2. 程式人生 > >RH134-6 使用訪問控制列表限制文件訪問

RH134-6 使用訪問控制列表限制文件訪問

阿新 發佈:2017-06-29
rhce

第六章、使用訪問控制列表限制文件訪問

6.1 ACL訪問控制列表概述

實現更多的權限控制,可以同時針對多個不同的用戶、組進行權限設定

ext2,ext3,ext4文件系統掛載的時候需要使用acl選項,xfs默認就支持.

設定acl只能是root

命令: getfacl , setfacl

# ll /tmp/passwd

-rw-r--r--. 1 root root 2005 Jul 19 11:38/tmp/passwd

# getfacl /tmp/passwd 在沒有對文件設定acl的時候,看到結果和ls -l 看到的傳統權限設定是一樣

getfacl: Removing leading ‘/‘ from absolutepath names

# file: tmp/passwd

# owner: root

# group: root

user::rw- 文件owner權限

group::r-- 文件擁有組權限

other::r-- 其他人權限

文件設定acl:

# ll /tmp/passwd

-rwxrwx---+ 1 root root 2058 May 11 21:08/tmp/passwd

# getfacl /tmp/passwd

getfacl: Removing leading ‘/‘ from absolutepath names

# file: tmp/passwd

# owner: root

# group: root

user::rwx

user:mary:rw- #effective:r--

user:jack:r--

group::rwx #effective:r-x

group:tom:r--

mask::r-x

other::---

目錄設定默認acl:

# getfacl /tmp/test

getfacl: Removing leading ‘/‘ from absolutepath names

# file: tmp/test

# owner: root

# group: root

user::rwx

group::r-x

other::r-x

default:user::rwx

default:user:tom:r-x

default:group::r-x

default:mask::r-x

default:other::r-x

6.2、制定ACL訪問控制列表

例子1:

要求在desktop虛擬機裏把文件的屬性修改tom:admin , 權限默認為644

要求: tom對該文件有所有的權限,mary可以讀寫該文件,admin組可以讀寫執行該文件,jack只讀該文件,其他人一律不能訪問該文件

tom組僅僅對該文件只讀

實驗前,建立幾個普通用戶

# useradd tom

# useradd bean

# useradd mary

# useradd jack

# groupadd admin

# gpasswd -a mary admin

# gpasswd -a bean admin

# id tom

uid=1001(tom) gid=1001(tom)groups=1001(tom)

# id mary

uid=1002(mary) gid=1002(mary)groups=1002(mary),1004(admin)

# id bean

uid=1003(bean) gid=1003(bean)groups=1003(bean),1004(admin)

# id jack

uid=1004(jack) gid=1005(jack)groups=1005(jack)

# chown tom:admin /tmp/passwd

# chmod 644 /tmp/passwd

# setfacl -muser::rwx,user:mary:rw,group::rwx,user:jack:r,group:tom:r,other::--- /tmp/passwd

# getfacl /tmp/passwd

getfacl: Removing leading ‘/‘ from absolutepath names

# file: tmp/passwd

# owner: tom

# group: admin

user::rwx

user:mary:rw-

user:jack:r--

group::rwx

group:tom:r--

mask::rwx <---除了 user:: other:: ,會於中間的所有控制列表進行 交集運算, 算出對應規則有效權限

other::---

acl的控制規則是從上往下匹配的

tom由於他是文件的擁有者,所以直接安裝user:: 指定的權限去操作 -- rwx

mary不是文件的擁有著,從上往下找規則,發現user:mary:rw-能夠精確匹配mary用戶 -- rw-

盡管mary是屬於admin組,admin組有rwx的權限,但是由於mary的規則在前面,所有優先生效

bean由於找不到精確匹配bean用戶的規則,而bean是屬於admin組,根據文件的定義,該文件是屬於admin組的,所以bean的權限是按照group::rwx的權限去操作。 -- rwx

jack 不是文件的主人,並且找到user:jack:r-- ,所以只讀

student用戶,不是文件主人,也找不到精確匹配的user定義規則,也找不到相關組的定義規則,最後屬於other -- ---

理解mask的作用

=========================================

刪除關於jack的規則

# setfacl -x user:jack /tmp/passwd

去掉所有規則

# setfacl -b /tmp/passwd

===========================================

例子2:要求在server0虛擬機上完成

執行 lab acl setup開始實驗

controller組成員:student

sodor組成員有:thomas,james 密碼均為redhat

要求: sodor組的成員可以對/shares/steamies有所有的權限,sodor組成員james對該目錄以及目錄裏的現有文件和以後建立的文件什麽權限都沒有.

