Discussion :

[Sve@r]

Bonjour à tous

Aujourd'hui, un collègue de travail m'a demandé de faire en sorte qu'un dossier soit modifiable pour un groupe X et en lecture seule pour un groupe Y.

Je lui ai dit que ce n'était pas possible. Les droits d'un fichier (dossier) se divisent en 3: les droits du propriétaire du fichier, qui concernent tout user correspondant à ce propriétaire ; les droits du groupe du fichier, qui concernent tout user qui, directement ou indirectement (groupe invités) serait du même groupe que le groupe du fichier ; et les droits des autres.

Mais lui il m'a soutenu que c'était possible (bien entendu sans me dire comment car "il ne se souvenait plus"). Alors dans le doute, je viens ici voir/demander si ce serait éventuellement possible...

Merci à tous

[ctac_]

Salut,
Tant qu'il n'y a que 2 groupes, le groupe Y fait parti des others non ?
Cordialement.

[Sve@r]

Tant qu'il n'y a que 2 groupes, le groupe Y fait parti des others non ?

Excellent.
Mais non, je pense que tu sais aussi bien que moi que aussi humoristique que soit ta réponse , elle ne convient pas. Il est implicite que le groupe Y se différentie du reste. Ou (dit autrement), il m'a été demandé que le dossier soit modifiable pour X, en lecture pour Y et rien pour les autres...

[ctac_]

aussi humoristique que soit ta réponse , elle ne convient pas. Il est implicite que le groupe Y se différentie du reste. Ou (dit autrement), il m'a été demandé que le dossier soit modifiable pour X, en lecture pour Y et rien pour les autres...

Je m'en doutais un peu, mais je me disais que c'était peu être un peu un piége genre, attend le spécialiste, on va l'embrouiller.
Pour ma part, je ne suis pas assez un spécialiste, Il y a peut être moyen de faire quelque chose sous X via dbus-pkexec, mais là, ça nécessite de se pencher plus sérieusement sur le sujet.
Peut être en pressant un peu le collègue de travail , ça pourrait intéresser du monde ici!
Cordialement.

[N_BaH]

acl ?
si dispo...

il y a eu un article sur developpez.com, mais il a été purgé de son contenu.

[Christophe]

Tu peux gérer les droits plus finalement avec les ACL. Voici un point de départ :
https://debian-facile.org/doc:systeme:acl

[Sve@r]

Merci à tous pour votre intérêt.

Alors les ACL je connais juste de nom et juste dans les grandes lignes. Je me doutais bien qu'avec cet outil on devait y arriver mais je n'en connais pas assez pour savoir comment faire. Un grand merci à chrtophe pour son lien qui est assez complet (il y a même un exemple correspodant exactement à ma demande) et me donne envie de m'y essayer.

Je ne peux pas m'avancer plus avant dans ce sujet car comme je l'ai dit dès le départ il n'est pas de moi (l'homme qui a vu l'homme qui a vu...). Et en plus (comble du comble) je ne suis même pas l'admin du truc où il faudrait mettre ces droits. Donc en fait, si c'était possible (en dehors des ACL s'entend), il faudrait donc que 1) je sache comment faire et 2) que je l'explique à l'admin en charge. Et en plus le collègue m'a dit ça entre deux portes style "ah au fait il faudrait ..." en me laissant me démerder.
Bref vous l'aurez compris, il s'agit d'un besoin sérieux, clair et bien établi tel que j'en vois souvent et qui je le pense va s'éteindre de sa mort naturelle d'ici lundi prochain. Vos retours me rassurent sur le fait qu'avec les droits standards cela n'est pas possible. Bien entendu si le collègue finit par me dire comment il a fait, je ne manquerai pas de vous en informer. Mais tel que je le connais, je pense qu'il se mélange totalement le cigare entre différents trucs qu'il a eu fait un jour et qui, dans son cerveau embrumé, deviennent une seule opération magique permettant de faire tout ça.

