Разрешить нескольким пользователям менять права доступа

у меня в mnt все это лежит.

По сабжу, тоже кстати интересно!

Пусть Федя копирует файл к себе в /home и делает там что хочет. Если позволить ему изменять права на файл непосредственно, то Федя отымеет Васю, установив a+xs.

Если, тем не менее, хочется проблем на свою голову, то можно забацать небольшой SUID скриптец специально для этих целей или использовать sudo. Только лучше будет не менять права, а менять пользователя файла, а потом права менять стандартными способами.

достаточно сделать ACL на файл или каталог.

GID же

При выполнении условий Вася сможет сделать a-xs. Вася будет иметь ввиду, что к ресурсу имеет полный доступ и Федя. И вообще, данные файлы в идеале будут принадлежать не Феде и не Васе, а специально созданному «общему» пользователю, g/uid-биты которого будут стоять на корне общей иерархии.

Попробую, хотя тут: http://habrahabr.ru/blogs/linux/64868/ пишут, что cp игнорирует acl'ы.

>>GID же
Но ведь возможности менять права на чужом файле все равно не будет, даже если быть в одной группе с его владельцем.

http://www.yolinux.com/TUTORIALS/LinuxTutorialManagingGroups.html

Если файлы принадлежат некоему общему пользователю, то пусть он и выполняет роль арбитра. Но есть одна проблема. Если файл заливает Вася то принадлежать он будет таки Васе, а не кому-то еще.

Если Вася знает о том что другой может сделать +xs на его файл, то не проще ли забить на всяких Вась, Федь и т.п., а работать всем с одного пользователя? Тем более, что вы все равно предполагаете наличие такого общего пользователя-владельца.

У вылдродня похожий топик был, хотел типа программы по паролям запускать. Бред короче, что там, что здесь. Поставь ДОС или винду 9х или раздел на фате и нафиг всё :)

Я, тащемта, с ACL дел особ не имел, но разве ACL позволяет поднять привилегии по сравнению со стандартными правами? Насколько я знаю стандартные права выполняют роль маски и ACL могут только понижать привилеги. Т.е из rwx можно сделать r-x для пользователя, но не наоборот. Я ошибаюсь?

Общий пользователь - служебный, без шелла, хоума и пр.
Преимущество работы с разных пользователей - раздельные настройки приложений и возможность иметь в хоуме недоступные другим файлы.

Если Федя делает +xs на Васин файл, то он запускает его с правами Васи. Проги бывают разные, во многих есть выход в шелл или возможность запуска команды (от имени Васи), баги в конце концов. А вы говорите про какие-то недоступные файлы.

И повторю свой вопрос: Вася залил файл - как собираетесь менять пользователя на вашего служебного? Это возможно только через рута.

Если не хотите SUID-скрипт или sudo есть такой хитрый вариант: завести демона, через которого файлы будут публиковаться в данной директории. Файлы принадлежат демону. Он имеет нужный функционал для изменения прав. Можно подумать о чем-то вроде репозитория, может-быть с веб интерфейсом.

Можно uid на точку монтирования, можно демона с fam...

Про администратора группы никто никогда не слышал? То же мне *никсоиды!

Цитируем shatsky

куда белые люди обычно монтируют разделы с подобным содержимым?

/srv

Разрешить нескольким пользователям менять права доступа

POSIX ACL
Example:

setfacl -Rm default:group:users:rx /srv/share/downloads
setfacl -Rm group:users:rx /srv/share/downloads

а куда белые люди обычно монтируют разделы с подобным содержимым?

/srv
(Этот каталог есть в FHS)

>>Про администратора группы никто никогда не слышал?
Я - нет) А в данном случае это что-то дает? Поэкспериментировал по результатам гугления и чтения манов, создал группу, еще одного пользователя, добавил себя и его, сделал себя ее администратором, создал файл от его имени, сменил группу-владельца на администрируемую, попробовал поменять от своего имени права - получил «not permitted».

>куда белые люди обычно монтируют разделы с подобным содержимым

Их [b]де[/b]монтируют по причине особой вредности и ненужности. Для задач «хранения» таковое не подходит, ввиду бесконтрольности. Т.е. используется только для «обмена». Реграментированый обмен лучше делать автоматами или узко нарезанными группами. Нерегламентированный обмен лучше делать почтой/CMS/VCS в зависимости от специфики задачи.

Администратор группы, насколько мне известно, имеет возможность добавлять/удалять пользователей группы. Права доступа может изменять только владелец файла и root - администратор группы тут ни при чем, как и ACL. Это все средства для других целей.