Este es el comando fs_setacl que se puede ejecutar en el proveedor de alojamiento gratuito de OnWorks utilizando una de nuestras múltiples estaciones de trabajo en línea gratuitas, como Ubuntu Online, Fedora Online, emulador en línea de Windows o emulador en línea de MAC OS.
PROGRAMA:
NOMBRE
fs_setacl: establece la ACL para un directorio
SINOPSIS
fs setacl es <directorio>+ -acl <de la máquina lista entradas>+
[-claro] [-negativo] [-carné de identidad] [-si] [-ayuda]
fs sa -d <directorio>+ -a <de la máquina lista entradas>+
[-c] [-n] [-carné de identidad] [-si] [-h]
fs conjunto -d <directorio>+ -a <de la máquina lista entradas>+
[-c] [-n] [-carné de identidad] [-si] [-h]
DESCRIPCIÓN
El fs setacl comando agrega las entradas de la lista de control de acceso (ACL) especificadas con el -acl
argumento a la ACL de cada directorio nombrado por el es argumento.
Si es El argumento designa un nombre de ruta en el espacio de archivos DFS (al que se accede a través de AFS / DFS
Migration Toolkit Protocol Translator), puede ser tanto un archivo como un directorio. El ACL
Sin embargo, ya debe incluir una entrada para "mask_obj".
Solo las entradas de usuario y grupo son valores aceptables para -acl argumento. No coloque
entradas de máquina (direcciones IP) directamente en una ACL; en su lugar, haga que la entrada de la máquina sea un grupo
miembro y coloque el grupo en la ACL.
Para borrar completamente la ACL existente antes de agregar las nuevas entradas, proporcione la -claro
bandera. Para agregar las entradas especificadas a la sección "Derechos negativos" de la ACL (denegar
derechos a usuarios o grupos especificados), proporcionar la -negativo bandera.
Para mostrar una ACL, use el comando fs listacl. Para copiar una ACL de un directorio a
otro, usa el fs copiar mando.
PRECAUCIONES
Si la ACL ya otorga ciertos permisos a un usuario o grupo, los permisos
especificado con el fs setacl comando reemplazar los permisos existentes, en lugar de ser
añadido a ellos.
Establecer permisos negativos generalmente es innecesario y no se recomienda. Simplemente omitiendo
un usuario o grupo de la sección "Derechos normales" de la ACL normalmente es adecuado para
evitar el acceso. En particular, tenga en cuenta que es inútil negar los permisos que se otorgan
a los miembros del sistema: cualquier grupo de usuarios en la misma ACL; el usuario solo necesita emitir el
anular el registro comando para recibir los permisos denegados.
Al incluir el -claro opción, asegúrese de restablecer una entrada para el propietario de cada directorio
que incluye al menos el permiso "l" (búsqueda). Sin ese permiso, es
imposible resolver la abreviatura "punto" (".") y "punto punto" ("..") desde dentro de la
directorio. (El propietario del directorio tiene implícitamente el permiso "a" (administrar)
incluso en una ACL limpia, pero debe saber usarla para agregar otros permisos).
CAMPUS
es <directorio>+
Nombra cada directorio AFS, o directorio o archivo DFS, para el cual se configura la ACL. Parcial
los nombres de ruta se interpretan en relación con el directorio de trabajo actual.
Especifique la ruta de lectura / escritura a cada directorio (o archivo DFS), para evitar la falla que
resulta de intentar cambiar un volumen de solo lectura. Por convención, la lectura / escritura
La ruta se indica colocando un punto antes del nombre de la celda en el segundo nombre de la ruta.
nivel (por ejemplo, /afs/.abc.com). Para una mayor discusión del concepto de
rutas de lectura / escritura y de solo lectura a través del espacio de archivos, consulte la fs mkmontaje referencia
.
-acl <de la máquina lista entradas>+
Define una lista de una o más entradas de ACL, cada una de las cuales es un par que nombra:
· Un nombre de usuario o un nombre de grupo como se indica en la base de datos de protección.
