Erhalten neuer Dateien zum Erben von Gruppenberechtigungen unter Linux

Ich habe ein Problem mit Berechtigungen auf einem Linux-Server. Ich bin an BSD gewöhnt. Wenn ein Verzeichnis einer Gruppe gehört, deren Eigentümer es nicht ist, wie z. B. www-data, gehören die darin erstellten Dateien dieser Gruppe. Dies ist wichtig, da ich möchte, dass Dateien vom Webserver (der nicht als Root ausgeführt wird) gelesen werden können, aber ein Benutzer trotzdem neue Dateien in das Verzeichnis aufnehmen kann. Ich kann die Benutzer nicht in www-Daten eintragen, da sie dann die Websites aller anderen Benutzer lesen können.

Ich möchte, dass der Webserver alle Websites liest. Ich möchte, dass Benutzer ihre eigenen ändern können.

Die Berechtigungen für die Ordner sind im Moment so eingestellt.

drwxr-x--- 3 john www-data 4096 Feb 17 21:27 john

Es ist Standardverhalten bei BSD, dass Berechtigungen auf diese Weise funktionieren. Wie bringe ich Linux dazu?

Es hört sich so an, als würden Sie die setgid-Bit- Funktionalität beschreiben, bei der beim Festlegen eines Verzeichnisses alle neu erstellten Dateien gezwungen werden, ihre Gruppe auf dieselbe Gruppe festzulegen, die im übergeordneten Verzeichnis festgelegt ist.

Beispiel

$ whoami
saml

$ groups
saml wheel wireshark

Richten Sie ein Verzeichnis mit Perms + Ownerships ein

$ sudo mkdir --mode=u+rwx,g+rs,g-w,o-rwx somedir
$ sudo chown saml.apache somedir
$ ll -d somedir/
drwxr-s---. 2 saml apache 4096 Feb 17 20:10 somedir/

Berühre eine Datei als Saml in diesem Verzeichnis

$ whoami
saml

$ touch somedir/afile
$ ll somedir/afile 
-rw-rw-r--. 1 saml apache 0 Feb 17 20:11 somedir/afile

Dies gibt Ihnen ungefähr, wie es sich anhört, als ob Sie möchten. Wenn Sie jedoch genau das möchten, was Sie beschrieben haben, sollten Sie auf die Funktionen der Zugriffssteuerungslisten zurückgreifen, um diese (ACLs) zu erhalten.

ACLs

Wenn Sie mehr Kontrolle über die Berechtigungen für die Dateien haben möchten, die unter dem Verzeichnis erstellt werden somedir, können Sie die folgende ACL-Regel hinzufügen, um die Standardberechtigungen wie folgt festzulegen.

Vor

$ ll -d somedir
drwxr-s---. 2 saml apache 4096 Feb 17 20:46 somedir

Berechtigungen festlegen

$ sudo setfacl -Rdm g:apache:rx somedir
$ ll -d somedir/
drwxr-s---+ 2 saml apache 4096 Feb 17 20:46 somedir/

Beachten Sie +am Ende, dass auf dieses Verzeichnis ACLs angewendet wurden.

$ getfacl somedir
# file: somedir
# owner: saml
# group: apache
# flags: -s-
user::rwx
group::r-x
other::---
default:user::rwx
default:group::r-x
default:group:apache:r-x
default:mask::r-x
default:other::---

nach

$ touch somedir/afile
$ ll somedir/afile 
-rw-r-----+ 1 saml apache 0 Feb 17 21:27 somedir/afile
$ 

$ getfacl somedir/afile
# file: somedir/afile
# owner: saml
# group: apache
user::rw-
group::r-x              #effective:r--
group:apache:r-x        #effective:r--
mask::r--
other::---

Beachten Sie, dass die Standardberechtigungen ( setfacl -Rdm) so festgelegt sind, dass die Berechtigungen r-xstandardmäßig ( g:apache:rx) sind. Dies zwingt alle neuen Dateien, nur ihr rBit zu aktivieren.

TL: DR; Damit neue Dateien die Gruppe des Containerordners erben, gehen Sie wie folgt vor:

$ chmod g+s somefolder

Hinweis: Dies ist nur ein Ausschnitt, der in der akzeptierten Antwort impliziert ist.

Beachten Sie als Ergänzung zu slms Antwort, dass Sie in einem ext2 / 3/4-Dateisystem das von Ihnen beschriebene BSD-Verhalten mithilfe der bsdgroupsmount-Option auf der Partition replizieren können. Von der mount(1)Manpage:

grpid|bsdgroups and nogrpid|sysvgroups
              These options define what group id a newly  created  file  gets.
              When  grpid  is  set,  it takes the group id of the directory in
              which it is created; otherwise (the default) it takes the  fsgid
              of  the current process, unless the directory has the setgid bit
              set, in which case it takes the gid from the  parent  directory,
              and also gets the setgid bit set if it is a directory itself.