doc/README.hidden-items

   1               Special folders created inside Netatalk shares
   2
   3 (Originally by ali@gwc.org.uk 2001-10-20)
   4 (Amended by Sebastian Rittau 2001-11-03)
   5
   6 Inside netatalk share points you will find several files and directories
   7 which are created automatically by the afpd process either for its own
   8 internal use or for the internal use of the MacOS.
   9
  10 None of them should be directly visible in the Finder on the Mac.
  11
  12 Many of them have to be writeable in order for netatalk to function
  13 properly. This can present problems if users have shell access to the
  14 netatalk server. At the very least, users can "hide" files inside these
  15 writeable folders. At worst, a malicious user could confuse netatalk in a
  16 bad way. It is unlikely that a malicious user could cause loss of another
  17 user's data by exploiting permissions on these items.
  18
  19 Below is what I hope to be a comprehensive list of these files and
  20 directories, their purpose, and a discussion of what Unix permissions
  21 should be set on them.
  22
  23 Note that in general on Netatalk shares, all directories should have the
  24 setgid bit set. This forces any new files or folders created to have the
  25 same group as the folder they were created in. On some operating systems,
  26 notably FreeBSD, the group owner is always inherited from the parent
  27 directory, so the setgid bit is not necessary.
  28
  29
  30 .AppleDouble/
  31
  32 This directory exists inside each folder on a Netatalk share. It contains
  33 meta information like the resource fork, or creator/type of each file in that
  34 folder. Its permissions should match those of its parent directory, i.e.
  35 anyone who has write access to the parent directory must have write access to
  36 the corresponding .AppleDouble directory.
  37
  38
  39 .AppleDouble/.Parent
  40
  41 This file specifically contains meta information about the directory.
  42
  43
  44 .AppleDesktop/
  45
  46 This directory exists under the top level of each share point. It contains
  47 the "desktop database" which is the method by which the MacOS associates a
  48 type/creator code with a particular application. Without it, documents
  49 will lose their application-specific icons and will have a generic icon
  50 instead. Double-clicking documents will also fail.
  51
  52 To allow the desktop database to be maintained correctly, any user who is
  53 likely to copy an application on to the share must have write access to
  54 this directory and all directories below it.
  55
  56
  57 Icon\r and .AppleDouble\Icon\r
  58
  59 These files will exist in any folder, including the top level of a share,
  60 if it has a custom icon. Make them writeable to any user who should be
  61 allowed to change that custom icon; make them read-only if you don't want
  62 the custom icon to be changeable.
  63
  64
  65 .AppleDB/
  66 .AppleDBcnid.lock
  67
  68 These will exist at the top level of each sharepoint on servers that run
  69 netatalk compiled with the new CNID DB code. Any user who has write access
  70 to any part of the share must have full write access to this directory /
  71 file and all the files within it otherwise the CNID DB code will not work
  72 properly.
  73
  74
  75 Network\ Trash\ Folder/
  76
  77 This exists at the top level of each sharepoint. This is where files that
  78 are put in the Trash on clients go, until the Trash is emptied.
  79
  80 The permissions of items in this directory are a pretty complicated
  81 subject, but basically you should make this directory and everything in it
  82 world-writeable if you want the Trash can to work properly. If you don't
  83 make it writeable then users will get a message "That item cannot be put
  84 in the Trash. Do you want to delete it immediately?" if they try to put
  85 something in the Trash.
  86
  87 Unfortunately networked trash handling is broken in current versions of Mac
  88 OS X even if this directory is writeable. Apple is aware of this problem
  89 and is working on a solution.
  90
  91
  92 Temporary\ Items/
  93
  94 This folder may exist at the top level of a sharepoint. This folder is
  95 used by certain applications (Adobe PhotoShop among others) to store,
  96 well, temporary items. These programs may not work correctly if this
  97 folder is missing or not writeable, when a user tries to work on a
  98 document stored in that Netatalk share.
  99
 100
 101 TheFindByContentFolder/
 102
 103 This folder is used by Sherlock 2 to store information use by its Find by
 104 Content feature. Make it writeable by users if you want to allow them to
 105 update the Find by Content index on a netatalk share. Otherwise, make it
 106 read-only.
 107
 108
 109 TheVolumeSettingsFolder/
 110
 111 This folder is created at the top level of each share point. It
 112 always appears to be empty. It would be wise to set its permissions
 113 the same as the top level of the sharepoint.
 114
 115
 116 :2eDS_Store (.DS_Store)
 117
 118 This file may appear in share points which have been accessed by a
 119 machine running Mac OS X. Its permissions should be set to match
 120 those of the enclosing directory.
 121
 122 For more info on how this file could pose a potential security risk
 123 if you are sharing the same folder by HTTP, see:
 124
 125 http://cert.uni-stuttgart.de/archive/bugtraq/2001/09/msg00106.html