Articles

Hozzáférés-vezérlési listák

posted by:
december 30, 2020

hozzáférés – vezérlési lista (ACL) további, rugalmasabb engedélyezési mechanizmust biztosít a fájlrendszerek számára. Úgy tervezték, hogy segítse a UNIX Fájl engedélyeket. ACL lehetővé teszi, hogy engedélyeket bármely Felhasználó vagy csoport bármely lemez erőforrás.

telepítés

az acl csomag a systemd függősége, azt már telepíteni kell.

ACL

engedélyezése az ACL engedélyezéséhez a fájlrendszert a acl opcióval kell felszerelni. Használhatja fstab, hogy ez állandó a rendszeren.,

fennáll annak a lehetősége, hogy aacl opció már aktív alapértelmezett csatolási opcióként a fájlrendszeren. A Btrfs és az Ext2/3 / 4 fájlrendszerek is működnek. A következő paranccsal ellenőrizheti az ext* formázott partíciókat az opcióhoz:

# tune2fs-l /dev/sdXY | grep "alapértelmezett csatolási lehetőségek:"
alapértelmezett csatolási lehetőségek: user_xattr acl

ellenőrizze azt is, hogy az alapértelmezett csatolási opció nem túlszáraz, ebben az esetben látni fogja noacl in /proc/mounts a vonatkozó sorban.,

a fájlrendszer alapértelmezett csatolási beállításait a tune2fs -o option partition parancs segítségével állíthatja be, például:

# tune2fs -o acl /dev/sdXY

Az alapértelmezett csatolási opciók használatával a /etc/fstab bejegyzés helyett nagyon hasznos a külső meghajtókhoz, az ilyen partíció acl opció más Linux gépeken is. Nincs szükség szerkeszteni /etc/fstab minden gépen.

Megjegyzés:

  • acl alapértelmezett mount opcióként van megadva ext2/3/4 fájlrendszer létrehozásakor., Ez a /etc/mke2fs.confalatt van konfigurálva.
  • Az alapértelmezett csatolási beállítások nem szerepelnek a /proc/mountsalatt.

Usage

Set ACL

az ACL módosítható a setfacl paranccsal.

tipp: a --test zászló hozzáadásával felsorolhatja a fájl/könyvtár engedélyének módosításait az engedélyek módosítása nélkül (azaz száraz futás).,

mások engedélyeinek beállításához:

# setfacl -m "other:permissions" <file/dir>

ahhoz, hogy az összes újonnan létrehozott fájl vagy könyvtár örökölje a bejegyzéseket a szülő könyvtárból (ez nem érinti a könyvtárba másolt fájlokat):

# setfacl -dm "entry" <dir>

egy adott bejegyzés eltávolításához:

# setfacl -x "entry" <file/dir>

Az alapértelmezett bejegyzések eltávolításához:

# setfacl -k <file/dir>

az összes bejegyzés eltávolításához (a tulajdonos, a csoport és mások bejegyzései megmaradnak):

# setfacl -b <file/dir>

e cikk vagy szakasz ténybeli pontossága vitatott.,

ok: az eredeti megjegyzés a --mask opcióról (amelyet a setfacl(1) – ből vettek) pontatlannak bizonyult, de az új megjegyzés sem tűnik helyesnek. A részleteket lásd a talk oldalon. (Beszélje meg a Talk: Access Control Lists # ACL mask entry)

megjegyzés: a setfacl alapértelmezett viselkedése az ACL mask bejegyzés újraszámítása, kivéve, ha a --mask bejegyzést kifejezetten megadták. A maszk bejegyzés jelzi a felhasználók (a tulajdonos kivételével) és a csoportok számára engedélyezett maximális engedélyeket., Hacsak nincs kifejezetten beállítva, ez megegyezik az alapértelmezett csoport engedélyeivel. Annak tisztázása érdekében, hogy ez mit jelent, tegyük fel, hogy a könyvtárat birtokló csoport r-x engedélyekkel rendelkezik. Ha hozzáad egy ACL-felhasználót vagy csoportot rwx-engedélyekkel, ennek a felhasználónak vagy csoportnak a tényleges engedélyei r-x lesznek. ennek oka az, hogy nincs meglepetés, ha egy olyan rendszerből származó fájl, amely nem támogatja az ACL-t, elérhetővé válik egy olyan rendszeren, amely nem..
tipp: a műveletek minden fájlra és könyvtárra való rekurzív alkalmazásához csatolja a -R argumentumot.,c 

# a fájl: abc# tulajdonosa: valaki# csoport: someoneuser::rw-felhasználó:johnny:r-xgroup::r--maszk::r-xother::r--

Távolítsa el az összes ACL-bejegyzések:

# setfacl -b abc

Ellenőrizze engedélyek:

# getfacl abc
# a fájl: abc# tulajdonosa: valaki# csoport: someoneuser::rw-csoport::r--egyéb::r--

Kimenet az ls parancs

észre fogja venni, hogy van egy ACL egy adott fájlt, mert ez a kiállítás egy + (plusz jel) után a Unix engedélyek a kimenetet a ls -l.,

$ ls-l / dev / audio 
crw-rw----+ 1 root audio 14, 4 November. 9 12:49 /dev/audio
$ getfacl /dev/audio

Megadása végrehajtási engedélyeket a személyes fájlokat, hogy egy web server

A következő technika ismerteti, hogy a folyamat olyan, mint egy web szerver hozzáférést fájlokat abban a felhasználó home könyvtár, anélkül, hogy veszélyeztetné a biztonságot azáltal, hogy az egész világ hozzáférést.,

a következőkben feltételezzük, hogy a webszerver http felhasználóként fut, és hozzáférést biztosít a geoffrey‘s home directory /home/geoffrey.

az első lépés végrehajtási engedélyek megadása a felhasználó számára http:

# setfacl -m "u:http:--x" /home/geoffrey
megjegyzés: egy könyvtár végrehajtási engedélyei szükségesek a könyvtár tartalmának felsorolásához.,

Mivel a felhasználó http most tudja, hogy a fájlokat a /home/geoffrey, másokat már nem kell hozzáférési:

# chmod o-rx /home/geoffrey

A getfacl, hogy ellenőrizze a változások:

$ getfacl /home/geoffrey

a fenti kimenet mutatja, other‘s többé nem kell semmilyen engedély, de a felhasználó http még mindig képes elérni a fájlokat, így biztonsági lehet tekinteni nőtt.,

Lásd még:

  • getfacl (1)
  • setfacl(1)
  • POSIX Access Control Lists on Linux
  • hogyan állítsuk be az alapértelmezett fájlengedélyeket egy könyvtárban lévő összes mappához/fájlhoz?

Related Posts

Green Tree Frog Toxicity (Magyar)

január 15, 2021

Shiba Inu személyiség: mindent, amit tudni kell róluk

január 15, 2021

Blighted Ovum (Magyar)

január 17, 2021

Leave a Reply