Posix ACLs
Материал из RSU WiKi
Дать группе пользователи "users" права записи во все существующие и вновь создаваемые подкаталоги конкретной директории (Posix ACL, независимо от umask):
setfacl -R -m g:users:w dir/
Предположим, мы хотим раздавать файлы с помощью nginx. При этом nginx должен получить необходимый минимум прав, то есть права только на чтение.
Зная, что nginx исполняется с правами пользователя wwwrun:
setfacl -m user:wwwrun:--x /srv/www /srv/ftp setfacl -R -m d:u:wwwrun:rX /srv/www /srv/ftp
Так, nginx получил право заходить в /srv/www и /srv/ftp, читать все файлы уровнем ниже и только.
Если пользователь создаст новую поддиректорию в htdocs, то на нее по-умолчанию распространятся те же самые правила. То есть, вся эта схема будет работать прозрачно для пользователя.
Снять все расширенные ACL's можно командой:
setfacl -R -b dir/
См. также
Ссылки
- http://sanmai.livejournal.com/718160.html
- http://foboss.livejournal.com/230059.html
- http://wiki.kryukov.biz/wiki/Setfacl
- https://wiki.archlinux.org/index.php/ACL_(Русский)