Dies ist der Befehl fs_setacl, der beim kostenlosen Hosting-Anbieter OnWorks mit einer unserer zahlreichen kostenlosen Online-Workstations wie Ubuntu Online, Fedora Online, dem Windows-Online-Emulator oder dem MAC OS-Online-Emulator ausgeführt werden kann
PROGRAMM:
NAME/FUNKTION
fs_setacl – Legt die ACL für ein Verzeichnis fest
ZUSAMMENFASSUNG
fs setacl ist <Verzeichnis>+ -acl <Zugang Liste Einträge>+
[-klar] [-Negativ] [-id] [-wenn] [-Hilfe]
fs sa -d <Verzeichnis>+ -a <Zugang Liste Einträge>+
[-c] [-n] [-id] [-wenn] [-h]
fs Set -d <Verzeichnis>+ -a <Zugang Liste Einträge>+
[-c] [-n] [-id] [-wenn] [-h]
BESCHREIBUNG
Das fs setacl Der Befehl fügt die mit dem angegebenen Einträge der Zugriffskontrollliste (ACL) hinzu -acl
Argument für die ACL jedes Verzeichnisses, das durch benannt wird ist Argument.
Besitzt das ist Das Argument bezeichnet einen Pfadnamen im DFS-Dateibereich (Zugriff über AFS/DFS
Migration Toolkit Protocol Translator) kann es sich sowohl um eine Datei als auch um ein Verzeichnis handeln. Die ACL
muss jedoch bereits einen Eintrag für „mask_obj“ enthalten.
Nur Benutzer- und Gruppeneinträge sind zulässige Werte für -acl Streit. Nicht platzieren
Maschineneinträge (IP-Adressen) direkt auf einer ACL; Machen Sie stattdessen den Maschineneintrag zu einer Gruppe
Mitglied und platzieren Sie die Gruppe in der ACL.
Um die vorhandene ACL vor dem Hinzufügen der neuen Einträge vollständig zu löschen, geben Sie Folgendes an: -klar
Flagge. Um die angegebenen Einträge zum Abschnitt „Negative Rechte“ der ACL hinzuzufügen (deny
Rechte für bestimmte Benutzer oder Gruppen) bereitstellen -Negativ Flagge.
Um eine ACL anzuzeigen, verwenden Sie den Befehl fs listacl. Um eine ACL von einem Verzeichnis nach zu kopieren
eine andere, verwenden Sie die fs copyacl Befehl.
VORSICHTSMASSNAHMEN
Wenn die ACL einem Benutzer oder einer Gruppe bereits bestimmte Berechtigungen gewährt, werden die Berechtigungen
angegeben mit dem fs setacl Der Befehl ersetzt die vorhandenen Berechtigungen, anstatt sie zu sein
ihnen hinzugefügt.
Das Festlegen negativer Berechtigungen ist im Allgemeinen unnötig und wird nicht empfohlen. Einfach weglassen
Ein Benutzer oder eine Gruppe aus dem Abschnitt „Normale Rechte“ der ACL reicht normalerweise aus
Zugriff verhindern. Beachten Sie insbesondere, dass es zwecklos ist, erteilte Berechtigungen zu verweigern
an Mitglieder der system:anyuser-Gruppe in derselben ACL; Der Benutzer muss nur die ausstellen
abmelden Befehl, um die verweigerten Berechtigungen zu erhalten.
Bei Einbeziehung der -klar Stellen Sie sicher, dass Sie für jeden Verzeichnisbesitzer einen Eintrag wiederherstellen
Dazu gehört mindestens die Berechtigung „l“ (Suche). Ohne diese Erlaubnis ist es so
Es ist unmöglich, die Kurzschrift „Punkt“ („.“) und „Punkt Punkt“ („..““) aus dem heraus aufzulösen
Verzeichnis. (Der Eigentümer des Verzeichnisses verfügt implizit über die Berechtigung „a“ (Verwalten).
