Automaticka zmena Sharing & Permissions

[tomasno1]

Ked mi priatelka kopiruje subory zo svojho MPB do mojho MBP, tak si musim menit prava, niekedy to ide len po jednom (nie cez Apply to enclosed items…). Vobec nemozem premenovat subor, ani menit. Obaja mame 10.6.2.
Nekopiruje do Drop Boxu, ale do bezneho priecinku, ktory je sharovany, tak ze ma vdaka Bonjour vidi vlavo medzi Devices vo Finderi. (cize cez AFP)
Skusal som googlit rozne variacie „files automatically inherit the permissions of the parent folder snow leopard“, ale bezvysledne.
Nasiel som akurat, ze treba nastavit spravne ACL, ale neviem ako sa to robi.
Stava sa to aj ked kopirujem z PC (win xp).Ked dam prava len sebe a vytvorim dalsieho usera s heslom tak si windows nevypyta heslo, iba napise ze dany priecinok sa neda prehliadat. Na Mac pristupujem cez Win+R -> IP adresa. Ked pridam everybody read + write, tak to robi ti iste, co robilo predtym, cize nemozem editovat. (To everybody sa mi pri zdielanom priecinku neda odstranit).
Mam nastavene heslo na moj account. Priecinok sa nachadza na systemovom disku a mam heslo ku kontu na ktore sa prihlasujem.

Viete mi nejako pomoct, aby ked prekopirujem k sebe nejake data mali hned permissions pre mna read & write. Resp. viete mi pomoct s Automatorom, aby som vsetkym suborom a priecinkom nastavil permissions.

[mrzo]

chmod +a „everyone allow file_inherit,directory_inherit“ ADRESAR – malo by to snad nastavit prava na nove subory podla prava adresara do ktoreho sa nakopiruju (len prava nie vlastnika)

[babo]

no to ani moc nie, lepsie je to takto:

chmod +a „username allow list,add_file,search,delete,add_subdirectory,delete_child,
readattr,writeattr,readextattr,writeextattr,readsecurity,writesecurity,chown,file_inherit,
directory_inherit“ADRESAR

kde username je meno usera (toho tvojho na MACU).

To zabezpeci dedenie prav novych suborov. Keby si to chcel aplikovat na stare tak by to bolo chmod -R +a atd.

Tu cast, aby vedel uzivatel cez siet zapisovat vies v najhorsom cez read+write everyone, ale vo finder by mala byt v sharing moznost aj nstavit to ako DROPBOX (ze len zapise a nic neprecita, co je ideal). V temrminale by to bolo:
chmod o+wx ADRESAR

[tomasno1]

dakujem za rady. zatial mi to z mojho PC islo dobre. uvidim, ci to pojde aj z ineho Macu. Dufam, ze uz to bude v pohode.

[mrzo]

2 babo – takze chown zabezpeci aj zmenu vlastnika? Lebo ja som to pochopil tak, ze len mozes povolit alebo zakazat prikaz chown na danom objekte. Mohol by som pripadne poprosit o nejake ludske vysvetlenie vsetkych tych ACL option? Manual som cital ale co presne to robi som nepochopil u vsetkeho.

[babo]

CELE ACL su dost tazke, UNIXaci davno nadavali na WIN, ze je to strasne zlozite, ale zial opravnenia na subory / adresare komplikovane su a bez ACL sa kopec veci neda urobit, napriklad sa bez ACL neda vyriesit vlasnte Tomasnov problem (vo WIN to ide uz od 2000iek, lebo tie maju v sebe mozost dedenia opravenni uz dlho, tiez to vlastne robia cez ACL len o tom uzivatel ano nevie).

mal by som par poznamok
1. prikaz co si poslal ti zabezpeci, ze sa vsetky ACL permissions, co si nastavil prenesu na nove adresare/subory, ktre vnziknu v nasom hlavnom ADRESARE. To vsak ked si uvedomis, je vlastne na nic. Kym nepridas ziadne diasle orpavnenie, nema to zmysel
2. ak to chapem, ze myslis, ci CHOWN permission auotmaticky nastavi vlastntka novych objektov toho, kto je vlastnikom ADRESARA… tak tak to nie je :)
ACL permission CHOWN vravi len o tom, ze adresar, alebo subor, na ktorom je perm. CHOWN nastavene umoznuje danemu uzivatelovi, alebo celej skupine pouzit prikaz CHOWN, ked to je nutne (inak v zakladnych opravneniach ma na to pravo iba superuser, cize ROOT), alebo ked uznaju za vhodne.
3. teda priklad, ak by sme chceli, aby v nasom ADRESARE mohol na kazdy novy objekt pouzit kazdy (everyone) CHOWN, tak by to bolo:

