Sahibinin dosya oluşturmasına ve okumasına izin verin, ancak değiştirmeyin veya silmeyin

Bir kullanıcıya belirli bir dizinde dosya oluşturma ve okuma izni vermek istiyorum, ancak dosyaları değiştirmek veya silmek için izin vermiyorum. Kullanıcı tamam dosyalara ekleyebilirsiniz, ama ben tercih etmem. Bu Ubuntu Linux'ta.

Bu standart Unix dosya izinleri ile imkansız olduğunu düşünüyorum, ama belki bu ACL kullanarak mümkün? Kullanıcı her zaman SFTP kullanarak bağlanacaktır, bu yüzden bunu SFTP içinde kontrol etmenin bir yolu olsaydı (işletim sistemi izinlerinin aksine) iyi olurdu.

Kesin olarak, aşağıdakileri istiyorum:

• echo hello> test # başarılı, çünkü test mevcut değil ve oluşturulmaya izin var
• echo hello >> sınamaya izin verilip verilmediğine bağlı olarak test # başarılı veya başarısız olabilir
• echo hello2> test # başarısız, çünkü test zaten var ve değişikliğe izin verilmiyor
• kedi testi # başarılı, çünkü okumalara izin verildi
• rm testi # başarısız, çünkü silme işlemine izin verilmiyor

Bunu neden yapmak istediğimi merak ediyorsanız, Duplicati yedekleme sistemini Ransomware'e dayanıklı hale getirmek.

Gibi kullanabilirsiniz bindfs:

$ ls -ld dir
drwxr-xr-t 2 stephane stephane 4096 Aug 12 12:28 dir/

Bu dizinin adı stephane, grup stephane (stephane tek üyesidir). Ayrıca, tkullanıcıların sahip olmadıkları girdileri yeniden adlandırmasını veya kaldırmasını önlediğini unutmayın .

$ sudo bindfs -u root -p u=rwD,g=r,dg=rwx,o=rD dir dir

bindfs dirDosyalar ve dizinler için sabit sahiplik ve izinlerle bizzat kendimiz üstesinden geldik . Tüm dosyalar ait görünüyor root(yine de gerçek dizinin altında hala stephane'e aitler).

Dizinler drwxrwxr-x root stephaneizin alırken, diğer dosya türleri izin alır -rw-r--r-- root stephane.

$ ls -ld dir
drwxrwxr-t   2 root     stephane   4096 Aug 12 12:28 dir

Dizin yazılabilir olduğu için şimdi bir dosya oluşturmak işe yarıyor:

$ echo test > dir/file
$ ls -ld dir/file
-rw-r--r-- 1 root stephane 5 Aug 12 12:29 dir/file

Ancak dosya üzerinde ikinci bir yazı yazmak mümkün değil open(), çünkü dosya üzerinde iznimiz yok:

$ echo test > dir/file
zsh: permission denied: dir/file

(orada eklemeye izin verilmediğini unutmayın (ilk gereksinimlerinizin bir parçası olarak).

Bir sınırlama: Bit dirnedeniyle girişleri kaldıramaz veya yeniden adlandıramazken t, orada oluşturduğunuz yeni dizinlerin bu tbiti olmaz, bu nedenle girişleri yeniden adlandırabilir veya silebilirsiniz.

Bu chattr +aseçenek yalnızca eklenmeye izin verir. Dosyalar bu şekilde değiştirilebilir, ancak yalnızca dosya ekleyerek (yani satır ekleyerek). Mevcut dosyaları silemezsiniz, ancak yenilerini oluşturamazsınız. Bu ihtiyaçlarınızı karşılayabilir:

sudo chattr -R +a /dir/to/apply/to

itibaren man chattr

`A 'özniteliği ayarlanmış bir dosya yalnızca yazma için ekleme modunda açılabilir. Yalnızca süper kullanıcı veya CAP_LINUX_IMMUTABLE özelliğine sahip bir işlem bu özelliği ayarlayabilir veya temizleyebilir.

(dizinler için de geçerli olduğunu unutmayın)

Listeniz şöyle görünecektir:

echo hello > test # succeeds, because test doesn't exist, and creation is allowed
echo hello2 > test # fails, because test already exists, and overwriting is not allowed
echo hello3 >> test # succeeds, because appending is allowed
cat test # succeeds, because reads are allowed
rm test # fails, because delete is not allowed