(auch bei einer gelöschten ACL, muss aber wissen, wie man damit andere Berechtigungen hinzufügt.)
OPTIONAL
ist <Verzeichnis>+
Benennt jedes AFS-Verzeichnis oder DFS-Verzeichnis oder jede DFS-Datei, für die die ACL festgelegt wird. Teilweise
Pfadnamen werden relativ zum aktuellen Arbeitsverzeichnis interpretiert.
Geben Sie den Lese-/Schreibpfad zu jedem Verzeichnis (oder jeder DFS-Datei) an, um den Fehler zu vermeiden
resultiert aus dem Versuch, ein schreibgeschütztes Volume zu ändern. Konventionell ist das Lesen/Schreiben
Der Pfad wird durch einen Punkt vor dem Zellnamen an der zweiten Stelle des Pfadnamens angegeben
Ebene (zum Beispiel /afs/.abc.com). Zur weiteren Diskussion des Konzepts von
Lese-/Schreibpfade und schreibgeschützte Pfade durch den Dateibereich finden Sie unter fs mkmount Referenz
-acl <Zugang Liste Einträge>+
Definiert eine Liste von einem oder mehreren ACL-Einträgen, jeweils ein Paar, das Folgendes benennt:
· Ein Benutzername oder Gruppenname, wie in der Schutzdatenbank aufgeführt.
· Eine oder mehrere ACL-Berechtigungen, angegeben entweder durch Kombination der einzelnen Buchstaben
oder durch eines der vier akzeptablen Kurzwörter.
in dieser Reihenfolge, getrennt durch ein Leerzeichen (also hat jede Instanz dieses Arguments zwei).
Teile). Die akzeptierten AFS-Abkürzungen und Kurzwörter sowie deren Bedeutung,
sind wie folgt:
a (verwalten)
Ändern Sie die Einträge in der ACL.
d (löschen)
Entfernen Sie Dateien und Unterverzeichnisse aus dem Verzeichnis oder verschieben Sie sie in ein anderes
Verzeichnisse.
ich (einfügen)
Fügen Sie Dateien oder Unterverzeichnisse durch Kopieren, Verschieben oder Erstellen zum Verzeichnis hinzu.
k (Sperre)
Setzen Sie Lesesperren oder Schreibsperren für die Dateien im Verzeichnis.
l (nachschlagen)
Listen Sie die Dateien und Unterverzeichnisse im Verzeichnis auf, geben Sie das Verzeichnis selbst an und
ausgeben fs listacl Befehl zum Überprüfen der ACL des Verzeichnisses.
r (lesen)
Lesen Sie den Inhalt der Dateien im Verzeichnis. Geben Sie den Befehl „ls -l“ ein, um den Status anzuzeigen
Elemente im Verzeichnis.
w (schreiben)
Ändern Sie den Inhalt der Dateien im Verzeichnis und geben Sie UNIX aus chmod Befehl an
ihre Modusbits ändern.
A B C D E F G H
Haben keine Standardbedeutung für die AFS-Serverprozesse, werden aber zur Verfügung gestellt
Anwendungen, die zur Steuerung des Zugriffs auf den Inhalt des Verzeichnisses verwendet werden sollen
zusätzliche Möglichkeiten. Die Buchstaben müssen in Großbuchstaben geschrieben sein.
all Entspricht allen sieben Berechtigungen („rlidwka“).
keine
Keine Berechtigungen. Entfernt den Benutzer/die Gruppe aus der ACL, garantiert dies jedoch nicht
haben keine Berechtigungen, wenn sie zu Gruppen gehören, die in der ACL verbleiben.
lesen
Entspricht den Berechtigungen „r“ (Lesen) und „l“ (Suchen).
schreiben
Entspricht allen Berechtigungen außer „a“ (verwalten), also „rlidwk“.
