Cho phép chủ sở hữu tạo và đọc tệp, nhưng không sửa đổi hoặc xóa

Tôi muốn cung cấp cho người dùng quyền để tạo và đọc các tệp trong một thư mục cụ thể, nhưng không sửa đổi hoặc xóa các tệp. Nếu người dùng có thể chắp thêm vào các tập tin thì không, nhưng tôi thì không. Đây là trên Ubuntu Linux.

Tôi nghĩ điều này là không thể với các quyền của tệp Unix tiêu chuẩn, nhưng có lẽ điều này là có thể khi sử dụng ACL? Người dùng sẽ luôn kết nối bằng SFTP, vì vậy nếu có cách nào đó để kiểm soát điều này trong SFTP (trái với quyền của HĐH) thì sẽ ổn.

Để hoàn toàn rõ ràng, tôi muốn như sau:

• echo hello> test # thành công, vì thử nghiệm không tồn tại và cho phép tạo
• echo hello >> test # có thể thành công hay thất bại, tùy thuộc vào việc cho phép nối thêm
• echo hello2> test # fail, vì test đã tồn tại và không được phép sửa đổi
• thử nghiệm mèo # thành công, vì đọc được cho phép
• kiểm tra rm # không thành công, vì xóa không được phép

Nếu bạn đang tự hỏi tại sao tôi muốn làm điều này, thì đó là để tạo một hệ thống sao lưu dự phòng trùng lặp với Ransomware.

Bạn có thể sử dụng bindfsnhư:

$ ls -ld dir
drwxr-xr-t 2 stephane stephane 4096 Aug 12 12:28 dir/

Thư mục đó thuộc sở hữu của stephane, với stephane nhóm (stephane là thành viên duy nhất của nó). Cũng lưu ý trằng ngăn người dùng đổi tên hoặc xóa các mục mà họ không sở hữu.

$ sudo bindfs -u root -p u=rwD,g=r,dg=rwx,o=rD dir dir

Chúng tôi bindfs dirvượt qua chính nó với quyền sở hữu cố định và quyền cho các tập tin và thư mục. Tất cả các tệp xuất hiện thuộc sở hữu của root(mặc dù bên dưới trong thư mục thực chúng vẫn thuộc sở hữu của stephane).

Thư mục nhận được drwxrwxr-x root stephanequyền trong khi các loại tệp khác có được -rw-r--r-- root stephane.

$ ls -ld dir
drwxrwxr-t   2 root     stephane   4096 Aug 12 12:28 dir

Bây giờ tạo một tệp hoạt động vì thư mục có thể ghi:

$ echo test > dir/file
$ ls -ld dir/file
-rw-r--r-- 1 root stephane 5 Aug 12 12:29 dir/file

Tuy nhiên, không thể viết lần thứ hai open()vào tệp đó vì chúng tôi không có quyền trên đó:

$ echo test > dir/file
zsh: permission denied: dir/file

(lưu ý rằng việc nối thêm không được phép ở đó (vì không phải là một phần của yêu cầu ban đầu của bạn)).

Một hạn chế: trong khi bạn không thể xóa hoặc đổi tên các mục nhập dirvì tbit, các thư mục mới mà bạn tạo trong đó sẽ không có tbit đó , vì vậy bạn sẽ có thể đổi tên hoặc xóa các mục ở đó.

Các chattr +atùy chọn sẽ cho phép chỉ phụ thêm. Các tệp có thể được thay đổi theo cách đó, nhưng chỉ bằng cách thêm (tức là nối thêm các dòng) vào chúng. Bạn không thể xóa các tệp hiện có, nhưng tạo các tệp mới. Điều này có thể phù hợp với nhu cầu của bạn:

sudo chattr -R +a /dir/to/apply/to

từ man chattr

Một tập tin với tập thuộc tính `a 'chỉ có thể được mở trong chế độ chắp thêm để ghi. Chỉ có siêu người dùng hoặc một quá trình sở hữu khả năng CAP_LINUX_IMMUTABLE mới có thể đặt hoặc xóa thuộc tính này.

(lưu ý rằng nó cũng áp dụng cho các thư mục)

Vì vậy, danh sách của bạn sẽ trông như sau:

echo hello > test # succeeds, because test doesn't exist, and creation is allowed
echo hello2 > test # fails, because test already exists, and overwriting is not allowed
echo hello3 >> test # succeeds, because appending is allowed
cat test # succeeds, because reads are allowed
rm test # fails, because delete is not allowed