Nová čísla časopisů od nakladatelství Raspberry Pi: MagPi 140 (pdf) a HackSpace 77 (pdf).
ESPHome, tj. open source systém umožňující nastavovat zařízení s čipy ESP (i dalšími) pomocí konfiguračních souborů a připojit je do domácí automatizace, například do Home Assistantu, byl vydán ve verzi 2024.4.0.
LF AI & Data Foundation patřící pod Linux Foundation spustila Open Platform for Enterprise AI (OPEA).
Neziskové průmyslové konsorcium Khronos Group vydalo verzi 1.1 specifikace OpenXR (Wikipedie), tj. standardu specifikujícího přístup k platformám a zařízením pro XR, tj. platformám a zařízením pro AR (rozšířenou realitu) a VR (virtuální realitu). Do základu se z rozšíření dostalo XR_EXT_local_floor. Společnost Collabora implementuje novou verzi specifikace do platformy Monado, tj. open source implementace OpenXR.
Byla vydána nová verze 0.38.0 multimediálního přehrávače mpv (Wikipedie) vycházejícího z přehrávačů MPlayer a mplayer2. Přehled novinek, změn a oprav na GitHubu. Požadován je FFmpeg 4.4 nebo novější a také libplacebo 6.338.2 nebo novější.
ClamAV (Wikipedie), tj. multiplatformní antivirový engine s otevřeným zdrojovým kódem pro detekci trojských koní, virů, malwaru a dalších škodlivých hrozeb, byl vydán ve verzích 1.3.1, 1.2.3 a 1.0.6. Ve verzi 1.3.1 je mimo jiné řešena bezpečnostní chyba CVE-2024-20380.
Digitální a informační agentura (DIA) oznámila (PDF, X a Facebook), že mobilní aplikace Portál občana je ode dneška oficiálně venku.
#HACKUJBRNO 2024, byly zveřejněny výsledky a výstupy hackathonu města Brna nad otevřenými městskými daty, který se konal 13. a 14. dubna 2024.
Společnost Volla Systeme stojící za telefony Volla spustila na Kickstarteru kampaň na podporu tabletu Volla Tablet s Volla OS nebo Ubuntu Touch.
Společnost Boston Dynamics oznámila, že humanoidní hydraulický robot HD Atlas šel do důchodu (YouTube). Nastupuje nová vylepšená elektrická varianta (YouTube).
V klasických právech má soubor či adresář tyto skupiny oprávnění:
Každá tato skupina může mít nastavenu kombinaci těchto práv pro
Dále může mít objekt přiřazeny speciální bity: setuid, setgid, sticky.
Příklad klasických práv: Vlastník je uživatel ondra, který má práva pro čtení i zápis, dále soubor mohou číst členové skupiny uzivatele. Ostatní nemají k obsahu souboru přístup.
[tomas@centos]$ ls -l soubor -rw-r----- 1 ondra uzivatele 0 Nov 19 16:08 soubor
Nastavení těchto práv je v klasickém systému dosaženo příkazy chmod (změna práv) a chown (změna vlastníka, změnu může provést pouze root):
[root@centos]# chown ondra:uzivatele soubor [root@centos]# chmod 750 soubor
Na jednoduché přiřazení práv se klasická práva výborně hodí, avšak selhávají i ve velmi jednoduchých případech, např: určit dva uživatele s právem pro zápis a čtení, dalšími vyjmenovanými uživateli s právem pouze pro čtení a ostatní bez přístupu. Tuto situaci řeší ACL velmi jednoduše.
Všechny hlavní systémy souborů v Linuxu (ext3, XFS, JFS, ReiserFS) ACL zvládají. U souborového systému ext3 je potřeba nastavit parametry mountu, což lze provést buď v /etc/fstab, nebo utilitkou tune2fs.
[root@centos]# tune2fs -o acl /dev/sdxy
A remountovat (znovu připojit) oddíl: mount / -o remount.
