debian - вредные советы

ты вообще про что? Про папки? Дык я сколько раз говорил - нет никаких папок в Linux. Понимаешь? НЕТУ ПАПОК!

Да мне плевать, есть там папки или нет. Мне надо, чтобы всё, что лежит в ~wiki, было доступно пользователю httpd на чтение, а всем пользователям группы vadim — на полный доступ. Ваши костыльные ACL гарантию этого поведения без периодической прогонки setfacl -R этого не обеспечивают.

т.е. в венде ты можешь подделать мой файл, и подсунуть его мне, сделав меня владельцем твоей подделки? Очень полезная и нужная фича, а я и не знал о ней. Спасибо.

Ты идиот, не умеющий читать. В винде я могу на своём файле дать тебе право «стать владельцем», а ты можешь после этого этот файл забрать в своё владение. И это — штатная фича из коробки, а не те костыли с sudoers и скриптами, которые мне ты щас попробуешь предложить.

Да мне плевать, есть там папки или нет. Мне надо, чтобы всё, что лежит в ~wiki, было доступно пользователю httpd на чтение, а всем пользователям группы vadim — на полный доступ. Ваши костыльные ACL гарантию этого поведения без периодической прогонки setfacl -R этого не обеспечивают.

а у нас не костыльные, а стандартные. И они не нужны. Ты когда-нибудь слышал про SETGID? Вот если не слышал, то погугли. Он именно для того и предназначен.

Ты идиот, не умеющий читать. В винде я могу на своём файле дать тебе право «стать владельцем», а ты можешь после этого этот файл забрать в своё владение. И это — штатная фича из коробки, а не те костыли с sudoers и скриптами, которые мне ты щас попробуешь предложить.

владельца может менять ТОЛЬКО рут. Иначе это решето. Про скрипты я тебе говорить ничего и не собирался, ибо в твоём случае это и не нужно.

Мне надо, чтобы всё, что лежит в ~wiki, было доступно пользователю httpd на чтение, а всем пользователям группы vadim — на полный доступ.

Если тебе ехать, то просто смонтируй ее в read-only bind. А если продемонстрировать, что в Linux убогие ACL - ок, ты выиграл. Теперь скажи, как в венде сделать bind mount.

Ты когда-нибудь слышал про SETGID? Вот если не слышал, то погугли. Он именно для того и предназначен.

Уже сто раз обсуждалось, почему этот ваш SETGID не работает в реальных ситуациях. Заколебали с этим костылём, реально.

владельца может менять ТОЛЬКО рут. Иначе это решето.

Каким образом то, что я тебе передам владение своим файлом, является решетом? Аргументы какие-то будут, или опять только сливы про mustdie (которое ты даже написать правильно не способен)?

Если тебе ехать

Мне надо ехать, поэтому у меня тут fuse bindfs.

А если продемонстрировать, что в Linux убогие ACL - ок, ты выиграл.

До пациента всё равно не дойдёт.

Теперь скажи, как в венде сделать bind mount.

Заметь, я нигде и не утверждал, что в винде замечательные bind mount. И слюной не брызгал, про ненужно, suxx и, прости господи, «mastdaj».

я нигде и не утверждал, что в винде замечательные bind mount

Ну да, ты утверждал, что в NTFS замечательные потоки метаданных. Которые почему-то выпилены в следующей микрософтовской ФС. Ну и не только это ты утверждал.

Уже сто раз обсуждалось, почему этот ваш SETGID не работает в реальных ситуациях. Заколебали с этим костылём, реально.

может проблема не в коде setgid?

Каким образом то, что я тебе передам владение своим файлом, является решетом? Аргументы какие-то будут

пока не появится конкретного юзкейса - конкретных аргументов естественно не будет. Откуда я знаю, зачем оно тебе так захотелось?

или опять только сливы про mustdie (которое ты даже написать правильно не способен)?

как слова «ntfs suxx» правильно писать тоже расскажешь? Я-бы написал, да боюсь 5.2 получить, за оскорбление группы вендотроллей. ☺

Заметь, я нигде и не утверждал, что в винде замечательные bind mount. И слюной не брызгал, про ненужно, suxx и, прости господи, «mastdaj».

попробуй разглядеть в моих постах и другие слова. Они есть, и их намного больше.

пока не появится конкретного юзкейса - конкретных аргументов естественно не будет. Откуда я знаю, зачем оно тебе так захотелось?

Я тебе привел юзкейз, не юли.

как слова «ntfs suxx» правильно писать тоже расскажешь?

Можешь начать с того, почему именно тебе так хочется их писать. Может дело не в ntfs? Может дело в тебе? Может тебе нужна помощь психолога?

попробуй разглядеть в моих постах и другие слова. Они есть, и их намного больше.

Что кроме медицинского диагноза можно разглядеть в постах, на полном серьёзе предлагающих «пересобрать NTFS под что-то мощнее i80386»?

Бабушкин, ты?

Теперь скажи, как в венде сделать bind mount.

http://ru.wikipedia.org/wiki/Точка_соединения_NTFS

Теперь скажи, как в венде сделать bind mount.

http://ru.wikipedia.org/wiki/Точка_соединения_NTFS

Бугага. Ты даже не эникейщик, верю.

