זוהי הפקודה fs_setacl שניתן להפעיל בספק האחסון החינמי של OnWorks באמצעות אחת מתחנות העבודה המקוונות המרובות שלנו, כגון Ubuntu Online, Fedora Online, אמולטור מקוון של Windows או אמולטור מקוון של MAC OS
תָכְנִית:
שֵׁם
fs_setacl - מגדיר את ה-ACL עבור ספרייה
תַקצִיר
fs setacl -די <בספרייה>+ -acl <גישה רשימה ערכים>+
[-ברור] [-שלילי] [-] [-אם] [עזרה]
fs sa -d <בספרייה>+ -a <גישה רשימה ערכים>+
[-c] [-n] [-] [-אם] [-h]
fs סט -d <בספרייה>+ -a <גישה רשימה ערכים>+
[-c] [-n] [-] [-אם] [-h]
תיאור
אל האני fs setacl הפקודה מוסיפה את ערכי רשימת בקרת הגישה (ACL) שצוינו עם ה- -acl
ארגומנט ל-ACL של כל ספרייה בשם -די ויכוח.
אם -די ארגומנט מציין שם נתיב במרחב הקבצים של DFS (הגישה אליו מתבצעת באמצעות AFS/DFS
Migration Toolkit Protocol Translator), זה יכול להיות קובץ וגם ספריה. ה-ACL
עם זאת, חייב כבר לכלול ערך עבור "mask_obj".
רק ערכי משתמש וקבוצה הם ערכים מקובלים עבור -acl טַעֲנָה. אל תניח
כניסות מחשב (כתובות IP) ישירות על ACL; במקום זאת, הפוך את כניסת המכונה לקבוצה
חבר והצב את הקבוצה ב-ACL.
כדי למחוק לחלוטין את ה-ACL הקיים לפני הוספת הערכים החדשים, ספק את -ברור
דֶגֶל. כדי להוסיף את הערכים שצוינו לקטע "זכויות שליליות" ב-ACL (דחה
זכויות למשתמשים או קבוצות שצוינו), לספק את -שלילי דגל.
כדי להציג ACL, השתמש בפקודה fs listacl. כדי להעתיק ACL מספרייה אחת אל
אחר, השתמש ב- fs copyacl פקודה.
זהירות
אם ה-ACL כבר מעניק הרשאות מסוימות למשתמש או לקבוצה, ההרשאות
שצוין עם ה fs setacl הפקודה להחליף את ההרשאות הקיימות, במקום להיות
הוסיף להם.
הגדרת הרשאות שליליות היא בדרך כלל מיותרת ולא מומלצת. פשוט משמיט
משתמש או קבוצה מקטע "זכויות רגילות" של ה-ACL מתאימים בדרך כלל
למנוע גישה. במיוחד, שים לב שזה חסר תועלת לשלול הרשאות שניתנו
לחברי המערכת: קבוצת כל משתמש באותו ACL; המשתמש צריך רק להנפיק את
לבטל את הרישום פקודה לקבל את ההרשאות שנדחו.
כאשר כוללים את -ברור אפשרות, הקפד להחזיר ערך עבור הבעלים של כל ספרייה
הכולל לפחות את הרשאת "l" (חיפוש). בלי הרשות הזאת, זה כן
בלתי אפשרי לפתור את הקיצור "נקודה" (".") ו-"נקודה" ("..") מתוך
מַדרִיך. (לבעל הספרייה יש באופן מרומז הרשאת "a" (ניהול).
אפילו ב-ACL מסולק, אבל חייבים לדעת להשתמש בו כדי להוסיף הרשאות אחרות.)
אפשרויות
-די <בספרייה>+
נותן שמות לכל ספריית AFS, או ספריית DFS או קובץ, שעבורם מגדירים את ה-ACL. חלקי
שמות הנתיבים מתפרשים ביחס לספריית העבודה הנוכחית.
ציין את נתיב הקריאה/כתיבה לכל ספרייה (או קובץ DFS), כדי למנוע את הכשל
נובע מניסיון לשנות אמצעי אחסון לקריאה בלבד. לפי מוסכמה, הקריאה/כתיבה
נתיב מסומן על ידי הצבת נקודה לפני שם התא במקום השני של שם הנתיב
רמה (לדוגמה, /afs/.abc.com). לדיון נוסף במושג של
נתיבי קריאה/כתיבה וקריאה בלבד דרך מרחב הקבצים, ראה את fs mkmount הפניה
עמוד.
-acl <גישה רשימה ערכים>+
מגדיר רשימה של ערך ACL אחד או יותר, כל אחד מהם זוג ששם:
· שם משתמש או שם קבוצה כפי שמופיע במאגר ההגנה.