目錄裏的display_engines.sh用於測試執行權限.

# setfacl -Rm g:sodor:rwX /shares/steamies

# setfacl -Rm u:james:- /shares/steamies

# setfacl -m d:g:sodor:rwx /shares/steamies

# setfacl -m d:u:james:- /shares.steamies

# exit

$ su - thomas

$ cd /shares/steamies/

$ cat roster.txt

$ ./display_engines.sh

$ mkdir tidmouth

$ echo "toot toot" >tidmouth/whistle.txt

$ exit

$ su - james

$ cd /shares/steamies

$ ls !$

$ cat !$/roster.txt

student$ newgrp controller

==================================================

刪除目錄的所有默認acl

# setfacl -k /tmp/dir

===================================================

實驗:

共享目錄: /shares/cases,目錄下存在兩個文件分別為adventures.txtmoriarty.txt

bakerstreet組成員:holmes,watson

scotlandyard組成員: lestrade,gregson,jones

所有用戶密碼均為redhat

所有更改應用在cases目錄及其下的文件,但不會應用到/shares目錄

所有bakerstreet組成員可以對cases目錄裏的文件有讀和寫權限

scotlandyard組成員jones只能對目錄裏的文件有只讀權限,其余的scotlandyard組成員均可以對該目錄的文件有讀寫權限

目錄裏的所有內容都屬於bakerstreet,讓目錄裏的文件可以讓文件的擁有者和擁有組可以讀寫,其他用戶沒有任何權限,要求目錄裏以後新建的文件都自動屬於bakerstreet

# lab acl setup

# chgrp -R bakerstreet /shares/cases/

# chmod g+s /shares/cases/

# setfacl -R -muser::rwX,group::rwX,group:scotlandyard:rwX,user:jones:rX,other::-/shares/cases/

# setfacl -md:user::rwX,d:group::rwx,d:group:scotlandyard:rwx,d:user:jones:rx,other::-/shares/cases/

# lab acl grade

個人筆記:

[[email protected] ~]# chown tom:admin/tmp/passwd

[[email protected] ~]# chmod 644 /tmp/passwd

[[email protected] ~]# ll /tmp/passwd

-rw-r--r--. 1 tom admin 2005 Jun 28 21:41/tmp/passwd

[[email protected] ~]# setfacl -mu::rwx,u:mary:rw,g:admin:rwx,u:jack:r,o::-,g:tom:r /tmp/passwd

[[email protected] ~]#

[[email protected] ~]# getfacl /tmp/passwd

getfacl: Removing leading ‘/‘ from absolutepath names

# file: tmp/passwd

# owner: tom

# group: admin

user::rwx

user:jack:r--

user:mary:rw-

group::r--

group:tom:r--

group:admin:rwx

mask::rwx

other::---

MASK

[[email protected] ~]# setfacl -m mask::rx/tmp/passwd

[[email protected] ~]# setfacl /tmp/passwd

Usage: setfacl [-bkndRLP] { -m|-M|-x|-X ...} file ...

Try `setfacl --help‘ for more information.

[[email protected] ~]# getfacl /tmp/passwd

getfacl: Removing leading ‘/‘ from absolutepath names

# file: tmp/passwd

# owner: tom

# group: admin

user::rwx

user:jack:r—

user:mary:rw- #effective:r--

group::r--

group:tom:r--

group:admin:rwx #effective:r-x

mask::r-x

other::---

userother是不受影響的,中間的用戶才受MASK的影響。

刪除設定的權限

[email protected] ~]# setfacl -x user:jack/tmp/passwd

[[email protected] ~]# setfacl /tmp/passwd

Usage: setfacl [-bkndRLP] { -m|-M|-x|-X ...} file ...

