Технологическая отсталость линукса - ACL

goujat · 04-01-10 14:25:49

Windows ACLs support over ten different permissions for each entry in an ACL, including things such as append and delete, change permissions, take ownership, and change ownership. Current implementations of POSIX.1 ACLs only support read, write, and execute permissions.

взято отсюда: www.suse.de/~agruen/acl/linux-acls/online/

Перевожу для тупых: Windows ACL - более 10 типов разрешений (которые могут в том числе быть и запретительными). Posix ACL (линупс) - только чтение, запись и исполнение.

Вывод: линупс несётся по дороге в будущее как старый разваливающийся паровоз. У него отваливаются колёса, готов взорваться паровой бак, но на крыше стоит толпа горланящего пролетариата и орёт что-то про свободу.

msAVA · 04-01-10 15:31:32

goujat пишет:

Перевожу для тупых: Windows ACL - более 10 типов разрешений (которые могут в том числе быть и запретительными). Posix ACL (линупс) - только чтение, запись и исполнение.

Можно не путать попу с пальцем? rwx -- вовсе не ACL.

P.S. Для чего в Винде используются ACL более сложные, чем rwx?

Невропаразитолог · 04-01-10 15:35:20

msAVA пишет:

P.S. Для чего в Винде используются ACL более сложные, чем rwx?

А для более тонкой настройки. Или линуксоидам это уже не главное? А как вопили-то поначалу (не вы лично, конечно же, а "сообщество")....

msAVA · 04-01-10 17:26:52

Невропаразитолог пишет:

А для более тонкой настройки. Или линуксоидам это уже не главное? А как вопили-то поначалу (не вы лично, конечно же, а "сообщество")....

Для каких более тонких настроек и настроек чего?

goujat · 04-01-10 23:44:12

"Можно не путать попу с пальцем? rwx -- вовсе не ACL."
rwx - это не ACL :-D
но Posix ACL - это rwx. И, слушай, дядя, ты часто в свою попу палец суёшь? Что за ассоциации, это ты студентов так учишь, да?

Rat,
"Наверное "больше ничего и не надо"(C)
Угадал?"
Угадал )
Этот пирподователь прикидывается, что и в самом деле не понимает... А ещё он палец в попу суёт. Уж не знаю, в чью.

Linups_Troolvalds · 04-01-10 23:54:22

goujat пишет:

но Posix ACL - это rwx.

Рекомендуется изучить матчасть, разобраться с DAC и MAC, узнать, что такое установка ACL на сокеты и пакеты сетевого трафика, вместо того, чтобы заниматься тут газификацией.

goujat · 05-01-10 00:26:36

про пакеты не в курсе, я про файловую систему.

Armanx64 · 05-01-10 12:35:21

В-общем, луноходы кричат про продвинутую систему прав, а на самом деле, у них ничего нет. Ещё один гвоздь в гроб Pitux os

Linups_Troolvalds · 05-01-10 12:47:14

Armanx64 пишет:

В-общем, луноходы кричат про продвинутую систему прав, а на самом деле, у них ничего нет.

Не знаю, что вам кричат луноходы...всё есть, не хватает только глупых людей, которые педивикию до середины просмотрели и прибежали скорее умозаключения свои сообщать. А то смеяться не над кем.

Mike22 · 05-01-10 14:43:19

Armanx64:
Ну, это где как.
Например, есть chattr со своими фишками:
a - файлу разрешена только дозапись.
с - файл автоматически сжимается.
i - файл не может быть изменен или удален даже рутом. Пока стоит этот атрибут, файл неуязвим.
j - дополнительное журналирование на ext3
s - при удалении файл будет удален секьюрно, с забиванием секторов на диске нулями.
u - наоборот, позволяет восстанавливать удаленный файл, сохраняя его данные во временное хранилище.

c,s,u - не работают на ext2 и ext3.

Я не говорю, что в линуксе разделение прав сделано хорошо. Оно, имхо, там ужасающе. Однако, оно не исчерпывается rwx

Mike22 · 05-01-10 14:46:45

msAVA:
Групповые политики неудобны, когда нужно задать (или ограничить) права конкретного пользователя.
Отсутствие наследования тоже не сахар.

