Articles

Access Control list

posted by:
joulukuu 30, 2020

Access control list (ACL) tarjoaa uusia, joustavampia lupaa mekanismi-tiedostojärjestelmää. Se on suunniteltu auttamaan UNIX – tiedostojen käyttöoikeuksissa. ACL: n avulla voit antaa käyttöoikeudet mille tahansa Käyttäjälle tai ryhmälle mille tahansa levyresurssille.

Asennus

acl paketti on riippuvuus systemd, se pitäisi olla jo asennettuna.

ota Käyttöön ACL

Jotta ACL, tiedostojärjestelmä on asennettava acl vaihtoehto. Voit käyttää fstab tehdä pysyvä järjestelmään.,

on mahdollista, että acl vaihtoehto on jo aktiivinen oletuksena mount vaihtoehto tiedostojärjestelmä. Btrfs tekee ja Ext2/3/4 tiedostojärjestelmät tekevät myös. Käytä seuraavaa komentoa tarkistaa ext* alustettu osiot vaihtoehto:

# tune2fs -l /dev/sdXY | grep "Default mount vaihtoehtoja:"
Default mount vaihtoehdoista: user_xattr acl

Myös tarkistaa, että oletuksena mount vaihtoehto ei ole ohitettu, tällöin näet noacl vuonna /proc/mounts asianomainen rivi.,

Voit asettaa oletuksena mount vaihtoehtoja tiedostojärjestelmä käyttäen tune2fs -o option partition komento, esimerkiksi:

# tune2fs -o acl /dev/sdXY

Käyttäen oletuksena mount vaihtoehtoja sen sijaan, merkintä /etc/fstab on erittäin hyödyllinen ulkoiset asemat, tällainen osio on asennettu acl vaihtoehto myös muiden Linux-koneita. Ei tarvitse muokata /etc/fstab jokaisella koneella.

Huomautus:

  • acl määritellään oletusviiteasetukseksi luotaessa ext2/3 / 4-tiedostojärjestelmää., Tämä on määritetty /etc/mke2fs.conf.
  • oletuksena mount vaihtoehtoja ei lueteltu /proc/mounts.

Käyttö

Aseta ACL

ACL voidaan muuttaa käyttämällä setfacl-komento.

Vihje: Voit lisätä tiedosto/hakemisto lupaa muutoksia muuttamatta käyttöoikeudet (eli kuiva-run) liittämällä --test lippu.,

Voit määrittää käyttöoikeuksia muille:

# setfacl -m "other:permissions" <file/dir>

Jotta kaikki äskettäin luodut tiedostot tai hakemistot perivät merkinnät hakemistoa (tämä ei vaikuta tiedostoja, jotka kopioidaan hakemistoon):

# setfacl -dm "entry" <dir>

jos Haluat poistaa tietyn merkintä:

# setfacl -x "entry" <file/dir>

poista oletus maininnoista:

# setfacl -k <file/dir>

poista kaikki merkinnät (merkinnät omistaja, ryhmä ja muut säilyvät):

# setfacl -b <file/dir>

tietojen oikeellisuudesta tämä artikkeli tai osio on kiistänyt.,

Syy: alkuperäinen huomautus --mask vaihtoehto (joka oli otettu setfacl(1)) määritettiin epätarkkoja, mutta uusi note ei ole oikein kumpaakaan. Katso lisätietoja keskustelusivulta. (Keskustella Talk:Access Control Lists#ACL naamio merkintä)

Huom: oletuksena käyttäytymistä setfacl on laskea ACL naamio merkintä, ellei --mask merkintä oli nimenomaisesti annettu. Maski merkintä ilmaisee suurimman käyttöoikeudet sallittuja käyttäjille (muu kuin omistaja) ja ryhmille., Ellei nimenomaisesti aseteta, tämä vastaa oletusryhmän oikeuksia. Selventääkseen, mitä tämä tarkoittaa, oletetaan, että hakemiston omistavalla ryhmällä on R-x-oikeudet. Jos lisäät ACL käyttäjä tai ryhmä rwx-oikeudet, tehokas käyttöoikeuksia tämän käyttäjän tai ryhmän tulee olla r-x. Syynä tähän on se, niin että ei ole yllätyksiä, kun tiedosto järjestelmä, joka ei tue Acl on saatavilla järjestelmän, joka tekee..
Vihje: Jos haluat soveltaa toimintoja kaikkiin tiedostoihin ja hakemistoihin rekursiivisesti, lisää-R argumentti.,c 

# tiedosto: abc# omistaja: joku# ryhmä: someoneuser::rw-käyttäjä:johnny:r-xgroup::r--maski::r-xother::r--

Poista kaikki ACL maininnoista:

# setfacl -b abc

Tarkista käyttöoikeudet:

# getfacl abc
# tiedosto: abc# omistaja: joku# ryhmä: someoneuser::rw-ryhmä::r--muut::r--

Lähtö ls-komento

huomaat, että siellä on ACL tiettyä tiedostoa, koska se ei näytteille + (plus-merkki) sen jälkeen, kun Unix käyttöoikeudet lähtö ls -l.,

$ ls-l /dev/audio - 
crw-rw----+ 1 root audio-14, 4 marraskuu. 9 12:49 /dev/audio - 
$ getfacl /dev/audio -

Myöntää toteutus luvat yksityiset tiedostot web-palvelimeen

seuraavaa menetelmää kuvataan, miten prosessi kuin web-palvelin voidaan myöntää pääsyn tiedostoihin, jotka sijaitsevat käyttäjän kotihakemiston, turvallisuudesta tinkimättä antamalla koko maailman yhteys.,

seuraavassa oletetaan, että web-palvelin toimii, kun käyttäjä http ja myöntää sille pääsyn geoffrey’s home directory /home/geoffrey.

ensimmäinen askel on myöntäminen, toteutus käyttöoikeudet http:

# setfacl -m "u:http:--x" /home/geoffrey
Huom: Toteutus käyttöoikeudet hakemistoon ovat välttämättömiä prosessin listaa hakemiston sisällön.,

Koska käyttäjä http voi nyt käyttää tiedostoja /home/geoffrey, muut ei enää tarvitse käyttää:

# chmod o-rx /home/geoffrey

Käyttö getfacl tarkista muutokset:

$ getfacl /kotiin/geoffrey

Kuten edellä ulostulo osoittaa, other’s ei enää ole mitään oikeuksia, mutta käyttäjä http voi silti käyttää tiedostoja siten turvallisuuden voidaan katsoa lisääntyneen.,

Katso myös

  • getfacl(1)
  • setfacl(1)
  • POSIX Access Control list Linux
  • Miten asettaa default-tiedoston käyttöoikeudet kaikki kansiot/tiedostot hakemistoon?

Related Posts

Olutta

joulukuu 19, 2020

kuinka kauan kestää oppia espanjaa?

lokakuu 2, 2020

5 Parhaista April Fool Nukkuu Kepposia

elokuu 27, 2020

Leave a Reply