[Comm] Каталог с совместным доступом

Eugene Ostapets =?iso-8859-1?q?eostapets_=CE=C1_gmail=2Ecom?=
Ср Янв 14 17:03:48 MSK 2009


2009/1/14 Dmitriy M. Maslennikov <maslennikovdm gmail.com>:
> 14 января 2009 г. 16:44 пользователь Eugene Ostapets
> <eostapets gmail.com> написал:
>> Ха! :) Пример проблем тот же, что и с вложенными группами - выдав на
>> каталог очень верхнего уровня "наследуемые права" мы получаем их
>> непрозрачное перенесение на все подкаталоги. Т.е. без "проверить
>> эффективные права на объект" (или как это звучит в виндовсе), мы не
>> можем понять кто же на самом деле имеет права на файловый объект и
>> какие именно права. На этой "дырке" дизайна был украден не один
>> секретный файл.
> Секретные файлы при создании надо помечать, что они ничего не
> наследуют (так можно), и явно задавать разрешения.
Секретность его может быть не абсолютной, а относительной. А вот
невозможность легко контролировать права на файловый объект - это
большая дыра в всей архитектуре безопасности.
>
>>> В общем, я нашел удаленную винду с CD: атрибут работает, но проводник
>>> при копировании его снимает. Видимо уже весь софт научился это делать,
>>> так что проблема была снята хаком.
>> Осталось только убедить разработчиков Линукса в необходимости
>> аналогичных хаков :)
> Думаю, что это из области фантастики.
Скорее всего, но я думаю, что разработчики nautilus/konqueror могу
прислушаться к вашим словам, а это покроет нужды 99% пользователей,
которые не сообразят сразу же изменить права после копирования с
cdrom.
>
>>>> Вы не поняли, это не для сети - это расширение локальной файловой
>>>> системы, чтобы снять нагрузку с сетевых сервисов на трасляцию прав
>>>> CIFS/NFS4 "на лету" в права POSIX ACL. Т.е. это именно то, чего вы
>>>> хотите - расширение не количества объектов с правами, как делает POSIX
>>>> ACL, а само количество прав.
>>> Вот это да! Если я вас правильно понял, то вы для меня открыли
>>> Америку. Обязательно посмотрю.
>> http://www.suse.de/~agruen/nfs4acl/
>> Только я уже говорил - оно не слишком свежее и пока что не так много
>> реализовано... А уж до официального ядра им еще как до Китая раком :)
> Очень жаль. Значит все остается по-прежнему.
Слишком мал интерес к такой функциональности и у разработчиков, и у
пользователей. Гораздо проще продумать правила организации
файлохранилища и правила работы с ним, чтобы оно не превращалось в
файлопомойку. Тогда и имеющихся прав вполне хватает :)

-- 
С уважением,
Евгений Остапец
uin: 23747217
jid: eugene_ostapets на jabber.ru


Подробная информация о списке рассылки community