Heureux d'avoir pu échanger avec vous dans cette rubrique où je ne viens pas souvent

[Christophe]

Bref vous l'aurez compris, il s'agit d'un besoin sérieux, clair et bien établi tel que j'en vois souvent et qui je le pense va s'éteindre de sa mort naturelle d'ici lundi prochain.

Si t'as besoin d'aide pour répondre au mail adressé à la terre entière ...

C'est malheureusement dans l'air du temps.

[BufferBob]

salut,

je rejoins ctac_, les droits Unix suffisent, et par expérience les ACL ça complexifie souvent plus qu'autre chose sur une machine de prod.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

drwxrwxr-x   2 root comptabilite    4096 avril  1  2019 données_comptables/

• root est le propriétaire, il fait ce qu'il veut (on s'en fout ici)
• le groupe comptabilite est autorisé rwx, il fait ce qu'il veut y compris écrire
• ceux qui ne font pas partie du groupe (others) n'ont que le droit de traverser le répertoire et lire ce qu'il y a dedans r-x

reste juste à mettre les comptables dans le groupe qui convient.

[Flodelarab]

Bonjour

ceux qui ne font pas partie du groupe (others) n'ont que le droit de traverser le répertoire et lire ce qu'il y a dedans r-x

Et de vider le contenu des fichiers.

[Christophe]

@bufferbob,

il semble que la demande soit :
groupe X : accès complet
groupe Y: accès en lecture seule uniquement
autres groupes : aucun accès

On ne peut donc pas utiliser les droits other, car ça ne couvre pas l'accès en lecture seule pour Y et aucun accès pour les autres groupes.
Mis à part les ACL (qui sont un peu plus chiant à gérer que les droits de base, je te l'accorde), je vois pas.

[BufferBob]

Et de vider le contenu des fichiers.

hmm... j'ai pas testé, c'est sûr ça ? ce serait à cause du +x du coup ?

il semble que la demande soit :
groupe X : accès complet
groupe Y: accès en lecture seule uniquement
autres groupes : aucun accès

ah oui ok, vu sous cet angle ça semble difficile en effet

[Flodelarab]

hmm... j'ai pas testé, c'est sûr ça ? ce serait à cause du +x du coup ?

Oui c'est sûr. C'est justement la bizarrerie. Les droits du dossier s'appliquent au dossier mais les fichiers contenus gardent leurs droits propres.
On ne peut donc pas créer ou supprimer un fichier, mais, vider un fichier et laisser une coquille vide, on peut, car le dossier est inchangé.

Quant au +x du dossier, c'est vrai que si on ne peut pas le traverser, on ne peut rien faire dedans.

À noter : sed -i ne devrait pas marcher dans un dossier protégé en écriture car sed commence par créer un fichier temporaire dans le-dit dossier (ce qui est interdit).
Mais un vim avec un ggvG$d:wq devrait faire couler une larme.

[Sve@r]

ah oui ok, vu sous cet angle ça semble difficile en effet

chrtophe a très bien résumé. C'est exactement ce qui a été demandé. Et oui, si ça avait été aussi simple que mettre le dossier gid=groupeX avec ses droits en 775 je ne serais pas venu ici
Ceci dit, je ne regrette pas d'y être venu. J'aime cette ambiance "bon enfant" pleine d'humour tout en restant professionnelle.

Oui c'est sûr. C'est justement la bizarrerie. Les droits du dossier s'appliquent au dossier mais les fichiers contenus gardent leurs droits propres.
On ne peut donc pas créer ou supprimer un fichier, mais, vider un fichier et laisser une coquille vide, on peut, car le dossier est inchangé.

Cela n'a rien de bizarre. Le droit "w" pour un dossier autorise à y écrire dedans, donc autorise la création et/ou la suppression des fichiers qu'il contient, cette suppression s'appliquant quels que soient les droits du fichier (si celui-ci n'est pas un sous-dossier bien entendu sinon il faudrait d'abord pouvoir le vider avant de l'effacer). Ainsi, aussi incongru que soit ce constat, un dossier en drwxrwxrwx avec un fichier en -r--r--r-- autorise son effacement. Et autorise même sa modification. En effet

1. le fichier est en lecture donc je peux le copier chez-moi
2. la copie m'appartient donc je peux la modifier
3. le dossier est en écriture donc je peux supprimer le fichier qu'il contient
4. le dossier est en écriture donc je peux y rajouter ma propre copie

Seule trace du méfait: la copie de remplacement est à mon nom (ce qui explique aussi pourquoi la commande chown qui permettait à une époque de donner un fichier à un tiers a été interdite ensuite).

Inversement si maintenant le dossier ne possède pas de droit "w", alors on ne peut pas y rajouter ou supprimer de fichiers. Mais si un fichier (fichier classique) dudit dossier possède le droit "w", alors on peut y écrire dedans et donc le vider de son contenu. Dans ce cas le fichier reste mais il est vide.

Brefs pour bien comprendre ce qu'il est possible de faire et de ne pas faire sur un fichier, il faut prendre en considération les droits du fichier mais aussi ceux du dossier qui le contient. Quand on me demande les droits à mettre pour offrir le plus de latitude tout en préservant l'intégrité, généralement je conseille le dossier en drwxr-xr-x et les fichiers en -rw-r--r--. Ainsi on peut tout lire mais rien modifier.

Accessoirement le droit "x" au dossier est nécessaire même pour simplement le lire car le ls -l a besoin de s'y déplacer pour récupérer les stats des fichiers qu'il veut afficher. Sans droit "x" sur un dossier, le ls -l arrive à lister son contenu mais ne peut rien en dire de plus détaillé.

Quant au +x du dossier, c'est vrai que si on ne peut pas le traverser, on ne peut rien faire dedans.

Exact. Il peut même y avoir des dossiers en d--x--x--x permettant de les traverser sans regarder leur contenu. Un dossier par exemple "projetsSecrets" dans lequel on pourrait se déplacer dans son propre projet individuel situé en dessous mais dans lequel on ne pourrait pas regarder quels autres projets il contient...

Mais un vim avec un ggvG$d:wq devrait faire couler une larme.

Il te dirait que le fichier est protégé en écriture et te demanderait de rajouter le point d'exclamation (:wq!) pour forcer l'écriture donc non, pas de larme

[Flodelarab]

Il te dirait que le fichier est protégé en écriture

Ah non non non. Un fichier rw- dans un dossier r-- est vidé. Pas de message. Pas de protection du fichier par le dossier.
Fais le test.

[Sve@r]

Ah non non non. Un fichier rw- dans un dossier r-- est vidé. Pas de message.

Ah désolé, j'avais compris l'inverse (un fichier r-- dans un dossier rw-)

Pas de protection du fichier par le dossier.

Ben oui, normal. Il n'est pas prévu que les droits d'un dossier s'étendent aux fichiers qu'il contient. En plus du temps que ça prendrait, ça génèrerait plus de soucis que de solutions (comment justement dans ce cas gérer le cas d'un fichier modifiable dans un dossier qui ne l'est pas ?)

Donc non. Chacun à sa place. Les droits d'un dossier s'appliquent au dossier uniquement. Et (plus général) les droits d'un fichier s'appliquent uniquement au fichier (fichier à prendre au sens large Unix qui inclus donc aussi les dossiers). Toutefois, comme je l'ai dit, certaines actions que l'on penserait s'appliquer au fichier s'appliquent en fait au dossier qui le contient et peuvent alors surprendre le débutant. Et tel cet avocat qui s'est jeté du 24° parce qu'il voulait montrer la robustesse de ses fenêtres (http://www.darwinawards.fr/top15), le petit malin qui mettrait son fichier en 000 et mettrait au défi ses collègues de l'effacer pourrait avoir des surprises

[troumad]

Bonsoir

Pour un problème semblable, je me suis posé la question su je ne pouvais pas le résoudre avec un partage samba.