Armanx64 · 05-01-10 15:01:32

В Windows есть наследование.

dotTrololo · 05-01-10 15:07:01

Эта. Вы тут все так авторитетно рассуждаете над какими-то ACL, наследованиеми, групповыми политками... Вы мне как просто юзеру расскажите а зачем мне это вообще? И как этим пользовацца?

Armanx64 · 05-01-10 16:02:17

Всё просто. В линухе мне как юзверю доступно только установка разрешений на чтение, изменение и выполнение. В Windows список действий больше + есть запреты
Привожу список, каждое действие имеет так же возможность запрета:

Полный доступ
Изменение
Чтение и выполнение
Чтение
Запись
Особые разрешение

Ну, и не следует забывать, что можно давать разрешения как отдельному пользователю, так и группам и конкретному ПО, характеризующему себя как пользователь.

Отредактировано Armanx64 (05-01-10 16:03:35)

Linups_Troolvalds · 05-01-10 16:27:12

Armanx64 пишет:

Всё просто. В линухе мне как юзверю доступно только установка разрешений на чтение, изменение и выполнение. В Windows список действий больше + есть запреты

Там сообщениями тремя тому назад какбе намекнули уже, что не только...

Привожу список, каждое действие имеет так же возможность запрета:

Поздравляю. Возможность запрета - это соответствующий бит == 0. Вот если для владельца, то примерно так:

Полный доступ - 0700
Изменение - 0600
Чтение и выполнение - 0500
Чтение - 0400
Запись - 0200
Особые разрешение - берем расширенные ACL

Ну, и не следует забывать, что можно давать разрешения как отдельному пользователю, так и группам

Поздравляю. setacl установит легко и просто матрицу доступа для всех пользователей и групп системы(отсутствие явных разрешений равно отсутствию любых) на файл.

и конкретному ПО, характеризующему себя как пользователь.

Что это такое - не вполне ясно, но создание индивидуального UID:GID для каждого приложения или запуск приложения с правами определенного UID:GID - это тоже штатное действие. Но это далеко не все. См. SELinux, AppArmor и т.д.

msAVA · 05-01-10 16:39:24

Armanx64 пишет:

Всё просто. В линухе мне как юзверю доступно только установка разрешений на чтение, изменение и выполнение. В Windows список действий больше + есть запреты
Привожу список, каждое действие имеет так же возможность запрета:
Полный доступ
Изменение
Чтение и выполнение
Чтение
Запись
Особые разрешение

Это всё хорошо, вот только после Вин2К флажки на права взаимозависимы, т.е. назначив "Чтение и выполнение" "Да", "Чтение" "Нет", вы автоматом уберёте "Да" с "Чтение и выполнение".

В Вин2К меня ставила в тупик возможность для одного и того же файла одновременно ставить флажки как в "запретить", так и в "разрешить".

Количество комбинаций rwx -- 7 штук, т.е.

Полный доступ -- rwx
Изменение -- rw-
Чтение и выполнение r-x
Чтение r--
Запись -w-
Особые разрешение

Как видно, сами атрибуты в ФС Винды соответствую атрибутам ФС Никсов. Плюшки Винды -- в назначении прав на файлы именно через ACL, когда для каждого пользователя или группы можно прописать, с каким файлом что он может сделать, но это кропотливый ручной труд, который никому не нужен.

Я ведь не случайно спросил, зачем всё это используется в Винде. Стандартный ответ: для разграничения доступа к рабочей информации. Но это надо делать через БД, причём сама информация должна храниться в БД, а не в виде отдельных файлов на ФС.

goujat · 05-01-10 17:01:38

в NT возможны запретительные права: группе дать доступ, а подмножеству этой группы доступ запретить. удобно.
в NT есть наследование прав.
в NT есть ACL на ветки реестра.

в линупсе модель архаична, ничего такого нет.

