Existe uma maneira de ter objetos de sistema de arquivos existentes herdando configurações de ACL padrão recém-definidas de seus diretórios-pai?
A razão pela qual eu preciso fazer isso é que eu tenho um usuário que se conecta via SFTP ao meu servidor. Eles podem alterar diretórios em seu cliente FTP e ver a pasta raiz e o restante do servidor. Eles não têm permissões para alterar ou editar nada além de seu próprio diretório de usuários, mas eu gostaria de impedi-los de ver o conteúdo de outros diretórios.
Existe uma maneira melhor de fazer isso do que as ACLs? Se as ACLs forem o caminho a seguir, estou assumindo que uma ACL padrão no diretório raiz seria a melhor maneira de restringir o acesso. Eu poderia, então, seletivamente dar ao usuário permissão para ver certos diretórios. O problema é que as ACLs padrão são herdadas apenas pelos novos objetos do sistema de arquivos e não pelos existentes.
-d (ou - default) é usado para definir os padrões no diretório de modo que os itens criados nele herdem os perms.
por exemplo,
setfacl -d --set u :: rwx, u: tippy: rwx, u: axel: rx, g :: rx, g: lensmen: rx, o :: - MYDIR
Aqui está uma visão geral rápida. link
Você terá que definir manualmente as ACLs nos diretórios existentes. Não é difícil de fazer:
find /path/to/ftp -type d -exec setfacl <acl spec> {} \;
Como o l1x mencionou, você precisará de uma ACL de acesso e de uma ACL padrão em seus diretórios.
As permissões de acesso atuais dos objetos do sistema de arquivos chamados ACL de acesso. Um segundo tipo chamado ACL padrão também é definido. Eles definem as permissões que um objeto de sistema de arquivos herda de seu diretório pai no momento de sua criação. Apenas diretórios podem ser associados a ACLs padrão. ACLs padrão para não-diretórios não teriam nenhum uso, porque nenhum outro objeto de sistema de arquivos pode ser criado dentro de não-diretórios. As ACLs padrão não desempenham papel direto nas verificações de acesso.