thunderbird anhänge auch fuer die gruppe

lrt23397 · 18 Aug. 2010

Hallo,

wir sind jetzt schon eine Weile am ausprobieren, aber wir haben es bisher noch nicht geschafft, dass Anhänge aus Thunderbird nach dem Abspeichern über die Standardrechte verfügen. Bisher haben diese immer nur Benutzer-Rechte.

Beim stöbern bin ich auf folgenden Beitrag gestossen:
http://www.linux-club.de/viewtopic.php?f=83&t=62817

Jetzt frage ich mich ob hier jemand mittlerweile etwas Neues zu berichten hat. Vielleicht gibt's in der Zwischenzeit neue Erkenntnisse???

Frage also analog dem Vorgängerbeitrag:
wie kriege ich thunderbird dazu die atachments wie über umask oder speziell gesetzt zu speichern (rechte)?

Gruß
lrt

P6CNAT · 22 Aug. 2010

Hallo Irt,

ich denke Access Control Lists sind die Lösung für dein Problem. Gucke mal nach man acl, getfacl und setfacl. Hier ein Beispiel

Code:

setfacl -m u:lisa:r file | directory

Damit kann Lisa Dateien oder Verzeichnisse eines anderen Users lesen. Eventuell muss ein ganzer Pfad freigegeben werden.
Mit der Option -d (default) kann man ACL's von Verzeichnissen so einstellen, dass sie an die darunter erzeugte Dateien vererbt werden. Wenn Thunderbird eine Datei in einem so eingestellten Verzeichnis ablegt, sollte sie die ACL's des Verzeichnisses erben.

Gruß
Georg

rolle · 23 Aug. 2010

Der Ansatz mit ACLs löst aber nicht das zugrundelegende Problem, daß Thunderbird keine Gruppenrechte setzt. Und für jede Nutzerin einzeln eine ACL zu setzen wäre dann wohl doch etwas übertrieben.

P6CNAT · 23 Aug. 2010

Hallo,

rolle schrieb:
Und für jede Nutzerin einzeln eine ACL zu setzen wäre dann wohl doch etwas übertrieben.

Mit ACL's kann man Rechte auch für Gruppen vergeben.

Code:

setfacl −x g:kollegen file

Dann muss man die Nutzer eben in einer Gruppe zusammenfassen. Vergabe von Zugriffsrechten ist immer mit Kleinarbeit verbunden. Egal ob man die Zugriffsrechte auf einem Filesystem, Datenbanken oder Anwendungen erteilt.

Ich kenne Thunderbird nicht gut genug, aber wenn es ein System zur Rechteverwaltung hätte, müsste man die
Arbeit dort reinstecken.

Gruß
Georg

rolle · 23 Aug. 2010

Das mit den Gruppen und ACLs ist schon klar, nur wirken ACLs nicht, wenn die Gruppenrechte --- sind. Und genau so werden sie vom Thunderbird produziert.

P6CNAT · 23 Aug. 2010

Hallo,

ich habe mal was ausprobiert.

Code:

# Testverzeichnis angelegt und eine Datei erzeugt
$ cd AAA
$ touch x1.x
$ ls -l
-rw-r--r--  1 test users 0 23. Aug 16:21 x1.x
$ cd ..
# Eine Default ACL auf das Verzeichnis gesetzt
$ setfacl -d -m g:users:rwx AAA
$ getfacl -a AAA
# file: AAA
# owner: test
# group: users
user::rwx
group::r-x
group:users:rwx
mask::rwx
other::r-x
# Danach nochmal eine Datei erzeugt
$ cd AAA
$ touch x2.x
$ ls -l
insgesamt 0
-rw-r--r--  1 test users 0 23. Aug 16:21 x1.x
-rw-rw-r--+ 1 test users 0 23. Aug 16:25 x2.x
# x2.x hat die Eigenschaft des Verzeichnisses geerbt

Standardmässig setzt touch nur read für die Gruppe. Mit der Default ACL auf das Verzeichnis hat sich eine Eigenschaft des Verzeichnisses geändert, nicht von touch. Und die neue Eigenschaft des Verzeichnisses wird vererbt.
Ich denke, mit Thunderbird sollte es genauso funktionieren.
Bin mal gespannt, was irt herausfindet.

