SFTP - права доступа для нескольких юзеров

0

1

В системе (CentOS 7.4) есть 2 юзера user1 и user2. В /etc/passwd:

user1:x:1002:1004::/home/user1:/bin/bash
user2:x:1019:1022::/home/user2:/bin/bash

Когда я логинюсь по SFTP в midnight commander под user2 и пытаюсь скопировать файлы в /home/user1/folder появляется ошибка: Невозможно создать целевой файл. При этом права на folder:

drwxr-xr-x. 7 user1 user1 89 авг 18  2018 folder

Юзеры входят в такие группы:

$ id user1
uid=1002(user1) gid=1004(user1) группы=1004(user1)

user2 входит в группы user2, root и wheel

$ id user2
uid=1019(user2) gid=1022(user2) группы=1022(user2),0(root),10(wheel)

Я пытался добавить user2 в группу user1:

# usermod -a -G user1 user2

и изменил права на folder на

drwxrwxr-x. 7 user1 user1 89 авг 18  2018 folder

но все равно по SFTP файл не копируется в folder - ошибка "-31: Failed opening remote file. Невозможно создать целевой файл" в mc.

Когда я логинюсь по SFTP как user2 файл копируется только если я добавляю права на запись для others:

drwxr-xrwx. 7 user1 user1 89 авг 18  2018 folder

Есть какой-то изящный способ решить проблему, не давая права на запись для other в каталог folder?

Ссылка

←	дублирование раздела /boot

На EC2 Volume нет файлов. Куда делись?

→

Добавить user2 в группу user1 + выставить umask таким, чтоб создавались файлы с правами 664 и папки 775.

iron ★★★★★
(03.05.19 15:48:20 MSK)

Тебе нужна общая группа + SGID-бит на каталог.
Ну и вообще устраивать такое в хомяках пользователей - это неправильно, лучше для этого специальную директорию выделить.

bigbit ★★★★★
(03.05.19 15:53:48 MSK)

Ответ на: комментарий от bigbit 03.05.19 15:53:48 MSK

а можно SGID-бит назначать рекурсивно, т.е. на саму папку folder и все ее подпапки? По поводу расположения в хомяках пользователей - просто предыдущий админ так распределил место для сайтов разных доменов.

gigantischer ★
(03.05.19 16:33:30 MSK) автор топика
Последнее исправление: gigantischer 03.05.19 16:33:41 MSK (всего исправлений: 1)

Ответ на: комментарий от iron 03.05.19 15:48:20 MSK

а если в папке folder куча подпапок с правами 755 и файлов с правами 644, их нужно после выставления umask вручную менять на 664 и 775 соответственно?

gigantischer ★
(03.05.19 16:38:06 MSK) автор топика

Ответ на: комментарий от gigantischer 03.05.19 16:38:06 MSK

Да

iron ★★★★★
(03.05.19 16:46:13 MSK)

Ссылка

Setfacl

Bers666 ★★★★★
(03.05.19 16:51:30 MSK)

Ответ на: комментарий от bigbit 03.05.19 15:53:48 MSK

Сделал общую группу + SGID на каталог, но не копируется файл-та же ошибка в mc: "-31: Failed opening remote file. Невозможно создать целевой файл".

gigantischer ★
(03.05.19 17:07:20 MSK) автор топика

Ответ на: комментарий от Bers666 03.05.19 16:51:30 MSK

а это точно из той оперы? попроще никак?

gigantischer ★
(03.05.19 17:11:14 MSK) автор топика

Ответ на: комментарий от gigantischer 03.05.19 16:33:30 MSK

Можно конечно, для вновь создаваемых каталогов SGID-бит будет наследоваться автоматиченски.

bigbit ★★★★★
(03.05.19 17:15:50 MSK)

Ссылка

Ответ на: комментарий от gigantischer 03.05.19 17:11:14 MSK

cd folder
setfacl -R -b .
setfacl -R  -m u:user1:rwx -m u:user2:rwx .
setfacl -dR  -m u:user1:rwx -m u:user2:rwx .

