя маску. Тогда вы ничего сделать не сможете.

на госте все процессы работают от пользователя username, под этим же пользователем работает vmware на хосте

На никсах имя пользователя значения не имеет, имеет значение User ID (UID) - идентификатор пользователя. Его можно посмотреть в /etc/passwd

[Дмитрий]

res2001, да, не уточнил опять. И имя пользователя и uid одинаковые на хосте и на госте.

Правильно ли я понимаю, что задав пользователю umask 027, вообще все каталоги, создаваемые пользователем и его процессами, будут иметь права 750, а файлы 640?
Но что, если маску нужно применить только к одному каталогу?

[res2001]

Дмитрий,

Правильно ли я понимаю

Правильно

Но что, если маску нужно применить только к одному каталогу?

К сожалению это работает глобально.
Максимум чего можно добиться это ограничить umask конкретного процесса, если запускать его скриптом в котором предварительно устанавливать значение umask.

[Adamos]

При монтировании тоже можно задать umask, и он будет влиять именно на примонтированный ресурс.

[Дмитрий]

res2001, а вот это не подходит.
Нужно каким то образом заставить nextcloud создавать файлы с менее широкими правами, но как?

Спасибо за ответы

[Дмитрий]

Adamos, расшареный виртуалке раздел монтируется с помощью fuse, а как там этот шайтан монтирует...

в etc/fstab этого раздела даже нет

# /etc/fstab: static file system information.
#
# Use 'blkid' to print the universally unique identifier for a
# device; this may be used with UUID= as a more robust way to name devices
# that works even if disks are added and removed. See fstab(5).
#
# <file system> <mount point>   <type>  <options>       <dump>  <pass>
# / was on /dev/sda1 during installation
UUID=d51a7f39-a47a-4000-b424-9ef011c5464b /               ext4    errors=remount-ro 0       1
# /home was on /dev/sda8 during installation
UUID=d9c3f55e-ac3e-4994-a86f-f9ab155dc973 /home           ext4    defaults        0       2
# /tmp was on /dev/sda7 during installation
UUID=ec415539-0465-42a9-a8a8-48e160389806 /tmp            ext4    defaults        0       2
# /var was on /dev/sda5 during installation
UUID=e14b8420-4cfd-4b4d-81a9-85160c681209 /var            ext4    defaults        0       2
# swap was on /dev/sda6 during installation
UUID=ed5e8726-4e7c-473d-8d88-1128b9452671 none            swap    sw              0       0
/dev/sr0        /media/cdrom0   udf,iso9660 user,noauto     0       0

в то время как вот он, раздел на 1.8T

Файловая система Размер Использовано  Дост Использовано% Cмонтировано в
udev               971M            0  971M            0% /dev
tmpfs              198M          13M  185M            7% /run
/dev/sda1          5,7G         1,7G  3,7G           31% /
tmpfs              986M            0  986M            0% /dev/shm
tmpfs              5,0M            0  5,0M            0% /run/lock
tmpfs              986M            0  986M            0% /sys/fs/cgroup
/dev/sda5          2,2G         1,9G  117M           95% /var
/dev/sda8           20G          45M   19G            1% /home
/dev/sda7          442M         2,4M  412M            1% /tmp
vmhgfs-fuse        1,8T        1010G  824G           56% /mnt/hgfs
tmpfs              198M            0  198M            0% /run/user/1000

[Adamos]

Дмитрий, а под каким веб-сервером работает nextcloud? Сам по себе он - просто приложение на пыхе, маска создаваемых файлов определяется настройками сервера (у Апача, например, такой пункт в настройках есть).

[Дмитрий]

Adamos, nginx + php-fpm

Владелец каталога самого облака (/var/www/cloud.domain.ru) www-cloud:www-data, пхп-фпм работает в отдельном пуле - www-cloud.
Каталог, куда складываются пользовательские файлы примонтирован с помощью fuse из хоста, на него права 750 при владельце username:username.
А вот все создаваемые внутри него каталоги и файлы имеют права 755 и 644, при этом владелец - все тот же username:username. Пониже бы права, но как не понимаю.

[Adamos]

Дмитрий, https://stackoverflow.com/questions/11584021/nginx...

[Дмитрий]

Adamos, таким путем umask будет применяться ко всем файлам, создаваемым php?
Можно ли провернуть это только для одного пхп-фпм пула?

[Adamos]

Дмитрий, гуглите, как настроить только один пул, тут не подскажу. В том же Апаче можно было бы положить .htaccess, куда надо, в nginx, видимо, придется выстраивать конфиги.

[Дмитрий]

Adamos, Спасибо за ответы!

[res2001]

Дмитрий,

как там этот шайтан монтирует...

Конфиг fuse: /etc/fuse.conf
Он умеет задавать umask
По опциям конфига смотрите man fuse

[res2001]

Дмитрий, Пожалуй тут больше надо смотреть не на конфиг fuse, а на vmware tools.
Посомтрите эти ссылки:
https://docs.vmware.com/en/VMware-Workstation-Pro/...
https://kb.vmware.com/s/article/60262
https://stackoverflow.com/questions/37871470/how-t...