Gruß
Georg

lrt23397 · 24 Aug. 2010

Hallo,

zunächst mal Vielen Dank für die Antworten und Anregungen.

P6CNAT schrieb:
...
Mit der Default ACL auf das Verzeichnis hat sich eine Eigenschaft des Verzeichnisses geändert, nicht von touch. Und die neue Eigenschaft des Verzeichnisses wird vererbt.
Ich denke, mit Thunderbird sollte es genauso funktionieren....

Hab jetzt mal ein bisschen mit den ACL's rumgespielt. Leider hat's nicht funktioniert.

Wenn ich die Eigenschaften des Verzeichnisses abfrage, bekomme ich folgendes:

Code:

projects@linux3:~> getfacl -a anhang_emails/
# file: anhang_emails/
# owner: projects
# group: users
user::rwx
group::rwx
other::rwx

Wenn ich nun einen Anhang aus TB in dieses Verzeichnis abspeichere, sieht das Ergebnis leider immer noch so aus:

Code:

-rw-------  1 projects users   544256 24. Aug 14:23 01testAnhang.txt

Thunderbird scheinen die ACL's ziemlich egal zu sein. Würde mich dennoch sehr über weitere Anregungen freuen.

Gruß
Swen

P6CNAT · 24 Aug. 2010

Hallo Swen,

du hast vergessen, den ACL Eintrag als Default zu setzen.

setfacl -d -m g:users:rwx AAA

dann müsste bei deiner Abfrage zusätzlich folgende Zeile auftauchen.

mask::rwx

Ich glaube nicht, dass die Anwendung, in dem Fall Thunderbird dann noch irgendwas beinflusst. Ich gehe davon aus, dass die Kontrolle der ACL's beim Filesystem liegt.

Gruß
Georg

P6CNAT · 30 Aug. 2010

Hallo Swen,

hast du meinen letzten Vorschlag mit der Default Einstellung mal ausprobiert?

Gruß
Georg

lrt23397 · 6 Sep. 2010

Hallo,
entschuldigt die lange Sendepause, aber die Familie wollte während der Schulferien komischerweise Urlaub machen und ich musste mich beugen

.

Aber jetzt zu meinem Problem:

P6CNAT schrieb:
hast du meinen letzten Vorschlag mit der Default Einstellung mal ausprobiert?

ja, ich habe Deinen Vorschlag ausprobiert, aber es hat sich leider nichts im Vergleich zu meinem letzten Beitrag geändert. Hoffe ich hatte alles richtig verstanden, denn ich habe die acl's mit

setfacl -R -d -m user

rojects:rwx,group:users:rwx anhang_emails/

gesetzt und bekomme folgendes Ergebniss:

Code:

linux3:~> getfacl -a anhang_emails/
# file: anhang_emails/
# owner: projects
# group: users
user::rwx
group::rwx
other::rwx

Leider ändert dies nach Abspeichern eines Anhang aus Thunderbird heraus nichts daran, dass diese Datei mit folgenden Rechten abgelegt wird:

Code:

-rw-------+  1 projects users     553472  6. Sep 16:19 z_anhangtest.txt

Bin deshalb immer noch auf der Suche nach einer Lösung :???:

Gruß
lrt

P6CNAT · 6 Sep. 2010

Hallo Irt,

lrt23397 schrieb:
entschuldigt die lange Sendepause, aber die Familie wollte während der Schulferien komischerweise Urlaub machen und ich musste mich beugen

Ich habe mich schon gewundert, dass die Strassen so leer sind

Ich habe es nochmal ausprobiert, dabei ist mir eine Merkwüdigkeit aufgefallen, ich kann mein Resultat
mit der umask nicht mehr nachvollziehen :???:. Aber so wird ein Schuh draus.