Try `setfacl --help‘ for more information.

[[email protected] ~]# getfacl /tmp/passwd

getfacl: Removing leading ‘/‘ from absolutepath names

# file: tmp/passwd

# owner: tom

# group: admin

user::rwx

user:mary:rw-

group::r--

group:tom:r--

group:admin:rwx

mask::rwx

other::---

[[email protected] ~]# setfacl -x /tmp/passwd

setfacl: Option -x: Invalid argument nearcharacter 1

[[email protected] ~]# setfacl -b /tmp/passwd

[[email protected] ~]# getfacl /tmp/passwd

getfacl: Removing leading ‘/‘ from absolutepath names

# file: tmp/passwd

# owner: tom

# group: admin

user::rwx

group::r--

other::---

[[email protected] ~]#

2.


本文出自 “HCIE_38xx” 博客,謝絕轉載!

RH134-6 使用訪問控制列表限制文件訪問

相關推薦

RH134-6 使用訪問控制列表限制訪問

rhce第六章、使用訪問控制列表限制文件訪問 6.1、 ACL訪問控制列表概述 實現更多的權限控制,可以同時針對多個不同的用戶、組進行權限設定 ext2,ext3,ext4文件系統掛載的時候需要使用acl選項,xfs默認就支持. 設定acl只能是roo

華為如何通過ACL訪問控制列表限制上網

登 錄到路由器 telnet 192.168.1.1 輸入使用者名稱,密碼 acl number 3000 (如果不存在,建立訪問列表;存在則新增一條限制) 允許192.168.1.99上網: rule 10 permit ip source 192.168.1.99 0

訪問控制列表 配置:命名訪問控制列表配置

 大家在談到路由器ACL的時候,首先想到的是標準ACL和擴充套件ACL,其實還有鮮為人知的命名訪問ACL。本文主要目的是想介紹命名訪問控制列表配置。     訪問列表型別:       標準的訪問控制列表-(基於IP的編號範圍1-99,基於IPX的編號範圍800-899)檢查

Linux FACL(訪問控制列表

場景 獲得 ask set file bsp 取消 文件 Owner 文件有三種權限   屬主權限 屬組權限 其他權限 現在有這樣一個場景,用戶 A 想把文件共享給不是同組內用戶 B ,而又不想修改其他權限,這時候 FACL 就起作用了 FACL可以給文件添加一個拓展

Linux學習命令匯總九——任務計劃調度atd,crond及訪問控制列表

atd crontab linux任務計劃 facl 文件訪問控制列表 本章Blog相關Linux知識點linux 任務計劃: 一次性任務計劃命令: at ,batch ,依賴進程atd 周期性任務計劃命令:crontab ,anacron ,依賴進程crondat,batc

setfacl 設置訪問控制列表

pre splay 默認 color other pan use 規則 str setfacl 設置文件訪問控制列表 用法: setfacl [-bkndRLP] { -m|-M|-x|-X ... } file ... 參數: -m, --modi

權限及訪問控制

網絡運維 首先,還是要從用戶賬戶的作用出發; 用戶賬戶的作用:證實操作者的身份 不允許任何人都以管理的身份來對計算機資源進行使用,這樣會使計算機的安全性特別低。 其次,用戶賬戶通過之後,我們要對於不同的用戶賬戶進行不同的授權(權限) 例如:超級用戶(root),擁有對於計算機的資源擁

用戶和組管理權限及訪問控制

用戶和組管理權限及文件訪問控制 用戶和組管理權限及文件訪問控制 與用戶賬戶和組帳戶相關的文件: 1./etc/passwd 2./etc/group 3./etc/shadow 4./etc/gshadow 5./etc/default/useradd 6./etc/l