· Uno o más permisos de ACL, indicados combinando las letras individuales
o por una de las cuatro palabras abreviadas aceptables.
en ese orden, separados por un espacio (así, cada instancia de este argumento tiene dos
partes). Las abreviaturas y palabras taquigráficas aceptadas de AFS, y el significado de cada una,
son los siguientes:
a (administrar)
Cambie las entradas en la ACL.
d (borrar)
Elimine archivos y subdirectorios del directorio o muévalos a otro
directorios.
yo (insertar)
Agregue archivos o subdirectorios al directorio copiando, moviendo o creando.
k (bloqueo)
Establezca bloqueos de lectura o de escritura en los archivos del directorio.
l (búsqueda)
Enumere los archivos y subdirectorios del directorio, establezca el directorio en sí y
emitir el fs listacl comando para examinar la ACL del directorio.
r (leer)
Leer el contenido de los archivos en el directorio; emita el comando "ls -l" para establecer el
elementos en el directorio.
w (escribir)
Modifique el contenido de los archivos en el directorio y emita UNIX chmod orden a
cambiar sus bits de modo.
A, B, C, D, E, F, GRAMO, H
No tienen un significado predeterminado para los procesos del servidor AFS, pero están disponibles para
aplicaciones que se utilizarán para controlar el acceso a los contenidos del directorio en
formas adicionales. Las letras deben estar en mayúsculas.
all Es igual a los siete permisos ("rlidwka").
ninguna
No permisos. Elimina al usuario / grupo de la ACL, pero no garantiza que
no tienen permisos si pertenecen a grupos que permanecen en la ACL.
leer
Es igual a los permisos "r" (lectura) y "l" (búsqueda).
escribir
Es igual a todos los permisos excepto "a" (administrar), es decir, "rlidwk".
Es aceptable mezclar entradas que combinen las letras individuales con entradas que
use las palabras abreviadas, pero no use ambos tipos de notación dentro de un individuo
emparejamiento de usuario o grupo y permisos.
Otorgar los permisos "l" (búsqueda) e "i" (insertar) sin otorgar la "w"
(escritura) y / o "r" (lectura) es un caso especial y otorga derechos
apropiado para directorios "dropbox". Vea la sección DROPBOXES para más detalles.
Si configura las ACL en un nombre de ruta en el espacio de archivos DFS, consulte la documentación de DFS para
formato adecuado y valores aceptables para las entradas DFS ACL.
-claro
Elimina todas las entradas existentes en cada ACL antes de agregar las entradas especificadas con el
-acl argumento.
-negativo
Coloca las entradas de ACL especificadas en la sección "Derechos negativos" de cada ACL,
denegar explícitamente los derechos al usuario o grupo, incluso si las entradas en el
la sección "Derechos normales" adjunta de la ACL les otorga permisos.
Este argumento no es compatible con archivos o directorios DFS, porque DFS no
implementar permisos de ACL negativos.
-carné de identidad Coloca las entradas de ACL en la ACL de contenedor inicial de cada directorio DFS, que son
los únicos objetos del sistema de archivos para los que se admite este indicador.
-si Coloca las entradas de ACL en la ACL de objeto inicial de cada directorio DFS, que son las
solo los objetos del sistema de archivos para los que se admite este indicador.
-ayuda
Imprime la ayuda en línea para este comando. Todas las otras opciones válidas son ignoradas.
BUZONES
Si un usuario que accede tiene los permisos "l" (búsqueda) e "i" (insertar) en un directorio, pero
no los permisos "w" (escritura) y / o "r" (lectura), al usuario se le otorga implícitamente el
capacidad de escribir y / o leer cualquier archivo que creen en ese directorio, hasta que cierren el
expediente. Esto es para permitir que existan directorios de estilo "dropbox", donde los usuarios pueden depositar
archivos, pero no pueden modificarlos posteriormente ni pueden modificar o leer los archivos depositados en el
directorio por otros usuarios.