Бугага. Ты даже не эникейщик, верю.

Чем оно не подходит?

Чем оно не подходит?

Я просил аналог bind mount, ты дал аналог символической ссылки, и спрашиваешь, чем это не подходит? Маны почитай.

Я просил аналог bind mount, ты дал аналог символической ссылки, и спрашиваешь, чем это не подходит? Маны почитай.

Шашечки или ехать? Приведи юзкейс, где mount -o bind подойдёт, а точка монтирования NTFS — нет.

Приведи юзкейс, где mount -o bind подойдёт, а точка монтирования NTFS — нет.

Я уже привел - read-only bind mount. Покажи, как ты это сделаешь на junction point.

Покажи, как ты это сделаешь на junction point.

Теми же ACL, которые и предполагались изначально для этой задачи.

Я тебе привел юзкейз, не юли.

я тебе и ответил - для этого необходимо и достаточно setgid бита. Да, я помню, уже обсуждали. Сейчас опять будешь придумывать 100500 дополнительных условий?

Можешь начать с того, почему именно тебе так хочется их писать. Может дело не в ntfs? Может дело в тебе? Может тебе нужна помощь психолога?

может по делу что-то скажешь? Если тебя это раздражает - могу и не писать. Хотя, если «windows mustdie» или «ntfs suxx» вызывает истерику - то дело тут не в написавшем. А скорее в читателе.

Покажи, как ты это сделаешь на junction point.

Теми же ACL

Ну то есть junction point эту задачу не решает, чтд. А еще есть монтирование частей ФС в чруте и в другом пространстве имен - здесь junction point как-нибудь поможет? Или в венде нет чрута и пространств имен?

Что кроме медицинского диагноза можно разглядеть в постах, на полном серьёзе предлагающих «пересобрать NTFS под что-то мощнее i80386»?

я не предлагаю, а говорю прямо о том, что это невозможно. А вот для EXT4 это возможно. И пересобрать под свой процессор, и поставить патч под сжатие, если ты с моим «не нужно» не согласен. А в NTFS ты будешь кушать, что дадут.

Бабушкин, ты?

бабушкин как раз ничего не собирал. Даже его «софт» и тот на скриптах.

бабушкин как раз ничего не собирал. Даже его «софт» и тот на скриптах.

False. Морда софта на Визуал Васике.

я не предлагаю, а говорю прямо о том, что это невозможно. А вот для EXT4 это возможно. И пересобрать под свой процессор, и поставить патч под сжатие, если ты с моим «не нужно» не согласен. А в NTFS ты будешь кушать, что дадут.

«Пересобрать структуры данных на блочном устройстве под свой процессор»? Доктор, где же доктор! Тут человек умирает!

я тебе и ответил - для этого необходимо и достаточно setgid бита. Да, я помню, уже обсуждали. Сейчас опять будешь придумывать 100500 дополнительных условий?

У меня нет «100500 условий». У меня есть конкретная задача, которая твоим костылём не решается. Что тут объяснять? Процитировать ман по слогам или пропеть его под гитару?

Морда софта на Визуал Васике.

о да. Я этот ролик глянул. В след. раз запостю тому, кто ещё раз вякнет про «уродливость GTK & KDE» ну и вообще, про юзабельность.

«Пересобрать структуры данных на блочном устройстве под свой процессор»? Доктор, где же доктор! Тут человек умирает!

ты эти структуры видел? видел код, который их обрабатывает? Вот как увидишь - я к тебе приеду ☺

У меня нет «100500 условий». У меня есть конкретная задача, которая твоим костылём не решается. Что тут объяснять?

ну почему не решается? Ставишь на ~wiki/ setgid, и у тебя группа получается как у ~wiki/. К ней полный доступ. Если создатель(у тебя http) readonly, то у него ro. В чём проблема?

Если создатель(у тебя http) readonly, то у него ro.

Головушкой в детстве не били о тяжелые предметы?

Если создатель(у тебя http) readonly, то у него ro.

Головушкой в детстве не били о тяжелые предметы?

кого? того, кто не может применить примитивные unix права?

ro и будет, именно так, как ты хотел. Ах, да, это не будет работать с mcedit и nano, ибо им создавать недостаточно, им нужно право записи для редактирования файла. А его и нет. Может в этом-то твоя проблема? Use vim. Или kate. Или ещё что-то нормальное, а не…

кого? того, кто не может применить примитивные unix права?

Ты вообще осознаешь реальный мир, или только бредить в состоянии? Если httpd будет является владельцем файлов, значит он может сменить на них права. Тебе не приходило в голову, что в задаче требование доступности данных для httpd только для чтения подразумевает невозможность менять права?

Это было первое. А теперь второе. Если, например, у нас стоит на каталоге группа work + выставлен setgid, и затем юзер группы work, например, vadim, создаёт файл, то файл будет принадлежать пользователю vadim. Владелец и группа будут - vadim:work. А пользователь httpd лососнёт тунца.

Ты правда и в самом деле не способен к чтению манов, безнадёжный случай.