все, оба юзера могут писать в эту папку

Bers666 ★★★★★
(03.05.19 17:17:36 MSK)

Ответ на: комментарий от gigantischer 03.05.19 17:07:20 MSK

У меня такая схема работает. Проверяй права у пользователя и на директории.
umask пожно зафорсить в sshd_config (sftp-server -u XXX).

bigbit ★★★★★
(03.05.19 17:20:49 MSK)

Ответ на: комментарий от Bers666 03.05.19 17:17:36 MSK

если у меня много подпапок в этой folder не нужно потом эти команды давать в каждой из них? И на будущее, кстати, как деактивировать этот acl для folder?

gigantischer ★
(03.05.19 17:33:16 MSK) автор топика

Ответ на: комментарий от gigantischer 03.05.19 17:33:16 MSK

не нужно, там это устанавливается в текущей и ниже
1я команда это очистка всех acl , рекурсивно
man setfacl

Bers666 ★★★★★
(03.05.19 17:40:57 MSK)

Ответ на: комментарий от Bers666 03.05.19 17:40:57 MSK

это сработало! оба юзера могут теперь писать, только как-то стрёмновато права поменялись на php файлы - теперь 777 вместо 644.

gigantischer ★
(03.05.19 17:53:45 MSK) автор топика
Последнее исправление: gigantischer 03.05.19 17:54:41 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от bigbit 03.05.19 17:20:49 MSK

Т.е. я правильно понимаю, что нужно

1. Добавить user2 в группу user1

2. Выставить umask таким, чтоб создавались файлы с правами 664 и папки 775

В sshd_config указав

Subsystem  sftp /usr/libexec/openssh/sftp-server -u 002

3. Вручную поменять права на файлы и каталоги (664 и 775 соответственно) для файлов и подпапок folder.

4. Рестартануть sshd

gigantischer ★
(03.05.19 18:27:47 MSK) автор топика
Последнее исправление: gigantischer 03.05.19 18:28:55 MSK (всего исправлений: 1)

Ответ на: комментарий от Bers666 03.05.19 17:17:36 MSK

А нельзя ли тут в командах setfacl не указывать rwx?

gigantischer ★
(03.05.19 18:29:54 MSK) автор топика

Ответ на: комментарий от gigantischer 03.05.19 18:27:47 MSK

Правильно, только ты забыл про SGID-бит. Без него вновь создаваемые файлы и директории будут принадлежать первичной группе пользователя.

bigbit ★★★★★
(03.05.19 18:35:05 MSK)
Последнее исправление: bigbit 03.05.19 18:35:26 MSK (всего исправлений: 1)

Ответ на: комментарий от bigbit 03.05.19 18:35:05 MSK

да не нужен этот бит для setfacl

Bers666 ★★★★★
(03.05.19 18:52:28 MSK)

Ответ на: комментарий от gigantischer 03.05.19 18:29:54 MSK

указывай то, что нужно соответствующему юзеру.

Bers666 ★★★★★
(03.05.19 18:53:01 MSK)

Ответ на: комментарий от Bers666 03.05.19 18:52:28 MSK

я и не предлагал вариант с setfacl

bigbit ★★★★★
(03.05.19 19:01:07 MSK)
Последнее исправление: bigbit 03.05.19 19:01:14 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от Bers666 03.05.19 18:53:01 MSK

например? можно указывать команду setfacl, не указывая права доступа? т.е. оставить текущие, но чтобы при этом обы юзера могли писать в каталог...

gigantischer ★
(03.05.19 19:20:05 MSK) автор топика

Ответ на: комментарий от gigantischer 03.05.19 19:20:05 MSK

то, что ты видишь по ls -la, игнорируй. Не смотри туда просто.
Теперь твоя команда getfacl.

Bers666 ★★★★★
(03.05.19 19:31:08 MSK)

Ссылка

Ответ на: комментарий от gigantischer 03.05.19 18:27:47 MSK

Попробовал так:

1. Добавил user2 в группу user1

2. SGID-бит на каталог. # chmod g+s folder

3. Выставил umask

В sshd_config указав Subsystem sftp /usr/libexec/openssh/sftp-server -u 002

(пробовал и 0002 - также не заработало)

4. Рестартанул sshd

Не помогло - ошибка та же: "-31: Failed opening remote file. Невозможно создать целевой файл".

gigantischer ★
(03.05.19 19:33:29 MSK) автор топика

Ответ на: комментарий от gigantischer 03.05.19 19:33:29 MSK

а если добавить

# chmod g+w folder

то файл копируется по SFTP, при этом с правами

-rw-r--r-- 1 user2 user1 305 май  3 09:37 newfile.txt

А можно сделать, чтобы при копировании файла права выставлялись

-rw-r--r-- 1 user1 user1 305 май  3 09:37 newfile.txt

gigantischer ★
(03.05.19 19:41:05 MSK) автор топика

Ответ на: комментарий от gigantischer 03.05.19 19:41:05 MSK

я такого не находил, если только будешь вручную скрипт запускать, который будет права менять раз в минуту к примеру, но это имбо костыль, проще создать еще одного юзера, который будет Owner-ом в обоих дирах, а Group присвоить нужные права (если использовать SGID).

sanekmihailow
(04.05.19 22:25:25 MSK)