Help: Phân Quyền Access Control List

[thienhaiao]

Mình đang học lớp LPI của thầy Huỳnh. Đến bài quyền truy cập dùng Access Control List thì có vấn đề.
Mình xin tóm tắt thế này,mong các thầy và anh em cao thủ giúp đỡ

Demo công ty có 3 phòng ban: kinh doanh, kế toán, ban giám đốc
Tạo 3 folder bangiamdoc,ketoan,kinhdoanh trong /home/ctydata
Tạo 3 group: GIAMDOC,KETOAN,KINHDOANH.
Tạo các user:tonggiamdoc,phogiamdoc,ketoantruong,ketoan1,k etoan2,tpkinhdoanh,kinhdoanh1,kinhdoanh2
Set nhóm chính cho giám đốc và nhân viên:

[root@testhost ctydata]# usermod -g GIAMDOC tonggiamdoc
[root@testhost ctydata]# usermod -g GIAMDOC phogiamdoc
[root@testhost ctydata]# usermod -g KETOAN ketoantruong
[root@testhost ctydata]# usermod -g KETOAN ketoan1
[root@testhost ctydata]# usermod -g KETOAN ketoan2
[root@testhost ctydata]# usermod -g KINHDOANH tpkinhdoanh
[root@testhost ctydata]# usermod -g KINHDOANH kinhdoanh1
[root@testhost ctydata]# usermod -g KINHDOANH kinhdoanh2



PHÂN QUYỀN:

- Nhân viên của phòng ban nào chỉ có thể được quyền truy cập vào thư mục của phòng ban đó,
[root@testhost ctydata]# chmod -R 770 bangiamdoc
[root@testhost ctydata]# chgrp -R GIAMDOC bangiamdoc
[root@testhost ctydata]# chmod -R 770 ketoan
[root@testhost ctydata]# chgrp -R KETOAN ketoan
[root@testhost ctydata]# chmod -R 770 kinhdoanh
[root@testhost ctydata]# chgrp -R KINHDOANH kinhdoanh



-Ban giám đốc cũng có thể vào được tất cả phòng ban:Set nhóm phụ cho các giám đốc.
[root@testhost ctydata]# usermod -G KETOAN,KINHDOANH tonggiamdoc
[root@testhost ctydata]# usermod -G KETOAN,KINHDOANH phogiamdoc

- Ai cũng có thể tạo/xóa/sửa dữ liệu nhưng không được xóa/sửa file của người khác.
Cái này mình thêm vào SUID và SGID,Sticky bit:
[root@testhost ctydata]# chmod -R u+s,g+s,o+t bangiamdoc
[root@testhost ctydata]# chmod -R u+s,g+s,o+t ketoan
[root@testhost ctydata]# chmod -R u+s,g+s,o+t kinhdoanh



- Tổng giám đốc duoc quyền truy cập và chỉnh sửa/xóa file/folder của tất cả các phòng ban khác:
Cái này mình dung setfacl thì bó tay

[root@testhost ctydata]# setfacl -m u:tonggiamdoc:rwx bangiamdoc
[root@testhost ctydata]# setfacl -m u:tonggiamdoc:rwx ketoan
[root@testhost ctydata]# setfacl -m u:tonggiamdoc:rwx kinhdoanh



Và đây là hình ảnh kiểm tra: getfacl


Và đây là test user: tonggiamdoc


Không biết mình bị sai chỗ nào? mong thầy và các anh em góp ý

[TQuang1989]

setfacl vẫn bị dính sticky bit nên vẫn ko xóa file của user khác đc, để giải quyết bài toán trên thì theo mình là nên chuyển owner của folder ketoan và kinhdoanh thành tonggiamdoc. Good luck !!!

[thienhaiao]

Trích:

Nguyên văn bởi TQuang1989

setfacl vẫn bị dính sticky bit nên vẫn ko xóa file của user khác đc, để giải quyết bài toán trên thì theo mình là nên chuyển owner của folder ketoan và kinhdoanh thành tonggiamdoc. Good luck !!!

Cám ơn TQuang1989. Đúng là chyển owner thì sẽ giải quyết được vần đề, nhưng trường hợp là group thì sao? vấn đề sẽ không hợp lý nữa. Mình muốn hỏi là phân quyền như thế nào để mặc dù có sticky bit vẫn có thể dùng setfacl giải quyết được vấn đề.
Mong các thầy và anh em giúp đỡ.

[thienhaiao]

Trích:

Nguyên văn bởi thienhaiao

Cám ơn TQuang1989. Đúng là chyển owner thì sẽ giải quyết được vần đề, nhưng trường hợp là group thì sao? vấn đề sẽ không hợp lý nữa. Mình muốn hỏi là phân quyền như thế nào để mặc dù có sticky bit vẫn có thể dùng setfacl giải quyết được vấn đề.
Mong các thầy và anh em giúp đỡ.

Híc,không ai giúp mình à
Thầy Huỳnh ơi! giúp em với

[LM]

Có 2 mấu chốt

1. Đồng chí đã set dư quyền, chỉ set Stickybit, không set UID, GID
2. Để ông giám đốc duoc vào (rwx) đồng chí bị rối, dẹp vụ ACL qua, mà hay dùng owner.

[lehoangtuat]

Tôi cũng bị giống ông mồ máy ngày không ra. Hihi

[producter]

Bạn làm thử cách đơn giản như sau:
- Tạo 3 folder giamdoc, ketoan, kinhdoanh
- Tạo 3 group với tên như trên
- Tạo user cho các group.
- Share 3 foler đó ra.
- Mở file /etc/group đến tên từng group rồi add user vào cho từng group, riêng user giamdoc thì add cho tất cả các group.
- chmod 1770 cho từng folder.