Это было первое. А теперь второе. Если, например, у нас стоит на каталоге группа work + выставлен setgid, и затем юзер группы work, например, vadim, создаёт файл, то файл будет принадлежать пользователю vadim. Владелец будет - vadim:work. А пользователь httpd лососнёт тунца.

httpd и должен лосаснуть, с umask=0002, ибо он «other», и у него ro. Интереснее первый случай, когда httpd сам создаёт файл - в этом случае файл создасться сможет, и httpd будет иметь к нему полный доступ(т.к. это его файл), однако, как только vadim или кто-то ещё этот файл пересоздаст (прочитать может, а каталог его группы, потому и создать сможет), то после этого httpd доступ потеряет. Т.о. достигается то, что группа work имеет полный доступ к любым файлам(из-за umask=0002), а вот httpd имеет полный доступ только к тем файлам, которые он только-что создал, и которых никакие vadim'ы ещё не редактировали. Как только vadim отредактирует файл, он создастся по новой, при этом его хозяином будет vadim, а группа work(из-за setgid). Это разве не то, что тебе нужно? Учти, запрещать httpd доступ _сразу_ нельзя, т.к. файлы создаются медленно и не атомарно, например юзер через http может лить файл, и пока он льёт, у httpd должно быть право w. А вот у файлов, которые залил vadim такого права НЕ будет.

безнадёжный случай.

на самом деле там всё просто. Просто забудь про папки, и вспомни, что такое «каталог». И сакральный смысл для тебя откроется.

Фишка в наследовании, которого в каталоге и быть не может. Представь, что у тебя каталог товаров есть, и ты его (каталога) владелец. Какое отношение ты имеешь к товарам? Да никакого. А маздайщики этого почему-то не понимают.

Тебе не приходило в голову, что в задаче требование доступности данных для httpd только для чтения подразумевает невозможность менять права?

нет. Не приходило. При чём тут права? Если httpd является хозяином, то у него есть право выбрать любые права, как ему захочется.

А вот твоему Вадиму из work плевать на этот файл, для того, что-бы его отредактировать. Он может его просто удолить. И создать свой. Так он и сделает, запустив например Vim(с предупреждением, что файл чужой). Для редактирования/удаления файлов необходимо и достаточно права изменения _каталога_. А прав на файл НЕ нужно.

Предваряя твои замечания про «бред», предлагаю тебе попробовать создать рутом файл в ~ простого юзера, а потом это файл удалить/исправить. К сожалению, я был расстроен kate - она не смогла отредактировать файл root'а с правами 0000. А вот Vim смог. С предупреждением конечно.

Это разве не то, что тебе нужно?

Нет, дорогой мой. Я тебе русским по серому объяснил, что мне нужно.

«Мне надо, чтобы всё, что лежит в ~wiki, было доступно пользователю httpd на чтение, а всем пользователям группы vadim — на полный доступ.»

Но ты не умеешь читать.

например юзер через http может лить файл, и пока он льёт, у httpd должно быть право w

Нет, Митрофанушко, у httpd не должно быть никаких w, и он не должен ничего «лить». Потому что всё, что лежит в ~wiki, было доступно пользователю httpd на чтение. На чтение. Только на чтение.

Но ты не умеешь читать.

на самом деле там всё просто. Просто забудь про папки, и вспомни, что такое «каталог». И сакральный смысл для тебя откроется.

Про сакральный смысл — это ПГМ.орг.ру. Мы тут про Linux.

Фишка в наследовании, которого в каталоге и быть не может.

Фишка в том, Митрофанушко, что множественные хардлинки на каталогие запрещены реализацией. И в пределах физического тома, структура каталогов строго является деревом. А значит, наследование очень запросто может быть, потому что у любого каталога абсолютно точно один и только один родитель. Поэтому причина отсутствия наследования не в архитектурных сложностях, а в том, что это тупо не сделано. Но ты ведь ничего этого не знаешь, правда?

Представь, что у тебя каталог товаров есть, и ты его (каталога) владелец. Какое отношение ты имеешь к товарам? Да никакого.

Ты бредишь. Мы тут про структуры данных, а не про товары.

А маздайщики этого почему-то не понимают.

Аргументов у тебя нет, есть только выученные когда-то магические заклинания: сукс, ламеры, мастдай, ололо слака рулит. Это уровень твоего знакомства с компьютерами. О чем с тобой вообще предметно разговаривать? Ты даже не осознаешь необходимости в чем-то разобраться, чтобы оставаться на том уровне обсуждения, где находятся инженерные вопросы, а не на том, где ололомастдайсуксвендекапец.

Вообще-то любой софт, запускаемый с правами юзера

При чём тут «любой юзер»?

Фейл. Ты не умеешь читать. Любой юзер действительно ни при чем, речь была про софт. Но ты не умеешь читать. Просто прими это.

Не просто дерево с именами в качестве ключей, а дерево, в котором ключами являются хеши имён, а не сами имена. Такое определение тебе понятно?

