Usando FACLs para restringir o grupo padrão, mas permitir que outros

2

Então, eu estou rodando o RHEL 6.x com o comando acls ativado, etc. e eu tenho lutado um pouco com esse problema da ACL agora e não consigo entender isso.

Estou tentando fazer com que:

/ var / www / html / * são de propriedade root: apache
/ var / www / html / * são 644
/ var / www / html / * são rw- para um grupo que chamaremos de 'html-slingers'

./ getfacl do html tem esta aparência:

# file: html
# owner: root
# group: apache
# flags -s-
user::rwx
group::r-x
group:html-slingers:rwx
mask::rwx
other::r-x
default:user::rwx
default:group::r---
default:group:html-slingers:rw-
default:mask::rw-
default:other:r--

Eu / pensaria / significaria que arquivos seriam criados com um padrão de usuário: apache, 640 (mas com uma entrada extra acl para html-slingers para ter rw)

... e o arquivo acaba sendo criado / olhando / assim via getfacl, mas as permissões POSIX acabam sendo 664, e o grupo apache é capaz de gravar no arquivo (mesmo que getfacl diga group :: r -

Por que isso acontece? Existe uma maneira de corrigir ou atenuar isso?

Qualquer ajuda ou conselho será muito apreciado!

    
por user61552 27.02.2014 / 21:55

1 resposta

0

Eu discuti isso recentemente em um servidor onde queríamos que vários desenvolvedores tivessem acesso de gravação ao espaço da Web sem dar permissões de gravação do apache. Se você pensar sobre isso, para uma ACL restringir as permissões, ele deverá substituir as permissões da UGOA. Configure suas ACLs para também controlar explicitamente o acesso do apache.

    
por 16.05.2014 / 22:02