· הרשאת ACL אחת או יותר, המצוינת על ידי שילוב האותיות הבודדות
או על ידי אחת מארבע מילות הקיצור המקובלות.
בסדר הזה, מופרדים ברווח (לכן לכל מופע של טיעון זה יש שניים
חלקים). קיצורי ה-AFS ומילות הקיצור המקובלות, והמשמעות של כל אחד מהם,
הם כדלקמן:
א (מנהל)
שנה את הערכים ב-ACL.
ד (מחק)
הסר קבצים וספריות משנה מהספרייה או העבר אותם לתיקיות אחרות
ספריות.
אני (הכנס)
הוסף קבצים או ספריות משנה לספרייה על ידי העתקה, העברה או יצירה.
k (נעול)
הגדר נעילות קריאה או נעילות כתיבה על הקבצים בספריה.
l (חיפוש)
רשום את הקבצים וספריות המשנה בספרייה, ציין את הספרייה עצמה ו
להנפיק את fs listacl הפקודה לבחינת ה-ACL של הספרייה.
r (קרא)
קרא את תוכן הקבצים בספריה; הפק את הפקודה "ls -l" כדי לציין את
אלמנטים בספרייה.
w (כתוב)
שנה את תוכן הקבצים בספריה והנפק את ה- UNIX chmod פקודה ל
לשנות את סיביות המצב שלהם.
A, B, C, D, E, F, G, H
אין משמעות ברירת מחדל לתהליכי שרת AFS, אך הם זמינים עבור
יישומים לשימוש בשליטה בגישה לתוכן הספרייה ב
דרכים נוספות. האותיות חייבות להיות רישיות.
הכל שווה לכל שבע ההרשאות ("rlidwka").
אף לא אחד
אין הרשאות. מסיר את המשתמש/הקבוצה מה-ACL, אך לא מבטיח להם
אין להם הרשאות אם הם שייכים לקבוצות שנשארות ב-ACL.
לקרוא
שווה להרשאות "r" (קריאה) ו-"l" (חיפוש).
לכתוב
שווה לכל ההרשאות מלבד "a" (מנהל), כלומר, "rlidwk".
מקובל לערבב ערכים המשלבים את האותיות הבודדות עם ערכים ש
השתמש במילים קצרות, אך אל תשתמש בשני סוגי התווים בתוך אדם
התאמה של משתמש או קבוצה והרשאות.
הענקת ההרשאות "l" (חיפוש) ו-"i" (הוספה) מבלי להעניק את ה-"w"
הרשאות (כתיבה) ו/או "r" (קריאה) הן מקרה מיוחד, ומעניקות זכויות
מתאים לספריות "דרופבוקס". עיין בסעיף DROPBOXES לפרטים.
אם מגדירים ACLs על שם נתיב במרחב הקבצים של DFS, עיין בתיעוד DFS עבור
פורמט מתאים וערכים מקובלים עבור ערכי DFS ACL.
-ברור
מסיר את כל הערכים הקיימים בכל ACL לפני הוספת הערכים שצוינו ב-
-acl ויכוח.
-שלילי
ממקם את ערכי ה-ACL שצוינו בקטע "זכויות שליליות" של כל ACL,
שלילת הזכויות מפורשות למשתמש או לקבוצה, גם אם ערכים ב-
הסעיף "זכויות רגילות" הנלווה ל-ACL מעניק להם הרשאות.
ארגומנט זה אינו נתמך עבור קבצי DFS או ספריות, כי DFS אינו נתמך
ליישם הרשאות ACL שליליות.
- ממקמת את ערכי ה-ACL ב-ACL של מיכל ראשוני של כל ספריית DFS, שהם
האובייקטים היחידים של מערכת הקבצים שעבורם הדגל הזה נתמך.
-אם ממקם את ערכי ה-ACL ב-ACL האובייקט הראשוני של כל ספריית DFS, שהם ה-
רק אובייקטים של מערכת קבצים שעבורם הדגל הזה נתמך.
עזרה
מדפיס את העזרה המקוונת עבור פקודה זו. מתעלמים מכל האפשרויות התקפות האחרות.
DROPBOXES
אם למשתמש ניגש יש הרשאות "l" (חיפוש) ו-"i" (הוספה) בספרייה, אבל
לא הרשאות "w" (כתיבה) ו/או "r" (קריאה), המשתמש מקבל באופן מרומז את
היכולת לכתוב ו/או לקרוא כל קובץ שהם יוצרים בספרייה הזו, עד שהם סוגרים את הקובץ
קוֹבֶץ. זאת כדי לאפשר לקיום ספריות בסגנון "דרופבוקס", בהן המשתמשים יכולים להפקיד
קבצים, אך אינם יכולים לשנות אותם מאוחר יותר וגם לא יכולים לשנות או לקרוא קבצים כלשהם שהופקדו ב-
ספרייה על ידי משתמשים אחרים.