Ты до сих пор не смог ни разу остаться в предела темы обсуждения. Понимаешь? Ни разу. Ты не способен вести дискуссию. Впрочем, ты же не умеешь читать, значит и этого не поймёшь. Речь шла про экстенты, какое нахрен «дерево с именами»? Какое отношение экстенты имеют к индексам каталогов? Ты знаешь, что такое экстенты? Видимо, нет. Просто забей. Это слишком сложно для тебя.

нет. Не приходило. При чём тут права? Если httpd является хозяином, то у него есть право выбрать любые права, как ему захочется.

httpd не должен являться хозяином. У него не должно быть никаких прав, кроме права читать. Но ты не умеешь понимать простой русский текст.

Ну то есть junction point эту задачу не решает

Именно readonly не решает, песочница решает.

Ну то есть junction point эту задачу не решает

Именно readonly не решает

Осталось понять, чего ради ты упомянул junction point.

песочница решает.

Как, а ACL уже не решают?

Осталось понять, чего ради ты упомянул junction point.

В том посте, на который я отвечал, про readonly ничего не было. А так да, в сочетании с ACL оно решает 99% проблем.

Как, а ACL уже не решают?

Это к посту о чруте.

Нет, Митрофанушко, у httpd не должно быть никаких w, и он не должен ничего «лить». Потому что всё, что лежит в ~wiki, было доступно пользователю httpd на чтение. На чтение. Только на чтение.

ну и в чём проблема-то??

права на каталог 0755, umask vadim'а 0022. И будет только на чтение. Чего ты _ещё_ хочешь?

Ты бредишь. Мы тут про структуры данных, а не про товары.

это ты бредишь, не не понимаешь значение слова «каталог».

Фишка в том, Митрофанушко, что множественные хардлинки на каталогие запрещены реализацией. И в пределах физического тома, структура каталогов строго является деревом. А значит, наследование очень запросто может быть

да мне наплевать, что _может_ быть, Петрушка. НЕТ никакого наследования. Что тут непонятного? А влажные мечты Петрушек никого не волнуют. Хотелки - тоже.

Фейл. Ты не умеешь читать. Любой юзер действительно ни при чем, речь была про софт.

ну и причём тут «софт»?

Речь шла про экстенты, какое нахрен «дерево с именами»? Какое отношение экстенты имеют к индексам каталогов? Ты знаешь, что такое экстенты? Видимо, нет. Просто забей. Это слишком сложно для тебя.

хорошо. Для тебя очевидно тоже непросто, раз у тебя истерика. Успокойся, и хлебни водички. Потом объясни, что ты хотел сказать.

httpd не должен являться хозяином. У него не должно быть никаких прав, кроме права читать. Но ты не умеешь понимать простой русский текст.

ну не хочешь - пусть не будет. В чём проблема-то? Зачем тут вообще какие-то ACL? Извини, я не понял, в чём твоя задача? Обычный юзер создаёт обычные файлы, которые доступны всем остальным как RO. Т.е. так, как ты и хочешь. Зачем это дублировать ACLами? Я не понимаю. Прекрати истерику, и объясни по-русски.

В том посте, на который я отвечал, про readonly ничего не было.

Врешь: вот мой пост - debian - вредные советы (комментарий), вот твой «ответ» - debian - вредные советы (комментарий)

НЕТ никакого наследования

ЧТД. Зачем такой ACL вообще нужен?

права на каталог 0755, umask vadim'а 0022. И будет только на чтение.

КОМУ будет только чтение?

НЕТ никакого наследования. Что тут непонятного?

Всё абсолютно понятно. В винде наследование AClов есть. В Линуксе нет. Жалкие оправдания Митрофанушек про «ненужно» никого не волнуют.

ну и причём тут «софт»?

При том, что «зловред» - это софт. Не пользователь, не железо, не пудинг. Программа.

Извини, я не понял, в чём твоя задача?

Ты уже очень давно в этом треде вообще ничего не можешь понять.

Обычный юзер создаёт обычные файлы, которые доступны всем остальным как RO.

Надо не «всем остальным», а конкретному пользователю. Или двум конкретным пользователям. Или 10-ти. Абсолютно без разницы — ни одна из этих задач с юниксовыми правами не решается.

Предложение звучало как „Теперь скажи, как в венде сделать bind mount”. Что не так?

Предложение звучало как „Теперь скажи, как в венде сделать bind mount”. Что не так?

Не так то, что отвечал ты (по собственному признанию) на _пост_. А пост - вот он: debian - вредные советы (комментарий)

Я отвечал на предложение показать аналог bind mount.

ЧТД. Зачем такой ACL вообще нужен?

если ты забыл, у некоторых тут истерика была от моих слов «ACL не нужен». Т.ч. вопрос не ко мне. Я не знаю, зачем он ВАМ нужен, если и без него всё работает. Они (ACL) наверное нужны на каких-то больших серверах, где Over9000 аккаунтов в системе, и причём половина - админы. Я не в курсе.

КОМУ будет только чтение?

всем, кроме vadim'а. А ты как хотел?

Всё абсолютно понятно. В винде наследование AClов есть. В Линуксе нет. Жалкие оправдания Митрофанушек про «ненужно» никого не волнуют.