Es ist akzeptabel, Einträge, die die einzelnen Buchstaben kombinieren, mit Einträgen zu mischen, die die einzelnen Buchstaben kombinieren
Verwenden Sie die gekürzten Wörter, aber nicht beide Schreibweisen innerhalb einer Person
Paarung von Benutzer oder Gruppe und Berechtigungen.
Erteilen der Berechtigungen „l“ (Suchen) und „i“ (Einfügen) ohne Erteilen des „w“
(Schreiben) und/oder „r“ (Lesen)-Berechtigungen sind ein Sonderfall und gewähren Rechte
Geeignet für „Dropbox“-Verzeichnisse. Weitere Informationen finden Sie im Abschnitt DROPBOXES.
Informationen zum Festlegen von ACLs für einen Pfadnamen im DFS-Dateibereich finden Sie in der DFS-Dokumentation
richtiges Format und akzeptable Werte für DFS-ACL-Einträge.
-klar
Entfernt alle vorhandenen Einträge in jeder ACL, bevor die mit dem angegebenen Einträge hinzugefügt werden
-acl Argument.
-Negativ
Platziert die angegebenen ACL-Einträge im Abschnitt „Negative Rechte“ jeder ACL.
Dem Benutzer oder der Gruppe werden die Rechte ausdrücklich verweigert, auch wenn Einträge in der
Der begleitende Abschnitt „Normale Rechte“ der ACL gewährt ihnen Berechtigungen.
Dieses Argument wird für DFS-Dateien oder -Verzeichnisse nicht unterstützt, da dies bei DFS nicht der Fall ist
Implementieren Sie negative ACL-Berechtigungen.
-id Platziert die ACL-Einträge in der anfänglichen Container-ACL jedes DFS-Verzeichnisses
die einzigen Dateisystemobjekte, für die dieses Flag unterstützt wird.
-wenn Platziert die ACL-Einträge in der anfänglichen Objekt-ACL jedes DFS-Verzeichnisses
Nur Dateisystemobjekte, für die dieses Flag unterstützt wird.
-Hilfe
Druckt die Online-Hilfe für diesen Befehl. Alle anderen gültigen Optionen werden ignoriert.
DROPBOXEN
Wenn ein zugreifender Benutzer über die Berechtigungen „l“ (Suchen) und „i“ (Einfügen) für ein Verzeichnis verfügt, aber
nicht die Berechtigungen „w“ (Schreiben) und/oder „r“ (Lesen), dem Benutzer werden diese implizit gewährt
Möglichkeit, alle in diesem Verzeichnis erstellten Dateien zu schreiben und/oder zu lesen, bis sie die Datei schließen
Datei. Dadurch soll die Existenz von Verzeichnissen im „Dropbox“-Stil ermöglicht werden, in die Benutzer Einlagen tätigen können
Dateien, können diese jedoch später nicht ändern und auch keine darin abgelegten Dateien ändern oder lesen
Verzeichnis durch andere Benutzer.
Beachten Sie jedoch, dass die Dropbox-Funktionalität nicht perfekt ist. Der Dateiserver hat keine
Wissen darüber, wann eine Datei auf dem Client geöffnet oder geschlossen wird, und somit auch immer auf dem Dateiserver
Ermöglicht einem zugreifenden Benutzer das Lesen oder Schreiben einer Datei in einem „Dropbox“-Verzeichnis, sofern er Eigentümer ist
die Datei. Während der Client verhindert, dass der Benutzer seine hinterlegten Daten liest oder ändert
Dies wird auf dem Dateiserver nicht erzwungen und sollte daher nicht als verlässlich angesehen werden
Sicherheit.
Wenn außerdem „Dropbox“-Berechtigungen für „system:anyuser“ gewährt werden, erfolgt die Authentifizierung nicht
Benutzer können Dateien im Verzeichnis ablegen. Wenn ein nicht authentifizierter Benutzer eine Datei hinterlegt
Im Verzeichnis gehört die neue Datei der nicht authentifizierten Benutzer-ID und ist somit der Besitzer
möglicherweise von jedermann änderbar.