Pro správu rozšířených práv jsou určeny příkazy setfacl a getfacl z balíku acl.
Přidávají ke klasickým právům vlastníka a skupiny zejména práva dalších uživatelů, skupin a také výchozí práva (pro adresáře). Dále je možné nastavit masku práv.
ACL záznamy se přidávají příkazem setfacl s parametrem -m. Záznamy mají tvar user:"jmeno uzivatele":"prava". Je možné použít i zkrácený tvar, místo user lze použít u, místo group stačí g atd. Záznamy bez uživatele nebo skupiny se zadávají ve tvaru mask:"práva".
Práva se zadávají ve tvaru rwx (jakákoliv libovolná kombinace práv pro čtení, zápis a spouštění). "Prázdná" práva se zadávají ve tvaru ---.
Příkaz getfacl na soubor použitý v předchozím příkladu vypíše:
[root@centos]# getfacl soubor # file: soubor # owner: ondra # group: uzivatele user::rw- group::r-- other::---
Zatím nic nového. Soubor vlastní uživatel ondra s právy rw, skupina uzivatele s právem jen pro čtení (r) a ostatní bez práv. Tedy přesně tak, jak bylo nastaveno pomocí klasických práv.
Nyní budeme požadovat, aby měl do daného souboru přístup pro zápis též uživatel milos:
[root@centos]# setfacl -m user:milos:rw soubor [root@centos]# getfacl soubor # file: soubor # owner: ondra # group: uzivatele user::rw- user:milos:rw- group::r-- mask::rw- other::---
Ve výpisu přibyl jednak přidaný záznam pro uživatele milos a také maska. Výpis přes ls -l soubor v tuto chvíli zobrazuje nepřesné informace o právech a znakem '+' informuje o použití rozšířených práv:
[root@centos]# ls -l -rw-rw----+ 1 ondra uzivatele 0 Nov 19 16:08 soubor
Maska je filtr práv, princip je jasný z příkladu:
| Uživatelská práva | user:simona:r-x |
r-x |
| Maska | mask::rw- |
rw- |
| Skutečná práva Simony | r-- |
|
Uživatel simona nemůže soubor spouštět i přes to, že má přiřazeno právo ke spouštění. Nastavená maska práv jí to ruší.
O omezení práv (resp. o efektivních - skutečných - právech) z důvodu masky informuje i výpis getfacl, např:
user::r-x #effective:r--
Maska se v praxi příliš nepoužívá. Obvykle se tedy nastavuje na rwx.
Podobně jako právo pro uživatele můžeme přidat práva pro skupinu. Chceme, aby do souboru mohli zapisovat též uživatelé ve skupině kamaradi:
[root@centos]# setfacl -m group:kamaradi:rw soubor getfacl soubor # file: soubor # owner: ondra # group: uzivatele user::rw- user:milos:rw- group::r-- group:kamaradi:rw mask::rw other::---
Jsou přiřazena k adresáři a sama o sobě neřídí přístup. Jejich smysl je v přiřazení práv k souborům a dalším podadresářům.
S výchozími právy je systémem zacházeno dvojím způsobem:
Výchozí ACL záznamy se přidávají příkazem setfacl s parametry -d -m, za nimiž následuje již známý zápis práv.
Příklad: máme adresář, do kterého chceme udělit přístup uživatelům ve skupině kamaradi, kteří tam budou vytvářet soubory tak, aby je ostatní uživatelé v této skupině mohli měnit. Dále požadujeme, aby další uživatelé ve skupině uzivatele měli možnost tyto soubory číst. Ostatní nebudou mít přístup.
Vytvoření adresáře, přiřazení práv pro skupinu kamaradi a přidání výchozích práv téže skupině.