Хотелки Петрушек никого не волнуют.

При том, что «зловред» - это софт. Не пользователь, не железо, не пудинг. Программа.

а запустил его кто? Сам юзер притащил в свой аккаунт, дал права, и выполнил? Ну и ССЗБ. С такими юзерами нужен noexec на /home, иначе они не понимают.

Надо не «всем остальным», а конкретному пользователю. Или двум конкретным пользователям. Или 10-ти. Абсолютно без разницы — ни одна из этих задач с юниксовыми правами не решается.

т.е. «всем остальным» полный доступ, а кому-то одному - RO? Так что-ли? Ну дык и скажи - нужен «чёрный список юзеров». Такой задачи мне НИКОГДА не встречалось, я подумаю, если это действительно оно.

Я отвечал на предложение

А раньше ты говорил

wintrolls> В том посте, на который я отвечал, про readonly ничего не было

wintrolls> В том посте, на который я отвечал

А ты как хотел?

Мне еще раз тот абзац процитировать?

т.е. «всем остальным» полный доступ, а кому-то одному - RO?

Ты точно тупой. N юзеров должны иметь полный доступ. M юзеров должны иметь доступ на чтение. Остальные — не иметь никакого.

Тебе объяснить задачу по слогам?

а запустил его кто? Сам юзер притащил в свой аккаунт, дал права, и выполнил? Ну и ССЗБ. С такими юзерами нужен noexec на /home, иначе они не понимают.

Ты когда-нибудь про уязвимости в ПО слышал?

Ты точно тупой. N юзеров должны иметь полный доступ. M юзеров должны иметь доступ на чтение. Остальные — не иметь никакого.

это ты не умеешь объяснять. Вот так - понятнее. Решение: Если полный доступ имеет один юзер, то хватит обычных прав. Группа сможет только писать. Остальные ничего не смогут.

А вот что касается N>1 - я не знаю. Спроси кого-то другого. Веришь - мне лень курить доки, ради какой-то задачи, непонятно для чего.

а запустил его кто? Сам юзер притащил в свой аккаунт, дал права, и выполнил? Ну и ССЗБ. С такими юзерами нужен noexec на /home, иначе они не понимают.

Ты когда-нибудь про уязвимости в ПО слышал?

да. Слышал. Потому и запускаю потенциально опасное ПО от ДРУГОГО ЮЗЕРА. А на серверах, если ты не знал, все приложения от своего юзера запускаются. А иные и в chroot. И потому их доступом можно легко управлять, без всяких костылей.

Не буквоедствуй.

Они (ACL) наверное нужны на каких-то больших серверах, где Over9000 аккаунтов в системе, и причём половина - админы

Выше уже приводили задачку для двух аккаунтов, где без ACL не обойтись. Юникс-права — негибкое устаревшее говно мамонта, не позволяющее эффективно решать имеющиеся проблемы. Смирись.

Выше уже приводили задачку для двух аккаунтов, где без ACL не обойтись.

Это о примере с httpd? Так обошлись же.

Так обошлись же.

Обошлись чем? Объявлением, что сабжевая задача не нужна? Не скатывайся до уровня пациента.

Выше уже приводили задачку для двух аккаунтов, где без ACL не обойтись.

что-бы для кого-то надо RO, а для кого-то вообще никак? А для хозяина - всё? Зачем тут ACL? Всегда хватало unix-like.

Юникс-права — негибкое устаревшее говно мамонта, не позволяющее эффективно решать имеющиеся проблемы. Смирись.

дык проблема-то где? только высасывать из пальца и истерить не нужно. Просто расскажи свой юзкейс, что и как тебе надо сделать. Эти права существуют на серверах уже пятый десяток лет, неужели ты думаешь, что твой сраный локалхост задал какую-то новую задачку? Просто ты не умеешь её решать. И даже не хочешь знать - как она решается.

Обошлись чем?

bind mount

Обошлись чем? Объявлением, что сабжевая задача не нужна? Не скатывайся до уровня пациента.

ты можешь без истерик и обид изложить задачу? только не в виде «хочу наследование в POSIX ACL, ААААА!!!!!111». Тебе шашечки, или как эта задача решается? Ты тоже себя уникальным считаешь? Впервые твоя задача возникла, ты первый? Если не первый - значит нужно, и есть решение.

А, ну так это решение за рамками DAC.

Пациент продолжает упорствовать и нести взаимоисключающий бред:
1. нинужна!
2. вы неумеити готовить юниксовый DAC!!111
3. мастдай гладиолус ололо слака рулит11

Вопрос понимания bind mount тут даже не стоит.

А, ну так это решение за рамками DAC.

ЩИТО?

Пациент продолжает упорствовать и нести взаимоисключающий бред:

дык отвечаю на разные посты. что-то нинужно, кто-то готовить не умеет, а кто-то просто бредит.

ЗЫЖ не нравится DAC, юзай MAC. Вот только не в коня корм - зачем тебе это, если ты DAC так и не осилил? Даже задачу поставить не можешь, уже Over9000 постов как.

А, ну так это решение за рамками DAC.