"причём сама информация должна храниться в БД, а не в виде отдельных файлов на ФС."
файловая система - это и есть такая БД, специализирующаяся на хранении файлов.

"В Вин2К меня ставила в тупик возможность "
в линупсе меня ставит в тупик невозможность.

goujat · 05-01-10 17:02:51

добавлю, что утилиты setfacl/getfacl не понимают UTF8 и вместо групп кириллицей традиционно выдают коды кириллических символов. уроды-программисты, что с них взять.

Отредактировано goujat (05-01-10 17:03:04)

Linups_Troolvalds · 05-01-10 17:14:50

goujat пишет:

в NT возможны запретительные права: группе дать доступ, а подмножеству этой группы доступ запретить. удобно.
в NT есть наследование прав.

Вот и замечательно. Теперь следует описать задачу, которая требует такого решения. Потому что я тоже могу сказать, что мне удобно cat /dev/random > /dev/dsp делать, а в виндоус это никак.

в NT есть ACL на ветки реестра.

К счастью, в линуксе нет реестра.

в линупсе модель архаична, ничего такого нет.

Для начала опишите задачу, для решения которой требуется это все. Особенно ветки реестра.

файловая система - это и есть такая БД, специализирующаяся на хранении файлов.

Дырка - это и есть такой бублик, который вокруг нее, ага.

в линупсе меня ставит в тупик невозможность.

Невозможность соблюдения взаимоисключающих параграфов?

Linups_Troolvalds · 05-01-10 17:20:55

goujat пишет:

добавлю, что утилиты setfacl/getfacl не понимают UTF8 и вместо групп кириллицей традиционно выдают коды кириллических символов. уроды-программисты, что с них взять.

Предлагаю оценить число всех комбинаций, предположим от 3 до 10 символов набора [a-z]. А затем с добавлением индексов из [0-9]. А потом объяснить(себе), для чего в системе может потребоваться большее количество имен групп. И какое отношение весьма техническое обозначение имеет к уровню пользователя, для которого важны только логин и пароль, так как все остальное от него не зависит.

goujat · 05-01-10 18:09:37

"К счастью, в линуксе нет реестра."
К сожалению, в линупсе вообще мало что есть.

"для чего в системе может потребоваться большее количество имен групп"
"Теперь следует описать задачу, которая требует такого решения."
Если этого нет, значит, это не нужно? Традиция линупса. Свободен.

Linups_Troolvalds · 05-01-10 18:18:49

goujat пишет:

К сожалению, в линупсе вообще мало что есть.

Не знаю, мне всего хватает.

Если этого нет, значит, это не нужно?

А почему вы отвечаете вопросом на вопрос? Реальные примеры привести затрудняетесь?

Традиция линупса. Свободен.

Традиция вендотролля. Симметрично.

Armanx64 · 05-01-10 18:22:10

Linups_Troolvalds пишет:

goujat пишет:
в NT есть ACL на ветки реестра.
К счастью, в линуксе нет реестра.

Спишем это на то, что линукс - вечный стартап

Linups_Troolvalds пишет:

в линупсе модель архаична, ничего такого нет.
Для начала опишите задачу, для решения которой требуется это все. Особенно ветки реестра.

Ну, я использую это в повседневной жизни. К моему компьютеру и к компьютерам клиентов имеют доступ немало людей - я вынужден удоволетворять их запросы на точное разграничение прав.

Linups_Troolvalds пишет:

файловая система - это и есть такая БД, специализирующаяся на хранении файлов.
Дырка - это и есть такой бублик, который вокруг нее, ага.

Тролльвалдс, а вас что смущает? NTFS - это целая БД, которая даже поддерживает расширения к ней (см. EFS)
Пока ext и прочие шли к журналированию, hfs+ уже была журналируемой, а NTFS уже была практически идеальной файловой системой. Один минус - файлы там имеют очень много атрибутов и параметров, да и сама ФС немаленькая, поэтому для внешних устройств была создана exFAT, которая призвана хранить и переносить файлы, а не держать на ней систему.

