On Wed, Aug 20, 2025 at 04:03:53PM +0200, Uwe Kleine-König wrote:
Hallo Tomas,
On 8/12/25 17:07, tomas@tuxteam.de wrote:
On Tue, Aug 12, 2025 at 04:37:52PM +0200, Andreas Delleske wrote:
also mit Linux-Permissions (users, group, others) kenn ich mich soweit aus (wird ja auch Zeit nach 50 Jahren :-) )
Nun habe ich ein OpenMediaVault 6 am Start wo aus unerfindlichen Gründen das System nochmal mit einer zweiten Schicht an Permissions rumfummelt, die ich mit "getfacl" - "setfacl" erreichen kann und die wiedersprechen sich bei einer Installation. Ich hab da aber nie bewußt eine "zweite Schicht Permissions" bestellt... wozu auch?
Möglicherweise (?) ist da gar keine andere Schicht, sondern nur eine bombastische Benamsung dessen, was Du schon kennst.
Es gibt ein Mapping der traditionellen ugo-Bits in das Modell von {g,s}etfacl, aber nicht umgekehrt. In ersterem kannst Du nur die Rechte für einen Benutzer und eine Gruppe festlegen, mit {g,s}etfacl für beliebige Nutzer und Gruppen.
So etwas meinte ich...
Aber vielleicht... ext4 kann extended attributes, da kann mensch gerüchteweise weiterführende ACLs unterbringen, aber Du brauchst dann auch die Polizeikräfte, die das durchsetzen: hast Du SELinux, oder vllt. AppDingens am laufen? Was passiert, wenn Du auf eine Deiner Dateien "getacl" loslässt?
Für die Zugriffsrechte, die mit {g,s}etfacl abgefragt und gesetzt werden, braucht man kein LSM wie SELinux oder Apparmor. Das funktioniert einfach so.
Ich verlor den Kontext: ich war in "nur Linux" -- da braucht es doch einen Teil, der die ACLs (jenseits der "traditionellen") durchsetzt, wenn sie nicht "nur auf der Platte herumliegen" sollen. In diesem Fall ist's wohl der (Windows?) Client, verstehe ich das richtig? Bei "nur Linux" bräuchte es dazu irgend ein LSM, das diese erweiterten ACLs liest und durchsetzt.
lg