שים לב, עם זאת, הפונקציונליות של Dropbox אינה מושלמת. לשרת הקבצים אין
ידע מתי קובץ נפתח או סגור בלקוח, וכך שרת הקבצים תמיד
מאפשר למשתמש ניגש לקרוא או לכתוב לקובץ בספריית "דרופבוקס" אם בבעלותו
הקובץ. בעוד שהלקוח מונע מהמשתמש לקרוא או לשנות את הפקדתם
קובץ מאוחר יותר, זה לא נאכף על שרת הקבצים, ולכן אין להסתמך עליו
בִּטָחוֹן.
בנוסף, אם הרשאות "דרופבוקס" מוענקות ל"system:anyuser", לא מאומת
משתמשים רשאים להפקיד קבצים בספרייה. אם משתמש לא מאומת מפקיד קובץ ב
הספרייה, הקובץ החדש יהיה בבעלות מזהה המשתמש הלא מאומת, וכך הוא
ניתן לשינוי על ידי כל אחד.
במאמץ לנסות ולצמצם פרסום בטעות של נתונים פרטיים, שרת הקבצים עשוי
לסרב לבקשות קריאה לקבצי "דרופבוקס" ממשתמשים לא מאומתים. כתוצאה,
הפקדת קבצים כמשתמש לא מאומת עלולה להיכשל באופן שרירותי אם "system:anyuser"
קיבלו הרשאות dropbox. למרות שזה אמור להיות נדיר, זה לא לגמרי
ניתן למנוע, ולכן מסיבה זו הסתמכות על משתמשים לא מאומתים כדי שיוכלו להפקיד
קבצים בדרופבוקס הוא לא מומלץ.
דוגמאות
הדוגמה הבאה מוסיפה שני ערכים לקטע "זכויות רגילות" של הנוכחי
ACL של ספריית העבודה: הערך הראשון מעניק הרשאות "r" (קריאה) ו-"l" (חיפוש) ל
הקבוצה pat:friends, בעוד שהשני (באמצעות הקיצור של "כתיבה") נותן את כל ההרשאות
למעט "a" (לנהל) למשתמש "smith".
% fs setacl -dir . -acl pat:חברים rl smith כותבים
% fs listacl -נתיב.
רשימת גישה עבור . הוא
זכויות רגילות:
pat:friends rl
smith rlidwk
הדוגמה הבאה כוללת את -ברור flag, אשר מסיר את ההרשאות הקיימות (כמו
מוצג עם ה fs listacl הפקודה) מספריית העבודה הנוכחית דיווחים
ספריית משנה ומחליפה אותם בסט חדש.
% fs listacl -dir דוחות
רשימת גישה לדוחות היא
זכויות רגילות:
system:authuser rl
pat:חברים rlid
smith rlidwk
פט רליוודקה
זכויות שליליות:
טרי rl
% fs setacl -clear -dir דוחות -acl pat all smith write system:anyuser rl
% fs listacl -dir דוחות
רשימת גישה לדוחות היא
זכויות רגילות:
system:anyuser rl
smith rlidwk
פט רליוודקה
הדוגמה הבאה משתמשת ב- -די ו -acl מתגים מכיוון שהוא מגדיר את ה-ACL ליותר מ
ספרייה אחת (גם ספריית העבודה הנוכחית וגם שלה ציבורי ספריית משנה).
% fs setacl -dir . public -acl pat:friends rli
% fs listacl -נתיב. פּוּמְבֵּי
רשימת גישה עבור . הוא
זכויות רגילות:
פט רליוודקה
pat:חברים רלי
רשימת גישה לציבור היא
זכויות רגילות:
פט רליוודקה
pat:חברים רלי
זְכוּת נדרש
על המנפיק להיות בעל הרשאת "a" (ניהול) ב-ACL של הספרייה, חבר ב
קבוצת system:administrators, או, כמקרה מיוחד, חייבת להיות הבעלים של ה-UID של העליון-
ספריית רמה של אמצעי האחסון המכילים ספרייה זו. ההוראה האחרונה מאפשרת את
UID בעלים של אמצעי אחסון לתיקון שגיאות ACL בשוגג ללא צורך בהתערבות של א
חבר במערכת:מנהלים.
גרסאות קודמות של OpenAFS הרחיבו גם הרשאת ניהול מרומזת לבעלים של
כל ספרייה. בגירסאות הנוכחיות של OpenAFS, רק הבעלים של הספרייה ברמה העליונה
מהכרך יש הרשאה מיוחדת זו.
השתמש ב-fs_setacl באינטרנט באמצעות שירותי onworks.net
