point sur les mask et droits Samba-système
Bonjour,
après m'être un peu cassé la tête pour comprendre le fonctionnement des droits, mask, umask, acl, et avoir tenté pas mal de combinaisons. J'aimerai expliquer ce que j'ai compris pour avoir confirmation et poser quelques questions.
1. de base sur un systeme linux :
- les fichiers sont créer avec les droits 666
- les dossiers sont créer avec les droits 777
2 l'umask par défaut est 0022, ce qui donne :
- des fichiers avec les droits 644 par défaut à la creation
- des dossiers avec les droits 755 par défaut à la création
La commande umask permet de changer l'umask.
Mais cette modif n'est valable que pour la session utilisateur en cours, comment la rendre permanente et globale ?
Comment peut-on donner un droit d'execution à un fichier à sa création (changer le 666)?
3. Avec un partage Samba le create mask et directory mask d'un partage passe outre l'umask. Enfin, presque...
- Un directory mask = 0777 permet de créer des dossiers (depuis un client windows) avec les droits 777, et ce peu importe l'umask.
- Un create mask = 0777 passe également outre l'umask et même la création de fichier avec les droits 666 de base, mais les droits définis pour un nouveau fichier sont 766 et non 777, pourquoi ?
4. Samba et le droit d'exécution.
Si l'absence du droit d'exécution empêche bien l'exécution d'un script (batch, sh) ou d'un exe sur le système linux ; ce n'est pas le cas via le partage samba (et depuis un client windows) la présence ou l'absence de ce droit ne change rien, les fichiers sont exécutables à partir du moment où on a le droit en lecture, pourquoi ?
5. umask, mask et acls
Les acls ne sont pas impactés par l'umask système, ni par les mask de samba.
Ils possèdent leur propre mask qui limite les droits à un maximum pour tous les utilisateurs sauf le propriétaire et les autres(other).
Je n'ai pas encore tester cette combinaison, mais du coup je présume que ce mask prend le pas sur l'umask pour le groupe propriétaire, non ? et que deviennent les mask samba pour ce dernier (groupe propriétaire) ?
En conclusion, pour des partages samba avec gestion des acls, je pencherais pour les principes suivants :
- un umask de 027 pour obtenir les droits 750 par défaut.
- des mask samba pour les cas particuliers (espace public, par exemple)
- l'essentiel de la gestion des droits grâce aux acls et notamment aux acls par défaut (d. Pas de modification du mask des acls, sauf cas particulier, pour bloquer l'écriture à tout le monde en cas de maintenance par exemple.
Question subsidiaire : j'aurai tendance à définir un groupe "admins du domaine", que je mettrais en propriétaire système par défaut sur tous les dossiers partagés. J'entends par là via un chgrp -R "admins domaine" et chmod -R g+rws. Est-ce une bonne idée ou vaut-il mieux gérer ce groupe comme les autres, via les acls ?
Tout ceci est bien long, je m'en excuse et peut-être y a-t-il des anneries, je compte sur vous pour me les signaler et vous remercie d'avance de vos commentaires et réponses.
Répondre avec citation
Partager