[root@centos]# mkdir Spolecny [root@centos]# setfacl -m group:kamaradi:rwx Spolecny [root@centos]# setfacl -d -m group:kamaradi:rwx Spolecny
Dále přidáme práva pro čtení a odpovídající výchozí záznam pro skupinu uzivatele:
[root@centos]# setfacl -m group:uzivatele:rx Spolecny [root@centos]# setfacl -d -m group:uzivatele:rx Spolecny
A nakonec je třeba upravit práva pro ostatní.
[root@centos]# setfacl -m other:--- Spolecny [root@centos]# setfacl -d -m other:--- Spolecny
Práva adresáře po těchto úpravách vypadají takto:
[root@centos]# getfacl Spolecny/ # file: Spolecny # owner: root # group: root user::rwx group::r-x group:kamaradi:rwx group:uzivatele:r-x mask::rwx other::--- default:user::rwx default:group::r-x default:group:kamaradi:rwx default:group:uzivatele:r-x default:mask::rwx default:other::---
Soubor vytvořený v adresáři Spolecny uživatelem milos, který je ve skupině kamaradi, bude pak mít práva:
[root@centos]# su milos [milos@centos]$ touch milosuv_soubor [milos@centos]$ getfacl milosuv_soubor # file: milosuv_soubor # owner: milos # group: milos user::rw- group::r-x #effective:r-- group:kamaradi:rwx #effective:rw- group:uzivatele:r-x #effective:r-- mask::rw- other::---
K tomuto souboru jsou nastavena práva tak, jak bylo v zadání s tím, že došlo k omezení práv na rw místo očekávaného rwx. Toto je způsobeno nastavením umask v systému (více viz man umask). Soubory se standardně vytvářejí jako nespustitelné. Pro nastavení práv spouštění lze použít třeba chmod u+x,g+x milosuv_soubor. Nebo opět pomocí setfacl.
Nově vytvořený podadresář pak má práva:
[milos@centos]$ mkdir Milosuv_Adresar [milos@centos]$ getfacl Milosuv_Adresar/ # file: Milosuv_Adresar # owner: milos # group: milos user::rwx group::r-x group:kamaradi:rwx group:uzivatele:r-x mask::rwx other::--- default:user::rwx default:group::r-x default:group:kamaradi:rwx default:group:uzivatele:r-x default:mask::rwx default:other::---
Nově vytvořený adresář zdědil jak přístupová práva, tak i výchozí záznamy.
Nástroje: Tisk bez diskuse
Tiskni
Sdílej:
Lze v Linuxu řešit nějakým způsobem dědění práv v již vytvořených adresářích? např:
- změna práv adresáře nastaví práva v souborech
- při kopírování soborů do adresáře kopírovaný soubor zdědí práva 'nového' adresáře?
Velmi mi chybí nastavování práv ala Novell Netware. Pokud to nelze čistě přes ACL filesystemu, existuje nějaká spolehlivá finta?
1/ samo nikoliv, ale pokud menis prava na adresari pouzijes parametr -R pro rekursivni nahrani prav vsech podadresarum a souborum
2/cekal jsem ze ano, ale zda se ze nikoliv, ale mozna to je muj problem, ACL pouzivam totiz pouze u SMB sdileni, a cast nastaveni ACL, dedicnost, apod. resim pres Sambu
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
cp je pak přepíše víceméně v souladu s právy kopírovaného souboru. Pokud se proces rozhodne práva dodatečně změnit, je proti tomu samozřejmě nastavení defaultního ACL bezmocné.
problem taky muze byt v tom ze jsem vocas, a kopiroval jsem to v MC, a to ted nevim jestli je s podporou ACL.
Ovšem cp z coreutils nic takové standardně nedělá. To by ho k tomu musel uživatel donutit přepínačem -p.