Um die versehentliche Veröffentlichung privater Daten zu reduzieren, kann der Dateiserver dies tun
Leseanfragen für „Dropbox“-Dateien von nicht authentifizierten Benutzern ablehnen. Infolge,
Das Hinterlegen von Dateien als nicht authentifizierter Benutzer kann willkürlich fehlschlagen, wenn „system:anyuser“ vorhanden ist
Dropbox-Berechtigungen wurden erteilt. Obwohl dies selten sein sollte, ist es nicht vollständig
vermeidbar und daher darauf angewiesen, dass nicht authentifizierte Benutzer Einzahlungen vornehmen können
Dateien in einer Dropbox ist NICHT EMPFOHLEN.
Beispiele:
Das folgende Beispiel fügt zwei Einträge zum Abschnitt „Normale Rechte“ des aktuellen hinzu
ACL des Arbeitsverzeichnisses: Der erste Eintrag gewährt die Berechtigungen „r“ (Lesen) und „l“ (Suchen).
die Gruppe pat:friends, während die andere (unter Verwendung der Abkürzung „write“) alle Berechtigungen erteilt
außer „a“ (verwalten) für den Benutzer „smith“.
% fs setacl -dir . -acl pat:Freunde rl Smith schreiben
% fs listacl -path .
Zugriffsliste für . Ist
Normale Rechte:
pat:friends rl
Smith Rlidwk
Das folgende Beispiel enthält die -klar Flag, das die vorhandenen Berechtigungen entfernt (as
angezeigt mit dem fs listacl Befehl) aus dem aktuellen Arbeitsverzeichnis Berichte
Unterverzeichnis und ersetzt sie durch einen neuen Satz.
% fs listacl -dir Berichte
Zugriffsliste für Berichte ist
Normale Rechte:
system:authuser rl
pat:friends rlid
Smith Rlidwk
pat rlidwka
Negative Rechte:
Terry rl
% fs setacl -clear -dir reporting -acl pat all smith write system:anyuser rl
% fs listacl -dir Berichte
Zugriffsliste für Berichte ist
Normale Rechte:
system:anyuser rl
Smith Rlidwk
pat rlidwka
Das folgende Beispiel verwendet die ist und -acl schaltet, weil es die ACL auf mehr als festlegt
ein Verzeichnis (sowohl das aktuelle Arbeitsverzeichnis als auch dessen Öffentlichkeit Unterverzeichnis).
% fs setacl -dir . public -acl pat:friends rli
% fs listacl -path . öffentlich
Zugriffsliste für . Ist
Normale Rechte:
pat rlidwka
pat:friends rli
Die Zugangsliste für die Öffentlichkeit ist
Normale Rechte:
pat rlidwka
pat:friends rli
PRIVILEG ERFORDERLICH
Der Aussteller muss über die Berechtigung „a“ (Verwalten) für die ACL des Verzeichnisses verfügen, ein Mitglied von
die Gruppe system:administrators oder, als Sonderfall, der UID-Besitzer des Top-Benutzers sein.
Ebenenverzeichnis des Volumes, das dieses Verzeichnis enthält. Die letzte Bestimmung ermöglicht die
UID-Besitzer eines Volumes, um versehentliche ACL-Fehler zu reparieren, ohne dass ein Eingreifen erforderlich ist
Mitglied von system:administratoren.
Frühere Versionen von OpenAFS erweiterten auch die implizite Verwaltungsberechtigung auf den Besitzer von
irgendein Verzeichnis. In aktuellen Versionen von OpenAFS nur der Eigentümer des Verzeichnisses der obersten Ebene
des Bandes verfügt über diese Sondergenehmigung.
Verwenden Sie fs_setacl online über die Dienste von onworks.net