Sin embargo, tenga en cuenta que la funcionalidad de Dropbox no es perfecta. El servidor de archivos no tiene
conocimiento de cuándo se abre o se cierra un archivo en el cliente, por lo que el servidor de archivos siempre
permite a un usuario que accede leer o escribir en un archivo en un directorio "dropbox" si es el propietario
el archivo. Mientras que el cliente impide que el usuario lea o modifique sus datos depositados
archivo más tarde, esto no se aplica en el servidor de archivos, por lo que no se debe confiar en
seguridad.
Además, si se otorgan permisos de "dropbox" a "system: anyuser", no autenticado
los usuarios pueden depositar archivos en el directorio. Si un usuario no autenticado deposita un archivo en
el directorio, el nuevo archivo será propiedad del ID de usuario no autenticado y, por lo tanto,
potencialmente modificable por cualquier persona.
En un esfuerzo por tratar de reducir la publicidad accidental de datos privados, el servidor de archivos puede
rechazar las solicitudes de lectura de archivos "dropbox" de usuarios no autenticados. Como resultado,
depositar archivos como un usuario no autenticado puede fallar arbitrariamente si "system: anyuser" ha
Se le han otorgado permisos de Dropbox. Si bien esto debería ser raro, no es completamente
prevenible, y por esta razón depender de usuarios no autenticados para poder depositar
archivos en un dropbox es NO RECOMENDADO.
EJEMPLOS
El siguiente ejemplo agrega dos entradas a la sección "Derechos normales" del actual
ACL del directorio de trabajo: la primera entrada otorga permisos "r" (lectura) y "l" (búsqueda) para
el grupo pat: amigos, mientras que el otro (usando la abreviatura "escribir") otorga todos los permisos
excepto "a" (administrar) al usuario "smith".
% fs setacl -dir. -acl pat: amigos rl smith escriben
% fs ruta de listacl.
Lista de acceso para. es
Derechos normales:
pat: amigos rl
Smith rlidwk
El siguiente ejemplo incluye el -claro bandera, que elimina los permisos existentes (como
se muestra con el fs listacl comando) del directorio de trabajo actual informes
subdirectorio y los reemplaza por un nuevo conjunto.
% fs listacl -dir informes
La lista de acceso para informes es
Derechos normales:
sistema: authuser rl
pat: amigos rlid
Smith rlidwk
pat rlidwka
Derechos negativos:
terry rl
% fs setacl -clear -dir informes -acl pat all smith write system: anyuser rl
% fs listacl -dir informes
La lista de acceso para informes es
Derechos normales:
sistema: anyuser rl
Smith rlidwk
pat rlidwka
El siguiente ejemplo usa el es y -acl cambia porque establece la ACL durante más de
un directorio (tanto el directorio de trabajo actual como su público subdirectorio).
% fs setacl -dir. público -acl pat: amigos rli
% fs ruta de listacl. público
Lista de acceso para. es
Derechos normales:
pat rlidwka
pat: amigos rli
La lista de acceso para el público es
Derechos normales:
pat rlidwka
pat: amigos rli
PRIVILEGIO REQUERIDO
El emisor debe tener el permiso "a" (administrar) en la ACL del directorio, un miembro de
el sistema: grupo de administradores, o, como un caso especial, debe ser el propietario de UID del top-
directorio de nivel del volumen que contiene este directorio. La última disposición permite
Propietario de UID de un volumen para reparar errores ACL accidentales sin necesidad de la intervención de un
miembro del sistema: administradores.
Las versiones anteriores de OpenAFS también extendían el permiso de administración implícito al propietario de
cualquier directorio. En las versiones actuales de OpenAFS, solo el propietario del directorio de nivel superior
del volumen tiene este permiso especial.
Use fs_setacl en línea usando los servicios de onworks.net