Zkoušel jsem si to a verze 6.12 se chová dle očekávání (tj. v rozporu s tím, na co si stěžoval předřečník):
$ strace cp testfile testdir/
[…]
open("testfile", O_RDONLY|O_LARGEFILE) = 3
fstat64(3, {st_mode=S_IFREG|0755, st_size=0, ...}) = 0
open("testdir/testfile", O_WRONLY|O_CREAT|O_EXCL|O_LARGEFILE, 0755) = 4
fstat64(4, {st_mode=S_IFREG|0755, st_size=0, ...}) = 0
read(3, ""..., 4096) = 0
llistxattr("testfile", (nil), 0) = 0
llistxattr("testfile", 0xbf9810a0, 0) = 0
close(4) = 0
close(3) = 0
a na proti tomu:
$ strace cp -p testfile testdir/
[…]
open("testfile", O_RDONLY|O_LARGEFILE) = 3
fstat64(3, {st_mode=S_IFREG|0755, st_size=0, ...}) = 0
open("testdir/testfile", O_WRONLY|O_CREAT|O_EXCL|O_LARGEFILE, 0700) = 4
fstat64(4, {st_mode=S_IFREG|0700, st_size=0, ...}) = 0
read(3, ""..., 4096) = 0
utimensat(4, NULL, {{1228989937, 0}, {1228989937, 0}}, 0) = 0
llistxattr("testfile", (nil), 0) = 0
llistxattr("testfile", 0xbfe54d70, 0) = 0
fgetxattr(3, "system.posix_acl_access", 0xbfe54ca0, 132) = -1 ENODATA (No data available)
fstat64(3, {st_mode=S_IFREG|0755, st_size=0, ...}) = 0
fsetxattr(4, "system.posix_acl_access", "\x02\x00\x00\x00\x01\x00\x07\x00\xff\xff\xff\xff\x04\x00\x05\x00\xff\xff\xff\xff \x00\x05\x00\xff\xff\xff\xff", 28, 0) = 0
close(4) = 0
close(3) = 0
cp je tedy do mé odpovědi potřeba dosadit jiný program (ten, u kterého se popisovaný problém vyskytuje).
11.12.2008 10:44
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Částečně to řeší SUID/SGID bit na adresáře.
Ale SGID efekt má:
Vše uvnitř bude mít tedy požadovanou skupinu. O práva k adresářům a souborům se nadále musí tvůrce postarat sám.
> Velmi mi chybí nastavování práv ala Novell Netware.
Novell Netware je nyni implementovany jako sada sluzeb pod Linuxem a pokud vim, tak netwarovy system pristupovych prav je tam k dispozici. U Novellu vam reknou, kolik to stoji a co budete potrebovat.
Dodám jen pár drobností:
1. Při změně práv vlastníka nebo skupinového vlastníka se parametr nezadává ve tvaru u:práva, ale u::práva
2. Stejně jako tradiční práva, i ACL se vyhodnocují podle principu "rozhoduje první, co odpovídá", přičemž pořadí je vlastník, jednotliví uživatelé, skupinový vlastník, jednotlivé skupiny, ostatní.
3. Maska se neaplikuje na práva vlastníka, pouze na práva skupinového vlastníka a jednotlivých uživatelů a skupin.
Z toho nového fontu mě bolí oči. Prosím, proveďte obnovu kaskadových stylů ze zálohy.
11.12.2008 09:04
belisarivs | skóre: 22
| blog: Psychobláboly
Nastav si ve FF Dejavu Sans a mas pokoj.
Asi chybka:
[root@centos]# geftacl soubor
Ma byt IMHO:
[root@centos]# getfacl soubor
PS: ten wysiwig editor v kterym toto pisu mi moc nefunguje - nejde pastovat prostredtim tlacitkem (resp. jen nekdy, coz je jeste horsi nez kdyby vubec), protoze se dostanu do modu scrollovani. Dale jsem se dostal do situace, kdy jsem chtel vlozit znaky na urcite misto uprostred odstavce, najel jsem tam kurzorem (at mysi ci klavesnici), napsal pismeno, ale pismeno se vlozilo do prazdneho radky nad odstavcem, v kterem jsem byl.
