【发布时间】:2010-10-26 13:17:21
【问题描述】:
是否可以设置目录权限,使组能够读取和写入文件和子目录但不能删除任何内容?
【问题讨论】:
-
我将“删除任何内容”解释为包括禁止对现有文件进行任何修改。你是这个意思吗?您的用户是否可以直接访问文件系统,或者他们是通过 NFS、Samba 或其他路径 (FTP) 进入的?
【发布时间】:2010-10-26 13:17:21
【问题描述】:
嗯,这个目录应该是 r-x。
而且里面的文件会有 rw-。
这是因为如果文件的权限允许写入,则文件可以写入,但只有在其目录的权限允许写入时才能删除。
【讨论】:
-
你也不能移动文件
-
粘性位也很相关。
可能与否,请确保用 0 字节文件覆盖并不等同于在您的特定上下文中删除文件。
【讨论】:
-
你可以使用'chattr +a',意思是“文件只能以追加模式打开进行写入”,意味着你不能重写现有的内容,但你可以在末尾添加新的内容。这应该可以防止截断。
-
但是 chattr +a 需要 root 权限才能设置新文件。
在目录上设置粘性位可能就足够了。用户将能够删除他们拥有的任何文件,但不能删除其他用户的文件。这对于您的用例可能已经足够了。在大多数系统上,/tmp 是这样设置的(/tmp 设置为 1777)
chmod 1775 /受控
但是,如果您想要更多控制权,则必须在相关文件系统上启用 ACL。
在 /etc/fstab 中,将 acl 附加到标志:
/dev/root / ext3 defaults,acl 1 1
然后您可以使用 setfacl/getfacl 来控制和查看 acl 级别的权限。
示例:(创建文件,一旦写入,它们是只读的,但可以被所有者删除,但不能被其他人删除。)
setfacl --set u::rwxs,g::rwx /controlled
setfacl -d --set u::r-x,g::r-x,o::- /controlled
您可以在目录上设置默认的 acl 列表,该目录将被在那里创建的所有文件使用。
正如其他人所指出的,请注意准确指定您想要的内容。你说“写”——但用户可以覆盖他们自己的文件吗?他们可以更改现有内容,还是只是追加内容?一旦写入,它是只读的?也许您可以在 cmets 中指定更多详细信息。
最后,selinux 和 grsecurity 提供了更多的控制,但这是完全不同的蠕虫。设置可能非常复杂。
【讨论】:
-
你的意思是 1777 代表 /tmp 吗? 4 表示 SetUID 位(我相信它只对 BSD 派生系统中的目录有意义)。
-
我在运行
setfacl --set u::rwxs,g::rwx /controlled时遇到各种错误(其中“/受控”是要修改的文件夹)。setfacl -m u::rwx,g::rwx /controlled -
如果“1775”不起作用(因为它不适合我)我将其更改为“1777”并且它起作用了。这将确保每个人都可以写入目录但不能删除(和读取)其他用户文件。