6.訪問日誌靜態,訪問日誌切割,靜態元素過期時間

訪問日誌靜態文件;訪問日誌切割靜 靜態元素過期時間 [toc] 10.22 訪問日誌不記錄靜態文件 很多網站大多為靜態網頁,網頁內部的圖片、css文件等同樣有其網址鏈接,如果不設置,這些無效的信息也將被存入訪問日誌中,會導致訪問日誌文件大小快速增加,占用大量存儲空間。我們可以通過設置不記錄某些文

在asp.net core2.1中新增中介軟體以擴充套件Swashbuckle.AspNetCore3.0支援簡單的訪問許可權控制

Swashbuckle.AspNetCore3.0 介紹 一個使用 ASP.NET Core 構建的 API 的 Swagger 工具。直接從您的路由,控制器和模型生成漂亮的 API 文件,包括用於探索和測試操作的 UI。 專案主頁:https://github.com/domaindrivendev/Sw

Redis 6.0 訪問控制列表ACL說明

背景       在Redis6.0之前的版本中,登陸Redis Server只需要輸入密碼(前提配置了密碼 requirepass )即可,不需要輸入使用者名稱,而且密碼也是明文配置到配置檔案中,安全性不高。並且應用連線也使用該密碼,導致應用有所有許可權處理資料,風險也極高。在

Cisco之訪問控制列表(ACL)

cisco acl 訪問控制列表(ACL)是應用在路由器接口的指令列表(即規則),這些規則表用來告訴路由器,哪些數據包可以接收,哪些包需要拒絕。其基本原理如下:ACL使用包過濾技術,在路由器上讀取OSI七層模型的第三層和第四層包頭中的信息,如源地址、目的地址、源端口、目的端口等,根據預先定義的規則,對包

使用引導扇區維護工具BOOTICE編輯系統啟動列表BCD

mar log down think button 內存條 系列 dsm sso 使用引導扇區維護工具BOOTICE編輯系統啟動列表BCD文件系列文章:筆記本電腦提速之加裝內存條、SSD固態硬盤、光驅位換SSD固態硬盤筆記本ThinkPad E430c加裝內存和SSD固態

VELT-0.1.6開發:載入根系統

baidu 轉載 裏的 python lin ide arch 包含 -s 快樂蝦http://blog.csdn.net/lights_joy/(QQ群:Visual EmbedLinux Tools 375515651)歡迎轉載,但請保留作者信息VELT的全稱是Vis

IIS6/7/8 WEBserver不能訪問grf報表模板的問題

其它 mime family name file grid 文件類型 通過 ati 通過 IE不能訪問到 .grf 報表文件,這是由於 IIS6/7/8對訪問的擴展名做了限制,除了已經定義的擴展名之外。其它的擴展名都不能訪問。這跟 IIS5 不一樣,IIS5

Python 3.6 使用 pyinstaller 打包exe遇到的問題

python pyinstaller 自己做了一個加密解密的小軟件,想打包成exe文件。在網上搜發現pyinstaller使用起來簡單點。在這裏記錄自己遇到問題使用的是Python 3.6版本,直接使用pip安裝pip install pyinstaller安裝過程很順利,安裝的是3.2.1版本使用看

nginx訪問日誌 logstash 配置實例2

windows 配置文件 request statuslog 日誌格式: log_format elk "$http_clientip | $http_x_forwarded_for | $time_local | $request | $status | $body_bytes_sent |

apache訪問日誌 logstash 配置實例1

windows 配置文件 cookie chrome 日誌格式: LogFormat "%{clientip}i %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" \"%{clientip}i.%{cookie}n\""

nginx訪問日誌 logstash 配置實例1

logstash日誌格式: log_format usgateway ‘$http_clientip\t$http_ServiceName\t$http_uid\t$http_sid\t[$time_local]‘ ‘\t$reques

Android訪問

dwr con sd卡 filename 修改 andro 寫入 rac contex Android中對於文件操作除了java的基礎庫匯總的IO、File等之外,還提供了幾種API1、Context類提供的openFileOutput()和openFileInput()