11.12.2008 09:28
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Jako první krok dobrý, ale správu většího serveru bych s tím dělat nechtěl. Oč elegantnější řešení má třeba OpenVMS, kde můžete uživateli přidělit nejaký identifikátor - například "MANAGEMENT" - a poté přidělovat práva držitelům identifikátorů namísto konkrétních uživatelů:
(IDENTIFIER=MANAGEMENT,ACCESS=R+W+E+D)
(DEFAULT_PROTECTION,S:RWED,O:RWED,G,W)
(IDENTIFIER=MANAGEMENT,OPTIONS=DEFAULT,ACCESS=READ+WRITE+EXECUTE)
(CREATOR,ACCESS=READ+WRITE+EXECUTE+DELETE)
Takže admin pak pouze přiděluje identifikátory a spravuje uživatelské účty, zatímco nastavení práv ve filesystému se nemění. Identifikátory nejsou totéž co skupiny, uživatel jich může mít neomezené množství. Počet ACL záznamů na jednom objektu také není omezen.
Nemluvě ani o dalších možnostech jako například nastavit detailní logování přístupu do logu nebo jako alarm na terminálu operátora
(ALARM=SECURITY,ACCESS=DELETE+CONTROL+SUCCESS+FAILURE)
Implementace v linuxu mi přijde jako dobrý první krok (já vím, je to POSIX), ale pro skutečné použití na velkých serverech se stovkami či tisíci uživatelů stále poněkud neohrabaná.
Identifikátory nejsou totéž co skupiny, uživatel jich může mít neomezené množství.Jaký je tedy rozdíl mezi identifikátorem a skupinou? Uživatel snad může být také členem neomezeného množství skupin.
identifikátory mohou mít přiřazeny ještě atributy, které jejich chování mění. Je to na delší vyprávění, tak si dovolím citovat z dokumentace:
¨
| Dynamic attribute | Allows holders of the identifier to remove and to restore the identifier from the process rights list by using the DCL command SET RIGHTS_LIST. |
| Resource attribute | Allows holders of the identifier to charge disk space to the identifier. It is used for file objects. |
| Subsystem attribute | Allows holders of the identifier to create and maintain protected subsystems by assigning the Subsystem ACE to the application images in the subsystem. |
| No Access attribute | Makes any access rights of the identifier null and void. This attribute is intended as a modifier for a resource identifier or for purposes unrelated to access control. |
Sites with high security requirements are likely to use two other attributes, which discourage users from scanning the rights database:
| Holder Hidden attribute | Prevents someone from getting a list of users who hold an identifier unless that person owns the identifier. |
| Name Hidden attribute | Allows holders of an identifier to have it translated (either from binary to ASCII or vice versa), but prevents unauthorized users from translating the identifier. |
Ale je fakt, že to už je vyšší dívčí a málokde se to používá, i když možná částečně i proto, že o tom administrátoři nevědí.
Srovnávat VMS a POSIX dost dobře nelze.
Posixové skupiny mají spoustu ošklivých vlastností: Členství ve skupině je vlastnost procesu, nikoliv uživatele, takže přidávání a odebírání je nutné pojistit pozabíjením všech procesů. Dále pokud může uživatel vytvářet SGID soubory, je nutné po něm uklidit, jinak se může znovu do skupiny dostat.
Ale je pravda, že tohle nejsou ani tak problémy skupin, jako problémy posixové kontroly přístupu.
getfacl -R --skip-base > backup.acl setfacl --restore backup.acl3/ exisuji i acl managery, napr. http://rofi.roger-ferrer.org/eiciel/
11.12.2008 20:27
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
pokud na soubor jednou pouziji acl, uz nikdy nepouzivat klasicky chmod ale jen setfaclOK. To zní dost závažně na to, aby si na to člověk začal dávat pozor. Ale zároveň dost bezobsažně na to, aby na to člověk za pět minut zapomněl. Takže prostá otázka: co se může stát, když ne?
11.12.2008 22:19
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
.