chown +a „everyone allow chown,file_inherit,directory_inehtir“ ADRESAR

akurat, ze to sme asi nechceli, minimalne tomasnovi sa asi nechce zakazdym po nakopiorvani menit rucne OWNERSHIP suborov (aj ked cez ten automator by to teraz uz slo)
4. ten moj prikaz, to su vlastne vsetky ACL. Tym sa zabezpeci, ze cez ACL dostane lubovolny uzivatel automaticky uplne plne opravnenia na novy SUBOR/OBJEKT bez toho, aby bol jeho vlastnikom. Dokonca sa nim moze stat, ak to uzna za vhodne.
Kedze nechceme, aby na tomasnovom pocitaci mal kazdy v tom ADRESARi plne opravnenia, tak som dal navod, ako to spravit len pre jeho usera.

Problem ACL je dost to, ze su v kazdom UNIXE ine trebars. Prave FILE_INHERIT a DIRECTORY_INHERIT maju len FREE BSD, MAC OS X (co su dost pribuzne systemy) a Sun na svojom ZFS filesysteme. MAC ma aj tie na dedenie od 10.4.
A tym padom portovane utility (trebars ja mam skuseny OpenOffice) cast nevlaju spravne c-ckove funkcie a nepozeraju vsetky opravnenia. Takze ak tomasnovi priatelka nakopiruje DOC do SHARE cez siet a bude tam chciet nieco zmenit v OpenOffice, tak mu to nepojde, lebo OpenOffice zjavne necita file_iherit permission a preto nepohopi, ze subor ma nejake INHERITED PERMISSIONS a nedovoli tomasnovi do neho pisat.

Co sa tyka vsvetlenia jednotlivych, tak to sa mi teraz uz nechce, sam nerozumiem orpraveniu SEARCH a par z nich viem len priblizne. Ale mozem zajrta napisat, ak bude cas

[mrzo]

No tak nejako som to pochopil aj ja teda. Tie ACL teda nedokazu zmenit vlastnika ani prava, skor len umoznuju nastavit ine prava k objektom FS ako defaultne permissions – predpokladam, ze ACL su im nadradene. Co sa tyka vysvetlenia zaujimala by ma najme ta dedicnost ak budes mat niekedy este cas.

Inak k povodnemu problemu – je tu este moznost pouzit folder actions.

[sleepwalk3r]

myslim ze dedicnost by sa mohla dat vyriesit aj bez pouzitia ACL cez obycajny „setgid“. Sice niesom momentalne pri osx a neviem si to overit ale mohlo by to stacit.

[tomasno1]

Folder Actions, AppleScript scripts, Automator si necham na domacu ulohu, ked budem mat viac volneho casu.

@babo: diki za vycerpavajuce vysvetlenie ACL. Kolko sa venujes Macom?

@sleepwalk3r: standardne sa prikaz „setgid“ zrejme v terminali nenachadza.

[babo]

mrzo: ano tak sa to da povedat. Kombinacia standardnych a ACL funguje trochu komplikovane, ale celkom ocakavane. Vlastne sa ako keby scitavaju, kym nedojde ku konfliktu. Ak mas klasicke read permission a nemas ho podla ACL, tak mozes citat. Ak nemas klasicky read, ale mas ACL read, zase mozes citat.
Ak vsak mas na ACL „deny“ (a nie „allow“), tak deny je nadradene uplne vsetkemu (deny read a r cez klasicke na rovnakeho usera znamena, ze user ma deny). deny permissions je vsak pomerne nebezpecne, ked sa nepouzije spravne, moze to znamenat velke neprijemnosti. (na UNIXE kludne subory, ktore nedokaze zmazat nikto ani root, na WINDOWSE deny to Everyone read na C:\WNDOWS neocakavane pre mnoho ludi sposobi, ze system nedokaze nabootovat -> ono totiz aj Administrator, aj SYSTEM account su clemi skupiny everyone, ak sa to nahodou neprestavi).
Na MAC OS (s najvcasou pravdepodobnostoou) nejaky deny to everyone na read a deny na chown by asi tiez mohlo byt pekne neprijemne… potom este nejaky imnuation bit, aby to urco nemohol zmenit ani root… a mozes preformatovat particiu, proste bez mkfs sa suboru nezbavis :)

Ak bude cas, spravim ti este priklad na ten File_inherit a spol v terminale, par vypisov, snad to bude jasne.

sleepwalk3r: setgid ma tiez napadol, ale nechcelo sa mi to uz vcera v noci skusat. Netusim, ci to v Darwin funguje

[sleepwalk3r]

len este doplnim ze setgid nie je terminalovy prikaz ale „vlastnost“ suboru/adresara.
nastavuje sa klasicky cez „chmod g+s /cesta/k/adresaru“ alebo „chmod 2755 /cesta/k/adresaru“
v druhom pripade sa nastavia aj standardne permissions drwxr-xr-x ..samozrejme sa to da lubovolne menit.

