Mă pot baza pe permisiunile 701 pentru a împiedica utilizatorii din același grup să se amestece cu datele celuilalt?

Cu ceva timp în urmă am aflat că atribuirea tuturor utilizatorilor aceluiași grup și setarea 701 în directoarele lor de acasă îi împiedică să se amestece cu datele celuilalt, dar permite unui program de sistem, cum ar fi un server web, să acceseze datele.

Așa că creez un grup utilizatorii apoi doi utilizatori, alice:utilizatori și bob:utilizatori cu /opt/www/alice și /opt/www/bob respectiv directoarele de acasă. Apoi, după ce v-ați conectat alice nu pot intra /opt/www/bob si invers.

Deci, mi se pare că permisiunile nu sunt întotdeauna verificate pentru fiecare tip (utilizator, grup, toată lumea), ci mai degrabă treptat, în esență oprindu-se după o potrivire negativă. Adică în cazul meu

• când un utilizator din același grup încearcă să deschidă directorul:
  • mai întâi, verificăm un utilizator, nu este același dar 7 hai sa mergem mai departe
  • atunci 0 ne împiedică să accesăm directorul și, de asemenea, oprește verificarea ulterioară a permisiunilor
  • ca sa nu cadem in cazul x-pentru-toata lumea din 1
• în timp ce pentru un utilizator din grupul diferit:
  • mai întâi, verificăm un utilizator, nu este același dar 7 hai sa mergem mai departe
  • atunci căutăm un grup, așa este 0 dar grupul este diferit, așa că ne lasă să trecem
  • așa că putem deschide directorul datorită 1 fiind „toată lumea” în acest director

Este corectă această presupunere? Mă pot baza pe acest comportament? Care sunt posibilele dezavantaje ale acestei configurații?

Cred că ai înțeles puțin greșit, dar rezultatul este același. 701 înseamnă că:

• utilizatorul marcat ca proprietar primește permisiuni complete, 7
• un utilizator din grupul marcat ca proprietar al grupului nu primește permisiuni, 0
• toată lumea primește permisiuni de execuție, 1

Deci, dacă proprietarul și permisiunile sunt activate /opt/www/bob sunt bob:utilizatori și 701 respectiv, atunci bob primește permisiuni complete și toată lumea poate „executa” directorul. Aceasta înseamnă că oricine ar putea să-și acceseze propriile fișiere sau fișierele deținute de grup în folder, dar nu poate lista conținutul.

Exemplu:

$> test mkdir
$> echo 'foo' > test/foo.txt
$> test chmod 100/
$> ls -l test/
Acces refuzat
$> test pisica/foo.txt
foo
$>

Deci da, alți utilizatori din grup nu ar avea permisiuni, dar toată lumea are permisiuni de execuție. Ar fi mai bine să setați permisiunile la 740 dacă vrei să permiti grupului să citească și nimeni altcineva. Sau 741 pentru a realiza ceea ce ai, dar să fii puțin mai clar?