11.12.2008 18:05
11.12.2008 08:33
11.12.2008 19:40
chmod neovlivňuje acl záznamy, tj pokud přidáš třeba právo spouštění pomocí chmod a+x soubor, tak uživatelé, kteří již měli nastavená práva třeba na rw, jej stále nebudou moci spouštět (budou mít pořád rw).
12.12.2008 07:02
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Kdyby to byl nějaký nesmysl ve stylu chmod zruší všechna ACLka, tak to beru
ACL_USER_OBJ, ACL_GROUP_OBJ a ACL_OTHER v access control listu. Tyhle položky zobrazují a mění a zbytku si nevšímají.
Děkuju za hezký a užitečný článek. Akorát tu masku nějak nechápu, ale to se poddá.
rwxrwxrwx). Pokud jde o smysl masky, ten mi také uniká, protože podle mne každý, kdo má právo měnit ACL práva, má i právo měnit masku. Může to sloužit asi jako usnadnění – pokud vím, že soubor není spustitelný, nastavím mu masku rw-rw-rw-, a vím, že nepůjde omylem nastavit právo ke spuštění. Ale možná to má i nějakou jinou výhodu, která mi zůstala utajena.
setfacl: rotor: Operation not supported
Tohle mi to píše, když zadám příkaz setfacl -m user:kav:rx rotor (jedná se o adresář /home/rotor).
Postupoval jsem podle článku, mám ext3 a 64bitové Kubuntu Hardy Heron. Ten příkaz jsem zadal jako uživatel root. Verze setfacl je 2.2.45.
11.12.2008 20:23
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
tune2fs, nebo mount.
Zkuste mount "ten mountpoint" -o remount,acl.
Pokud to ani pak nepůjde, dejte sem výstup z tune2fs -l /dev/sdaX (oddíl, kde je ten filesystém na kterém to zkoušíte) a podíváme se na to.
Díky moc. mount "ten mountpoint" -o remount,acl pomohlo. Tu volbu "acl" musím přidat i do /etc/fstab, že?
11.12.2008 20:43
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
/etc/fstab nebo ji přidat k "Default mount options" pomocí tune2fs -o acl /dev/sdX. Osobně mám raději druhou metodu, protože je to pak v parametrech to systému souborů. Pokud by jednalo o přenosný disk, nemusí se na to při připojení jinde myslet.
ACL mi připadá opravdu težkopádné a složité na údržbu. Zejména zjišťování na co má ten či onen právo ve velmi košaté struktuře adresářů s mnoha soubory je k zbláznění.
Pro data sdílená uživateli bych nejraději viděl systém, kde se budou nastavovat práva jen na úrovni adresářů a bude zde existovat dědičnost.
Zvláštní - podobný šlánek jsem se zrovna chystal napsat . Ovšem v trochu jiném duchu - autor napčíklad úplně zapoměl dodat, že popsaný model ACL nebyl nikdy POSIX ratifikován a je založen pouze na POSIX draftu. Taktéž s exportem souborových systémů využívajících tohoty typu ACL je to dosti problematické (NFSv2,3 toto třeba neřeší a ostatní síťové FS už vůbec).
Osobně si myslím, že daleko větší budoucnoust má v Linuxu standard ACL podle NFSv4.
16.12.2008 19:38
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
20.10.2009 09:10
daan | skóre: 6
| blog: Clairvoyant
| Bratislava
user::rwx group::r-x group:smb-family:r-x group:smb-admins:rwx mask::rwx other::--- default:user::rwx default:group::r-x default:group:smb-family:r-x default:group:smb-admins:rwx default:mask::rwx default:other::---Práva nakopírované složky z windows do sdílené složky data.
user::rwx group::rwx group:smb-family:r-x group:smb-admins:rwx mask::rwx other::-wx default:user::rwx default:group::r-x default:group:smb-family:r-x default:group:smb-admins:rwx default:mask::rwx default:other::---