Користувач не може торкнутися -t

Коли SCP'ing на моєму сервері Fedora, користувач постійно отримує помилки щодо неможливості зміни часових міток файлів ("встановити час: операція не дозволена"). Користувач не є власником файлу, але ми не можемо chownподати файли до цього користувача з міркувань безпеки. Користувач може sudo, але так як це відбувається через клієнт SCP / FTP, немає жодного способу зробити це. І нарешті, ми не хочемо надавати цьому користувачеві кореневого доступу, аби дозволити йому використовувати таку синхронізацію, як rsync або WinSCP, якій потрібно встановити часові позначки.

Користувач входить до групи з повними rwдозволами на всі відповідні файли та файли. Будь-які думки щодо того, як надати користувачеві дозвіл на touch -tці конкретні файли, не надаючи chownїм його?

Додаткова інформація. Це все пов'язане з включенням PHP-розробки в сценарії для одного розробника (тобто без SCM). Я намагаюся працювати з Eclipse або NetBeans для роботи над локальною копією сайту на базі PHP (WordPress), дозволяючи користувачеві "миттєво" переглянути його зміни на сервері розробки. Користувач працюватиме віддалено. Поки всі спроби автоматичної синхронізації не вдалися - навіть за допомогою WinSCP в режимі «папки дивитися», де він контролює локальну папку та намагається завантажити будь-які зміни до помилки віддаленого каталогу, оскільки вона завжди намагається встановити дату / часову позначку .

Користувач має доступ до sudo, але мені сказали, що це дійсно не дуже гарна ідея працювати в режимі "root", тому я не бажаю просто входити як root, щоб виконувати цю роботу. Крім того, це не повинно бути необхідним. Я хотів би, щоб хтось інший, що не надійшов користувачеві, мав змогу зробити те ж саме - використовуючи інформацію про їх обліковий запис, встановити FTP-з'єднання та мати можливість віддалено працювати через синхронізацію. Тому рішення потрібно працювати для когось без доступу до кореня.

Що мене вражає - скільки труднощів у мене виникає. Усі ці програмні засоби (NetBeans, Eclipse, WinSCP) розроблені для забезпечення синхронізації, і всі вони намагаються написати часову позначку. Отже, це має бути можливо. У WinSCP є можливість вимкнути "встановити часові позначки", але ця опція стає недоступною (завжди "увімкнена"), коли ви вибираєте папку "монітор / синхронізація". Тож має бути щось досить стандартне.

Зважаючи на те, що я повний ідіот, коли мова йде про Linux, і я "адміністратор сервера", я можу лише припустити, що це щось ідіотське, що я роблю, або що я (неправильно) налаштував.

Резюме В двох словах, я хочу всіх користувачів , які мають групу R / W доступ до каталогу, щоб мати можливість змінити мітку часу на файли в цьому каталозі з допомогою SCP.

Чому це не працює

При спробі змінити час модифікації файлу за допомогою touchабо, загалом, за допомогою базового системного виклику utime, є два випадки.

• Ви намагаєтесь встановити час модифікації файлу на певний час. Це вимагає, щоб ви були власником файлу. (Технічно кажучи, ефективний ідентифікатор користувача процесу повинен бути власником файлу .²)
• Ви намагаєтесь встановити час модифікації файлу на поточний час. Це працює, якщо і лише якщо у вас є дозвіл на запис у файл. Причиною цього винятку є те, що ви могли в будь-якому випадку домогтися такого ж ефекту, перезаписавши наявний байт файлу з тим же значенням¹.

Чому це зазвичай не має значення

• Коли ви копіюєте файли за допомогою ftp, scp, rsync тощо, копія створює новий файл, яким належить той, хто робив копію. Отже, копір має дозвіл встановлювати час файлу.
• За допомогою rsync ви не зможете встановити час існуючих каталогів: вони будуть встановлені на час останнього синхронізації файлу в них. У більшості випадків це не має значення. Ви можете сказати rsync не турбуватися про час каталогів, передаючи --omit-dir-times( -O).
• У системах управління версіями дати перегляду зберігаються у файлах; метадані у файлах здебільшого не мають значення.

Рішення

Це все пов'язано з включенням PHP-розробки в сценарії для одного розробника (тобто без SCM).

Гаразд, зупинись прямо там. Тільки тому, що є один розробник, це не означає, що ви не повинні використовувати SCM. Ви повинні використовувати SCM. Запропонуйте розробнику перевірити файл і дати йому спосіб натиснути кнопку "розгорнути", щоб перевірити файли з SCM в реальному каталозі.

Не існує абсолютно жодної технічної причини, чому ви не повинні використовувати SCM, але може бути причина людини. Якщо людина, що працює над цими файлами, називає себе «розробником», він повинен використовувати SCM. Але якщо це не технічна особа, яка залучає документи, SCM може бути занадто складним. Тож продовжуйте натискання файлів через FTP або SSH. Існує три способи роботи.

• Вам справді потрібно синхронізувати часи? Як зазначено вище, rsyncє можливість не синхронізувати час. Scp не робить, якщо ви цього не скажете. Я не знаю WinSCP, але це, мабуть, теж може.
• Продовжуйте робити те, що ви робите, просто ігноруйте повідомлення про рази. Файли все ще копіюються. Це не вдалий варіант, тому що ігнорувати помилки завжди ризиковано. Але технічно це можливо.
• Якщо вам потрібна гнучкість у заповненні файлів, що належать apacheкористувачеві, то звичайним підходом було б дозволити користувачеві SSH доступ як apache. Легкий підхід щоб користувач створити закритий ключ SSH і додати відповідний відкритий ключ ~apache/.ssh/authorized_keys. Це означає, що користувач зможе виконувати довільні команди як apacheкористувач. Оскільки ви все одно з наданням права користувачеві на sudo, у вашому випадку це не має значення. Можна встановити більше обмежень (але не так просто) (потрібен окремий запис бази даних з іншим іменем, той самий ідентифікатор користувача, обмежена оболонка та в'язниця chroot; деталі в окремому запитанні, хоча це вже може бути висвітлено на цьому веб-сайті або на помилках сервера ).

¹ _{Або для порожнього файлу напишіть байт, а потім усікайте.}
² _{Заборона додаткових ускладнень, але жодне, що я знаю, стосується тут.}

Ви можете налаштувати rsync на використання sudo на віддаленому кінці так:

rsync -ave ssh --rsync-path="sudo rsync" /source/ user@host:/dest/