И что? Я отвечал на:

wintrolls> без ACL не обойтись.

Без ACL вполне обошлись.

Просто расскажи свой юзкейс, что и как тебе надо сделать

Например, чтобы владелец/группа и права на создаваемые/перемещаемые/копируемые файлы и каталоги автоматически наследовались от того каталога, куда их положили. Костыли в виде chown -R && chmod -R после каждого копирования файлов не предлагать.

Впервые твоя задача возникла, ты первый? Если не первый - значит нужно

Если бы все думали как ты — никаких компьютеров сейчас бы не было, сидели бы мы в пещере возле костра и доедали мясо очередного мамонта. Ибо всё остальное не нужно.

Например, чтобы владелец/группа и права на создаваемые/перемещаемые/копируемые файлы и каталоги автоматически наследовались от того каталога, куда их положили.

как ты представляешь себе создание файлов юзером Алиса, по имени Боб? Если Алиса создала файл, то и хозяйка файла - Алиса. Даже если каталог Боба. Можно только группу наследовать от каталога.

Костыли в виде chown -R && chmod -R после каждого копирования файлов не предлагать.

я и не предлагаю. Идея UNIX-DAC в том, что у каждого файла есть хозяин, который этот файл создал. Хозяин имеет полный доступ к своему файлу. И выдаёт права на него для всех остальных.

То, чего тебе хочется - нарушение самой основы DAC, ибо каталог никакого отношения к хозяину не имеет. Ну тебе тоже скажу - посмотри MAC, может там это возможно.

Впервые твоя задача возникла, ты первый? Если не первый - значит нужно

Если бы все думали как ты — никаких компьютеров сейчас бы не было, сидели бы мы в пещере возле костра и доедали мясо очередного мамонта. Ибо всё остальное не нужно.

сливаешь. Задачи не придумывают, задачи они из IRL берутся, а не из хотелок. Любая реализация в компьютере - это отражение IRL(либо того, что уже есть IRL, либо то, что мы хотим создать, и в принципе _можем_ создать, и оно нам _нужно_). А вот придуманные задачи компьютер не решает. Просто не приспособлен для этого. Я не виноват в том, что математика у нас одна, и логика тоже одна. Да, моделей много, каждая модель упрощает RL, и упрощать можно по разному. Вот только, если одна из моделей даёт один неверный и ненужный результат из-за упрощений - это нормально. Ненормальна хотелка, что-бы другая модель давала такой-же неверный и ненужный результат, как и первая. Объясню на примере: есть делитель, который умеет делить числа. Железный. Засылаешь в него 123 и 11, получаешь 11 ответа. Засылаешь 64 и 4, получаешь 16. На ноль делить не нужно. И если первый делитель в ответе даёт 1234591, при попытке делить на ноль, то глупо тоже самое требовать от второго. «Не нужно» не обязано быть идентичным. Как и любая НЁХ, она не равно и не эквивалентно ничему, в том числе и самой себе.

И мамонты-бы нас давили, если-бы мы все этого не понимали. К счастью, некоторые поняли, и потому мамонты и были истреблены и съедены. Ибо идеальной модели придумать не только невозможно, но и не нужно, сойдёт простая, понятная всему племени, и не требующая раздумий. Используя данную простую модель, племя в силах завалить сообща мамонта, и его пожрать. Даже несмотря на неидеальность и упрощённость модели. Теоретик с идеальной моделью останется в одиночестве и голодный. Ибо его идеальная модель сложная, непонятная, и потому НЕ НУЖНА.

как ты представляешь себе создание файлов юзером Алиса, по имени Боб?

А причём тут Алиса и Боб? Кроме людей есть ещё и сервисы, которые зачастую работают от имени разных пользователей. Простой пример: я залил какие-то файлы на ftp, демон которого запущен от одного пользователя, а через какое-то время решил выложить в общий доступ через http, который, естественно, запущен от имени другого пользователя, просто переместив/скопировав файлы из одного каталога в другой, например под суперпользователем. С наследованием прав мне никаких плясок с бубном устраивать не нужно, а с вашими кривыми DAC приходится каждый раз вручную рекурсивно выставлять права и владельца/группу для возможности доступа.

Если Алиса создала файл, то и хозяйка файла - Алиса. Даже если каталог Боба. Можно только группу наследовать от каталога.

А наследовать права и других пользователей и групп от каталога значит слабо? В винде такое возможно, при этом владелец файла сохранятся.

Хозяин имеет полный доступ к своему файлу. И выдаёт права на него для всех остальных

Кто сказал что эту выдачу постоянно нужно делать вручную? Это же онанизм какой-то.

То, чего тебе хочется - нарушение самой основы DAC, ибо каталог никакого отношения к хозяину не имеет.

У каталогов тоже есть хозяева, не вижу никакой принципиальной проблемы в реализации возможности наследования прав даже с сохранением изначального владельца. Посмотри как это реализовано в Windows+NTFS, чтобы иметь возможность в дальнейшем вести конструктивную дискуссию.

Задачи не придумывают, задачи они из IRL берутся, а не из хотелок

А если такой задачи ещё ни перед кем не возникало — тогда она ненужна, если следовать твоей логике.