Code:

$ getfacl anhang_emails/
# file: anhang_emails/
# owner: test
# group: users
user::rwx
group::r-x
other::r-x
default:user::rwx
default:group::r-x
default:group:users:rwx
default:mask::rwx
default:other::r-x

Guck mal genau hin, in deiner Zeile

-rw-------+ 1 projects users 553472 6. Sep 16:19 z_anhangtest.txt

steht ein + Zeichen am Ende der Zugriffsrechte. Das heisst die Vererbung hat gegriffen!!
Mach mal ein getfacl auf deine Datei z_anhangtest.txt. Ich denke die kann jetzt jedes Mitglied von users lesen.

Gruß
Georg

lrt23397 · 7 Sep. 2010

Hallo Georg,

P6CNAT schrieb:
steht ein + Zeichen am Ende der Zugriffsrechte. Das heisst die Vererbung hat gegriffen!!
Mach mal ein getfacl auf deine Datei z_anhangtest.txt. Ich denke die kann jetzt jedes Mitglied von users lesen.

Ja, ich habe das + Zeichen am Ende der Zugriffsrechte. Allerdings klappt das mit dem Zugriff immer noch nicht wirklich. Getestet hab ich es mit einer .pdf-Datei und bekomme wenn ich mich als anderer Benutzer (Mitglied der Gruppe "users") anmelde beim öffnen die Meldung

There was an error opening this document. You do not have permission to write to this file.

Selbst beim öffnen der Textdatei sieht's nicht besser aus:

Code:

z_anhangemail-test.txt: Keine Berechtigung

Hab ich noch was falsch gemacht? Noch mal als root probiert liefert getfacl für dieses Verzeichnis:

Code:

linux3:/home/projects # getfacl anhang_emails/
# file: anhang_emails/
# owner: projects
# group: users
user::rwx
group::rwx
other::rwx
default:user::rwx
default:user:projects:rwx
default:group::rwx
default:group:users:rwx
default:mask::rwx
default:other::rwx

und ein ls -al liefert:

Code:

-rw-------+  1 projects users  178366  7. Sep 12:29 Timoshenko.pdf
-rw-------+  1 projects users      46  7. Sep 14:31 z_anhangemail-test.txt

Eine andere Frage: Wär es nicht auch möglich regelmäßig ein Skript auszuführen welches die Berechtigungen per chmod für den Anhang-emails-Ordner samt Unterordner korrigiert? Oder lässt man so was lieber bleiben? Ich sehe momentan allerdings durch die Rechtevererbung nicht wirklich einen Weg, denn Thunderbird scheint da Immun gegen zu sein...

Gruß
Swen

P6CNAT · 7 Sep. 2010

Hallo Irt,

ich hatte etwas übersehen. In den Manpages steht:

Whenever an ACL contains named user entries or named group objects, it must also contain an effective rights mask.

Man muss also zusätzlich eine Maske setzen, damit ACL richtig funktioniert.

setfacl -d -m m::rwx <verzeichnis>

Ich habe es ausprobiert und die Rechte werden vererbt.

Code:

$ setfacl -d -m g:users:rwx,o::rwx,m::rwx anhang_emails
$ getfacl anhang_emails
# file: anhang_emails
# owner: test
# group: users
user::rwx
group::r-x
other::rwx
default:user::rwx
default:group::r-x
default:group:users:rwx
default:mask::rwx
default:other::rwx

$ cd anhang_emails
$ touch test.txt
$ ls -l test.txt
-rw-rw-rw-+ 1 test users 0  7. Sep 21:42 test.txt
$ getfacl test.txt
# file: test.txt
# owner: test
# group: users
user::rw-
group::r-x                      #effective:r--
group:users:rwx                 #effective:rw-
mask::rw-
other::rw-

Falls Thunderbird dann immer noch widerspenstig sein sollte, kannst du ein Script in der crontab laufen lassen.
Ist zwar keine sonderlich elegante Lösung, aber wenn es das Problem behebt spricht nichts dagegen.