Отредактировано Armanx64 (06-01-10 21:08:33)

vasilich · 05-01-10 18:42:22

Armanx64 пишет:

Тролльвалдс, а вас что смущает? NTFS - это целая БД, которая даже поддерживает расширения к ней (см. NTFS)
Пока ext и прочие шли к журналированию, hfs+ уже была журналируемой, а NTFS уже была практически идеальной файловой системой. Один минус - файлы там имеют очень много атрибутов и параметров, да и сама ФС немаленькая, поэтому для внешних устройств была создана exFAT, которая призвана хранить и переносить файлы, а не держать на ней систему.

залейте на НТФС пару мильонов файлов и попробуйте поискать что-нить по содержимому... а теперь тоже самое под скл? чуешь разницу?

Linups_Troolvalds · 05-01-10 18:42:45

Armanx64 пишет:

Спишем это на то, что линукс - вечный стартап

А какая от него выгода?

Ну, я использую это в повседневной жизни. К моему компьютеру и к компьютерам клиентов имеют доступ немало людей - я вынужден удоволетворять их запросы на точное разграничение прав.

Очень хорошо, и какую же задачу можно решить только специфичными для NT методами, желательно также определиться с протоколом доступа.

Тролльвалдс, а вас что смущает? NTFS - это целая БД, которая даже поддерживает расширения к ней (см. NTFS)

А то, что при сбое в этой БД вы получите полнейшее бидэ, не смущает?

Пока ext и прочие шли к журналированию, hfs+ уже была журналируемой, а NTFS уже была практически идеальной файловой системой.

Идеальной - потому что единственной, ага.

Один минус - файлы там имеют очень много атрибутов и параметров, да и сама ФС немаленькая, поэтому для внешних устройств была создана exFAT, которая призвана хранить и переносить файлы, а не держать на ней систему.

Это еще не минус, это так...вот скорость ввода-вывода, оммм....

Форум StopLinux

Объявление

#1 04-01-10 14:25:49

Технологическая отсталость линукса - ACL

#2 04-01-10 15:31:32

Re: Технологическая отсталость линукса - ACL

#3 04-01-10 15:35:20

Re: Технологическая отсталость линукса - ACL

#4 04-01-10 17:26:52

Re: Технологическая отсталость линукса - ACL

#5 04-01-10 23:44:12

Re: Технологическая отсталость линукса - ACL

#6 04-01-10 23:54:22

Re: Технологическая отсталость линукса - ACL

#7 05-01-10 00:26:36

Re: Технологическая отсталость линукса - ACL

#8 05-01-10 12:35:21

Re: Технологическая отсталость линукса - ACL

#9 05-01-10 12:47:14

Re: Технологическая отсталость линукса - ACL

#10 05-01-10 14:43:19

Re: Технологическая отсталость линукса - ACL

#11 05-01-10 14:46:45

Re: Технологическая отсталость линукса - ACL

#12 05-01-10 15:01:32

Re: Технологическая отсталость линукса - ACL

#13 05-01-10 15:07:01

Re: Технологическая отсталость линукса - ACL

#14 05-01-10 16:02:17

Re: Технологическая отсталость линукса - ACL

#15 05-01-10 16:27:12

Re: Технологическая отсталость линукса - ACL

#16 05-01-10 16:39:24

Re: Технологическая отсталость линукса - ACL

#17 05-01-10 17:01:38

Re: Технологическая отсталость линукса - ACL

#18 05-01-10 17:02:51

Re: Технологическая отсталость линукса - ACL

#19 05-01-10 17:14:50

Re: Технологическая отсталость линукса - ACL

#20 05-01-10 17:20:55

Re: Технологическая отсталость линукса - ACL

#21 05-01-10 18:09:37

Re: Технологическая отсталость линукса - ACL

#22 05-01-10 18:18:49

Re: Технологическая отсталость линукса - ACL

#23 05-01-10 18:22:10

Re: Технологическая отсталость линукса - ACL

#24 05-01-10 18:42:22

Re: Технологическая отсталость линукса - ACL

#25 05-01-10 18:42:45

Re: Технологическая отсталость линукса - ACL

Подвал форума