А вот придуманные задачи компьютер не решает

В результате решения одних, простых задач возникают другие, более сложные. Многие из них являются придуманными, например, моделирование какого-нибудь Большого Взрыва. IRL никто достоверно не знает был ли он или нет, для этого и нужны компьютеры.

«Не нужно» не обязано быть идентичным. Как и любая НЁХ, она не равно и не эквивалентно ничему, в том числе и самой себе.

Завязывай уже с веществами, я серьёзно.

И мамонты-бы нас давили, если-бы мы все этого не понимали. К счастью, некоторые поняли, и потому мамонты и были истреблены и съедены

Мамонты они вообще травоядные были, им человеки до лампочки. А съедены они были потому что доступная еда.

Ибо его идеальная модель сложная, непонятная, и потому НЕ НУЖНА.

Всё что сложнее колеса ненужно? Ты уже полностью изучил ядерную физику, например, или твой мозг понять её не осилил? Ядерная физика тоже ненужна?

А причём тут Алиса и Боб? Кроме людей есть ещё и сервисы, которые зачастую работают от имени разных пользователей.

и сервисы, и люди должны работать от своих пользователей.

Простой пример: я залил какие-то файлы на ftp, демон которого запущен от одного пользователя, а через какое-то время решил выложить в общий доступ через http, который, естественно, запущен от имени другого пользователя, просто переместив/скопировав файлы из одного каталога в другой, например под суперпользователем.

ССЗБ. Не работай под рутом. Иначе у тебя возникнут проблемы. Вот как в твоём этом случае.

С наследованием прав мне никаких плясок с бубном устраивать не нужно, а с вашими кривыми DAC приходится каждый раз вручную рекурсивно выставлять права и владельца/группу для возможности доступа.

а я вот никак ничего не правлю, без всяких chmod -R обхожусь. Ты всё ещё работаешь под рутом? Ну я уже пришёл, рассказывай: залил ты значит файлы по ФТП, как Алиса, файлы принадлежат Алисе, которая в группе httpd. Алиса может их править (хоть прямо с ФТП), а вот httpd может только читать, ибо права 0640. Все остальные лосаснут тунца. Зачем тут chmod, да ещё и R?

А наследовать права и других пользователей и групп от каталога значит слабо? В винде такое возможно, при этом владелец файла сохранятся.

нет. Не слабо. Если группа каталога httpd, то файлы, которые залила Алиса, тоже группы httpd(при установленном gid bit). Потому сервис httpd автоматический получает свой доступ для чтения. При этом Алиса остаётся хозяйкой файла, и может его менять.

В винде такое возможно, при этом владелец файла сохранятся.

я знаю. Это ваше вендовое наследование - костыль. Наш setgid - тоже костыль. Оба этих костыля выполняют свою задачу. Чем ты недоволен? Не осилил один из костылей?

Кто сказал что эту выдачу постоянно нужно делать вручную? Это же онанизм какой-то.

я не знаю, кто это тебе сказал. Я говорил о том, что Алиса _может_ назначить какие-то особые права для кого-то там. Если захочет. А не захочет - будут её обычные умолчания. Если это какой-то специальный каталог с setgid, то в нём файлы Алисы будут наследовать группу, а стало быть и особые права для этого каталога. Нужно это для совместной работы, как раз например для того случая, когда у Алисы есть друг Боб, который (в отличие от всех остальных) может просматривать интимные фотки Алисы. Для этого Алиса делает группу, и вносит туда Боба (ну ты фконтакте был? там тоже есть что-то похожее). И вручную НИЧЕГО Алисе ПРИ РАБОТЕ делать НЕ НУЖНО - она просто фоткаи как всегда сохраняет в ./Алиса+Боб/, и фотки сами по себе становятся доступными не только ей, но и Бобу. А в ./Алиса/ НЕ становятся, ибо там нет setgid, и группа Алисина, а не общая.

Теперь рассмотрим случай, когда у Алисы сиськи, а Боб - мастер фотошопа. Тут Алисе надо поставить на ./Алиса+Боб/ право w для группы, тогда Боб сможет редактировать фотки Алисы, увеличивая сиськи. Конечно никто этого не увидит. Однако, и Алиса и Боб будут знать где подделка, а где сырец, ибо у подделок хозяин Боб (у него нет сисек), а оригиналом владеет Алиса (она фотошопа не умеет). Всё это тоже будет проходить автоматом, без всяких chmod. Root'а вообще в этой схеме нет.

Какие ещё юзкейсы тебя волнуют?

У каталогов тоже есть хозяева, не вижу никакой принципиальной проблемы в реализации возможности наследования прав даже с сохранением изначального владельца.

ты не видишь, а я - вижу. И могу обосновать. Проблема проста: не нужно. Если нужно, вернёмся к Алисе с Бобом, и рассмотрим юзкейс, в котором оно нужно.

Посмотри как это реализовано в Windows+NTFS, чтобы иметь возможность в дальнейшем вести конструктивную дискуссию.