[babo]

tomasno: Macom? Asi 2 mesiace :) :) Vzdy som ich mal rad, ale kupil som si az koncom minuleho roka. ACL su ale obecna zalezitost, robil som s nimi nieco na FreeBSD, nieco na IMB AIX Unixe, nieco na linoxoch (linux nemam moc rad, radsej mam klasicke UNIXy, pripadne ich BSD vetvu) a hodne vela aj na WIN (marna slava, WIN ich maju premakane uz pekne davno, v tom boli lepsi).
A z niektorych ACL som stale aj ja puk, napriklad ten SEARCH nemozem uplne presne pochopit :)

Celkovo sa chcem pozriet lepsie na architekturu a administraciu MAC OS, GUI ma krasne (Prve, co sa mi fakt paci v nejakom OS, ziadne WIN, ziadne XWIN na linuxe), ale nie je zle aj lepsie rozumiet tomu, co je za tym :)

[sleepwalk3r]

OT: kokos babo. ty mas radsej UNIX ako Linux ? ufff.. to si asi nemusel nikdy robit s HP-UX ktory by mohli premenovat skor na HP-SUX. Uplne zleee to je.. Nemat na tom doinstalovany bash tak sa asi uplne zblaznim.

[babo]

=======
no tak to pozor, HP-UX nenavidim :) :) Ale to je presne System V arhitecture vetva, ktoru nemam rad (a linux ma tiez vlea veci zo System V). a HP je specialita, ako som uz raz pisal, max. tlaciaren aj to uz dnes neviem. Zabili VMS aj True 64, hoci to boli podstatne lepsie systemy ako ten ich bastl.
Ale ak tym myslis ksh, tak mi to vobec nevadi. Ved set -o vi a ficis :) :) Proste HeJKaL ako vo vi bez sipiek, neni problem :D :D ja nepouzivam bash ani v MACU, som si zapol KSH :) :) (nedovolili nam bash niekde na produkcnom prostredi kedysi bash, mali na to dovod a tak som si zvykol, ze uz bash vypinam, v KSH som rychlejsi).
Je ale pravda, ze HP UX ma extra dementy KSH a spusta veci tam nefunguje, co by mala (hlavne v skriptoch).

Najviac na HP neznasam ten ich SUPERDOM, lebo to nie je velky HIGH END server, to je fakt par pomerne slabych spojenych do jednej krabice, ktory sa vzdy aj tam musi rozdelit aspon na 2 particie, najlepsie na 4 :)

Spusta ludi nema rada inak IBM AIX, lebo je dost iny… ale podla mna je perfektny.

LINUX vlastne mam rad, lebo je to len jadro (aj ked system V, zalozeny na 1000rocnych semaforoch atd). Ale vytacaju ma distribucie. Uz len taky RED HAT. Ked sa pozriem kde boli configuraky v RED HAT 7.3, 8, 9, stale sa to menilo Fedora to ma zase inak, RHEL zase inak. Minule som konfiguroval DNS a ked som zistil, kde je umiesnuje named.comf niekam do /var/named/chroot/etc/named.conf , tak som myslel, ze ma trafi slak. Na niektore veci vedie z /etc aspon link, ale na niektore ani omylom… No GRC :)

=============

co sa tyka toho chmod g+s na adresar…. Ma to par nevyhod. Ako na MAC OS X to musi ist, aj ked tiez za nim nie som teraz. Fajn je, ze naozaj by na dany subor dostala prava skupina podla adresara. Ale nevyhoda, ze ti subor cita kazdy clen skupiny (to sa da riesit zalozenim novej, ale to je prave v MAC OS take dost nedokumentovane cez dscl ci ako sa ten prikaz vola).
Dalsia nevyhoda je, ze podla default budes mat prave aj na nove objekty prava 755, priapdne 750. To znamena, ze nebudes mat pravo zapisovat do suboru a budes ho musiet zbytocne kopirovat a zmazat (move nebude stacit, lebo vtedy permissions ostavaju). To pri nejakom velkom videu moze byt otrava. Dokonca by takto este aj s chown boli problemy, musel by sa robit dokonca az cez sudo na superusera

[Autor]

Príspevky