Articles

Access Control Lists (Svenska)

posted by:
december 30, 2020

Access control list (ACL) ger en ytterligare, mer flexibel behörighetsmekanism för filsystem. Den är utformad för att hjälpa till med UNIX-filbehörigheter. ACL kan du ge behörigheter för alla användare eller grupper till någon disk resurs.

Installation

acl-paketet är ett beroende av systemd, det ska redan installeras.

aktivera ACL

för att aktivera ACL måste filsystemet monteras med alternativetacl. Du kan använda fstab för att göra det permanent på ditt system.,

det finns en möjlighet att alternativetacl redan är aktivt som standardmonteringsalternativ i filsystemet. Btrfs gör och Ext2/3 / 4 filsystem gör också. Använd följande kommando för att kontrollera ext* formaterade partitioner för det alternativ som:

# att använda tune2fs -l /dev/sdXY | grep "Standard montera alternativ:"
Standard montera alternativ: user_xattr acl

se Också till att standard montera alternativet är inte åsidosätts, i sådana fall kommer du att se att noacl under /proc/mounts i den relevanta raden.,

Du kan ställa in standardmonteringsalternativen för ett filsystem med hjälp av kommandot tune2fs -o option partition, till exempel:

# tune2fs -o acl /dev/sdXY

använda standardmonteringsalternativen istället för en post i /etc/fstab är mycket användbart för externa enheter.även på andra Linux-maskiner. Det finns inget behov av att redigera /etc/fstab på varje maskin.

Obs:

  • acl anges som standardmonteringsalternativ när du skapar ett ext2/3 / 4-filsystem., Detta är konfigurerat i /etc/mke2fs.conf.
  • standardmonteringsalternativen listas inte i/proc/mounts.

användning

Ställ in ACL

ACL kan ändras med kommandot setfacl.

Tips: Du kan lista ändringar av fil – / katalogbehörighet utan att ändra behörigheterna (dvs. dry-run) genom att lägga till flaggan --test.,

för att ställa in behörigheter för andra:

# setfacl -m "other:permissions" <file/dir>

för att tillåta alla nyskapade filer eller kataloger att ärva poster från den överordnade katalogen (detta påverkar inte filer som kommer att kopieras till katalogen):

# setfacl -dm "entry" <dir>

för att ta bort en specifik post:

# setfacl -x "entry" <file/dir>

för att ta bort standardposterna:

# setfacl -k <file/dir>

för att ta bort alla poster (poster av ägaren, gruppen och andra behålls):

# setfacl -b <file/dir>

den faktiska noggrannheten i denna artikel eller sektion ifrågasätts.,

Reason: den ursprungliga noten om alternativet--mask (som togs från setfacl(1)) bestämdes som felaktig, men den nya noten verkar inte heller korrekt. Se pratsidan för mer information. (Discuss in Talk:Access Control Lists#ACL mask entry)

Obs! standardbeteendet för setfacl är att räkna om ACL mask-posten, om inte en --mask – post uttryckligen gavs. Posten mask anger de högsta tillåtna behörigheterna för användare (andra än ägaren) och för grupper., Om inte uttryckligen anges matchar detta behörigheterna för standardgruppen. För att klargöra vad detta innebär, anta att gruppen som äger en katalog har r-x-behörigheter. Om du lägger till en ACL-användare eller grupp med rwx-behörigheter kommer de effektiva behörigheterna för den här användaren eller gruppen att vara r-x. anledningen till detta är så att det inte finns några överraskningar när en fil från ett system som inte stöder ACLs görs tillgänglig på ett system som gör det..
tips: om du vill använda operationer på alla filer och kataloger rekursivt lägger du till argumentet-R.,C 

# file: abc# owner: someoneuser:: RW-user:johnny:r-xgroup:: r--mask:: r-xother:: r--

Ta bort alla ACL-poster:

# setfacl -b abc

kontrollera behörigheter:

# file: ABC# owner: someoneuser:: RW-Group::r--other::r--


 utdata från ls Command 


Du kommer att märka att det finns en ACL för en given fil eftersom den kommer att uppvisa en+(plustecken) efter dess Unix-behörigheter i utdatafilen.ls -l.,


$ ls -l /dev/audio


crw-rw----+ 1 rot ljud 14, 4 nov. 9 12:49 /dev/audio


$ getfacl /dev/audio


bevilja körningsbehörigheter för privata filer till en webbserver


Följande teknik beskriver hur en process som en webbserver kan beviljas tillgång till filer som finns i en användares hemkatalog, utan att äventyra säkerheten genom att ge hela världen tillgång.,


i följande antar vi att webbservern körs som användaren httpoch ger den åtkomst till geoffreys hemkatalog /home/geoffrey.


det första steget ger körningsbehörigheter för användaren http:


# setfacl -m "u:http:--x" /home/geoffrey


 Obs! Körningsbehörigheter till en katalog är nödvändiga för att en process ska kunna lista katalogens innehåll.,


eftersom användarenhttp nu kan komma åt filer i/home/geoffrey, andra behöver inte längre tillgång: 


# chmod o-rx /home/geoffrey


användgetfacl för att verifiera ändringarna:

som ovanstående utdata visar, har other inte längre några behörigheter, men användaren http kan fortfarande komma åt filerna, vilket innebär att säkerheten kan anses vara ökad.,

Se även

  • getfacl(1)
  • setfacl(1)
  • POSIX Åtkomstkontrolllistor på Linux
  • så här ställer du in standardfilbehörigheter för alla mappar / filer i en katalog?

Related Posts

tecken ditt rum har vägglöss

januari 3, 2021

Surface Area Calculator

december 5, 2020

Seraferna

november 8, 2020

Leave a Reply