я видел. Через жопу. Кривыми и костыльными ACL, которых никто не понимает (что не удивительно, ибо азы вам неведомы).

А если такой задачи ещё ни перед кем не возникало — тогда она ненужна, если следовать твоей логике.

мы вообще-то не только про задачи, но и про инструменты. По моей логике - для новой задачи, старый инструмент может и не подойти. И это не минус инструмента. Просто нужен ещё какой-то дополнительный инструмент искать или делать. Вот только задачи-то я что-то не вижу, вижу только хотелки - «хочу отвёртку с урановой ручкой, чтоб гвозди забивать!». Я вам - не нужно, а вы - в истерику.

«Не нужно» не обязано быть идентичным. Как и любая НЁХ, она не равно и не эквивалентно ничему, в том числе и самой себе.

Завязывай уже с веществами, я серьёзно.

это ты завязывай. Непонятные вещи - это не только глюки. Есть и просто непонятные вещи, причём без всякой наркоты. Мир не такой простой, как тебе кажется, и проблемы не только от употребления наркотиков. Я вот их не употребляю, а проблем полно. И непонятных вещей - тоже.

И мамонты-бы нас давили, если-бы мы все этого не понимали. К счастью, некоторые поняли, и потому мамонты и были истреблены и съедены

Мамонты они вообще травоядные были, им человеки до лампочки. А съедены они были потому что доступная еда.

мамонты были травоядными, но были совсем не тупыми и вовсе не такими уж доступными. Попробуй слона завалить. Даже толпой. Просто тупо затопчет. И ему пофиг, что травоядный. Тут и тактика нужна, и стратегия. Или АКМ. Но АКМ не было, приходилось голыми руками.

Всё что сложнее колеса ненужно?

это твоя мысль, а не моя. Моя мысль в том, что если «нужно», то необходимо очень веское обоснование усложнению. Например обоснуй необходимость пятого колеса у автомобиля. Не нужно. И всем по, что в твоей реальности у автомобиля 5 колёс. У наших военов и с 10ю колёсами есть - особый случай, им НУЖНО. А всем остальным - не нужно.

и сервисы, и люди должны работать от своих пользователей.

Я о чём и говорю.

ССЗБ. Не работай под рутом. Иначе у тебя возникнут проблемы. Вот как в твоём этом случае.

Ок, если я скопирую от имени другого пользователя — что изменится? Права на файл волшебным образом поменяются? Что характерно, при использовании cp и mv результат будет разным.

ты значит файлы по ФТП, как Алиса

Нет, я залил их как пользователь, например, ftp.

файлы принадлежат Алисе, которая в группе http

Мне не нужно чтобы все файлы, переданные по ftp имели возможность быть доступными через http. Иначе при какой-нибудь уязвимости в сервисе httpd, в результате эксплуатации которой он сможет вылезти из своего каталога, все файлы станут доступны по http.

Если группа каталога httpd, то файлы, которые залила Алиса, тоже группы httpd

ЕМНИП какой-нибудь proftpd без явного указания прав на заливаемые файлы/каталоги выставляет права 600/700, поэтому группа httpd лососнёт тунца.

Это ваше вендовое наследование - костыль

Оно легко решает поставленные задачи, в отличие от ваших кривулек.

Для этого Алиса делает группу

От имени ограниченного пользователя, ага. В итоге имеем 100500 групп по полтора пользователя в каждой.

Root'а вообще в этой схеме нет.

Общую группу кто создаст?

Проблема проста: не нужно

Вот и я говорю: костыльный линуксовый ACL, который ничего не умеет, не нужен.

Кривыми и костыльными ACL, которых никто не понимает

Ничего не поделаешь, это не лечится. Адекватные люди всё отлично понимают.

Просто нужен ещё какой-то дополнительный инструмент искать или делать

Он уже есть, если говорить в контексте NTFS ACL. Искать ничего не нужно.

И это не минус инструмента

Но ты же не будешь спорить, что палка в качестве оружия менее эффективна, чем пистолет.

это твоя мысль, а не моя

Ты же сам написал, что сложные и недоступные твоему пониманию вещи ненужны.

Например обоснуй необходимость пятого колеса у автомобиля

Запаска?

А причём тут Алиса и Боб? Кроме людей есть ещё и сервисы, которые зачастую работают от имени разных пользователей. Простой пример: я залил какие-то файлы на ftp, демон которого запущен от одного пользователя, а через какое-то время решил выложить в общий доступ через http, который, естественно, запущен от имени другого пользователя, просто переместив/скопировав файлы из одного каталога в другой, например под суперпользователем. С наследованием прав мне никаких плясок с бубном устраивать не нужно, а с вашими кривыми DAC приходится каждый раз вручную рекурсивно выставлять права и владельца/группу для возможности доступа.

кто-то сказал incron? (это не говоря уже только о банальных решениях)

кто-то сказал incron? (это не говоря уже только о банальных решениях)

Ок, штука неплохая. Но в данном случае это всё равно костыль: во-первых, использует внешние программы (например, chmod и chown), что влечёт накладные расходы при копировании большого количества файлов, во-вторых, таблица прав становится оторванной от объекта в ФС.