Droits sur répertoire et fichiers contenus dedans

**yoyostras** · 31/03/2015, 09h08

Bonjour,
je suis face à un problème que je n'arrive pas à résoudre.

Sur un serveur, je suis l'utilisateur lm du groupe lm ; j'ai un répertoire CONTROLE dans lequel j'ai un script (monscript.sh) qui tourne et qui écrit des fichiers logs.

Je veux rendre accessible en lecture ce répertoire à 3 utilisateurs u1 u2 et u3 qui ne font pas partie du groupe lm.

Par ailleurs, je veux qu'ils puissent lire et lancer le script monscript.sh (pas d'écriture et pas de rm sur ce fichier !).
Par contre les fichiers logs peuvent être effacés s'ils le veulent et ils doivent pouvoir écraser les fichiers logs existants s'ils relancent ce script.

Je mets les droits x sur le répertoire pour qu'ils y accèdent par la commande cd => OK
Si je ne mets pas les droits w sur le répertoire, ils ne pourront pas faire de rm sur le script, mais pas non plus sur les logs.
Si je mets les droits w sur le répertoire, et uniquement r et x sur le script, le rm sera quand même autorisé.

Comment faire?
Merci pour votre aide.

**Sve@r** · 31/03/2015, 09h47

Bonjour

Le droit "w" sur un répertoire permet de créer des fichiers neufs ou d'effacer les fichiers anciens qui s'y trouvent. Tu ne peux pas alors faire en sorte qu'un user u1 puisse effacer un fichier X et ne pas effacer un fichier Y. Hormis si tu mets le droit "s" au répertoire. Dans ce cas, u1 pourra créer ce qu'il veut mais ne pourra effacer que ses fichiers persos. Ca règlerait "en partie" ton problème mais dans ce cas, le log de u1 ne pourrait pas être effacé par u2.

Perso je pense que t'as mal conçu ton truc. Pourquoi en effet permettre à u1, u2 et u3 d'effacer les logs ? Effacer quelque chose fait perdre la trace de ce quelque chose...

Perso moi je mettrais le répertoire CONTROLE (user lm, groupe lm) en rwxr-xr-x.
Le script je le mettrais en rwxr-xr-x pour que tous puissent l'exécuter et les logs en rw-rw-rw- afin que tes u1, u2 et u3 puissent écrire dedans, les vider s'ils le veulent mais pas les effacer.

Et même j'irais jusqu'à mettre u1, u2 et u3 invités du groupe lm comme ça je peux verrouiller le tout en --- pour other.

Ou alors tu mets ton script dans un autre répertoire relatif et ton rep de logs en rwxrwxrwx. Le script (et tous ceux qui le lancent) peuvent accéder aux logs ou les supprimer mais le script reste non effaçable.

PS: tu peux aussi supprimer le droit "r" de ton dossier "CONTROLE". On ne pourra plus faire de "ls" dans ce dossier mais le script qui accède aux logs "en aveugle" pourra quand-même y accéder...

**jack-ft** · 31/03/2015, 10h26

Envoyé par Sve@r

Perso je pense que t'as mal conçu ton truc.

Je dirais même plus... on pourrait envisager une "meilleure" conception...

Pourquoi en effet permettre à u1, u2 et u3 d'effacer les logs ? Effacer quelque chose fait perdre la trace de ce quelque chose...

Exact! J'utiliserais plutôt un système de rotation de logs.

Ou alors tu mets ton script dans un autre répertoire relatif et ton rep de logs en rwxrwxrwx. Le script (et tous ceux qui le lancent) peuvent accéder aux logs ou les supprimer mais le script reste non effaçable...

PS: le droit "r" que j'ai mis aux différents dossiers de cet exemple est facultatif. Tu peux très bien le supprimer. On ne pourra plus faire de "ls" dans ces dossiers mais le script qui accède aux logs "en aveugle" pourra quand-même y accéder...

Conformément à la proposition précédente de Sve@r, je séparerais plus les choses.
Regarde comment sont faits la plupart (je ne parle pas de matelas) des produits linux.

Pour rester simple et au plus près de ton projet, dans le répertoire principal du projet, disons "/chemin/vers/mon/projet/", je créerais plusieurs répertoires: