Intereting Posts
Почему scp не работает, когда я запускаю его на удаленном сервере для копирования обратно на локальный компьютер? Терминал debian 9 не может измениться на su Перемещение файлов без расширения с помощью mv Как я могу узнать, какие флаги компоновщика необходимы для использования данной функции библиотеки C? как сделать bc, чтобы показать мне 10, а не 10.00 Вы сохранили бы Makefile для последующей деинсталляции? Можно ли выполнить замену командной оболочки без использования подоболочки? Заменить \ n на новую строку в sed portably Postfix: заставить локальных пользователей (PHP) использовать SMTPD для внешних получателей Apache2 не читает сайты с поддержкой / *. Conf control-w (удалить слово) удаляет целую строку в клиенте MariaDB NAT (совместное использование Интернета), переключение между несколькими общими интерфейсами CSV-обработка файлов – удалите кавычки и замените разделитель запятой на вкладку Воссоздан В.Г. Можно ли добавить к нему существующие LV? Создание системы безопасности с использованием малины Pi

Запретить пользователю удалять файл в каталоге

Это сценарий

  1. Существует один каталог / тест, который принадлежит oracle.dba
  2. Я создал нового пользователя TEST, у которого будет разрешение создавать НОВЫЕ файлы, но он не должен удалять файлы, которые он создал

Я попробовал несколько способов, даже аклов, но не работал.

Я считаю, что это невозможно, используя только стандартные привилегии UNIX. Проблема здесь в том, что (насколько мне известно) вновь созданный файл всегда принадлежит его создателю – и если вы можете создать файл, у вас есть права на запись в родительский каталог и, следовательно, можно также удалить файл ,

Вы можете использовать липкий бит, чтобы пользователи не могли удалять другие файлы пользователей , и вы можете использовать бит SETGID в каталоге для изменения группы вновь созданных файлов, но в Linux бит каталога SETUID игнорируется.

Вы можете создать демон, который контролирует каталог (возможно, используя какой-то монитор изменения файлов) и изменяет право собственности на oracle.dba после создания файла. Однако есть условие гонки – злоумышленник может удалить файл до того, как демон сообщит, что он есть.

Имейте в виду, что до тех пор, пока у вас есть права на запись, вы можете обрезать файл до нулевой длины, тем самым уничтожая содержимое без явного удаления файла.