Gruß
Georg

lrt23397 · 8 Sep. 2010

Hallo Georg,

tja, hat leider auch nicht geklappt. Ärgerlich ist aber am meisten, dass hier Thunderbird-seitig auch nichts machbar ist. Habe mittlerweile dort auch ein neues Profil erstellt (weg vom Default... ), kann dort aber auch gar nichts weiter erreichen.

Falls sich hier noch was tut, melde ich mich wieder

Gruß
Swen

P6CNAT · 8 Sep. 2010

Hi,

das überascht mich wirklich, hätte erwartet, dass die Kontrolle der Files beim Betriebsystem bzw. ACL liegt.

Dann schreibe ein kleines Script und lasse es regelmäßig in der Crontab laufen.

Viel Erfolg
Georg

lrt23397 · 9 Sep. 2010

Hallo Zusammen,

P6CNAT schrieb:
Dann schreibe ein kleines Script und lasse es regelmäßig in der Crontab laufen.

Obwohl ich mir zutraue so ein Script zu schreiben und laufen zu lassen, so habe ich dennoch diesbezüglich wenig Erfahrung. Wenn's nicht zu viel verlangt ist, so würde ich mich über eine kleine Anleitung oder Tipps von einem Linux-Guru sehr freuen. Einfach um die Fehler 0.-Ordnung zu vermeiden, die man als Unerfahrener gerne mal macht bzw. und um von Anfang an gleich mit einer sinnvollen Lösung zu starten. Vielleicht gibt es ja auch die Möglichkeit solch ein Script immer dann aufzurufen, wenn eine Datei in den entsprechenden Ordner abgelegt wird??? Meist ist es nämlich so, dass die Datei gleich nach dem Abspeichern wieder benötigt wird...

Würde mich sehr über Vorschläge bzw. Anregungen freuen.

Gruß
Swen

P6CNAT · 9 Sep. 2010

Hi Swen,

wieviele Dateien erwartest du denn in dem Verzeichnis?
< 100
< 250
< 1000

Das Ereignis Speichern einer Datei kann man mit Linux Scripten nicht als Auslöser einer Aktion auswerten.
Das geht nur Zeitgesteuert, oder in einer Endlosschleife mit einer wait <sec> Anweisung. Dann musst du einen Kompromiss suchen, damit nicht zuviel CPU Zeit verbruzzelt wird.

Gruß
Georg

lrt23397 · 13 Sep. 2010

Hallo,

im Lauf der Zeit werden da schon einige Dateien zusammenkommen. Pro Tag gemittelt ca. 5+.

Ich muß vielleicht dazu sagen, dass 7 Personen dort die Emails abrufen und Anhänge in den "anhang-email"-Ordner ablegen. 5 davon arbeiten sonst die meiste Zeit auf Windows Rechnern, von welchen aus sie hin und wieder auf den Ordner zugreifen um die Anhänge zu öffnen bzw. diese auf Ihre Rechner kopieren. Das geht seit Umstieg auf Thunderbird allerdings immer erst nach einem chmod, was sehr nervig sein kann...

Gruß
Swen

Geier0815 · 13 Sep. 2010

Schau hier mal rein. Ansonsten gibt es wohl noch FAM was zur Überwachung von Verzeichnissen dient und dann etwas anstoßen kann.

P6CNAT · 13 Sep. 2010

Hi,

das mit FAM klingt gut, hätte ich vor ein paar Jahren gut gebrauchen können. Allerdings unter Unix.

@Swen
wenn dir FAM nicht zusagt, kann ich mal in meinen alten Scripten stöbern. Das dauert aber eine Weile, die nächsten zwei Wochen werde ich nicht dazu kommen.

Gruß
Georg