これは、Ubuntu Online、Fedora Online、Windows オンライン エミュレーター、MAC OS オンライン エミュレーターなど、複数の無料オンライン ワークステーションのいずれかを使用して、OnWorks 無料ホスティング プロバイダーで実行できるコマンド fs_setacl です。
プログラム:
NAME
fs_setacl - ディレクトリの ACL を設定する
SYNOPSIS
fs セタクル -dir <ディレクトリにジョブを開始します。>+ -acl <アクセス リスト エントリー>+
[-晴れ] [-ネガティブ] [id] [-もしも] [-助けて]
fs sa -d <ディレクトリにジョブを開始します。>+ -a <アクセス リスト エントリー>+
[-c] [-n] [id] [-もしも] [-h]
fs セット -d <ディレクトリにジョブを開始します。>+ -a <アクセス リスト エントリー>+
[-c] [-n] [id] [-もしも] [-h]
DESCRIPTION
fs セタクル コマンドで指定されたアクセス制御リスト (ACL) エントリを追加します。 -acl
によって指定された各ディレクトリの ACL への引数 -dir 引数。
Status -dir 引数は、DFS ファイルスペース (AFS/DFS 経由でアクセス) 内のパス名を指定します
Migration Toolkit Protocol Translator) の場合、ディレクトリだけでなくファイルでもかまいません。 ACL
ただし、「mask_obj」のエントリがすでに含まれている必要があります。
ユーザーとグループのエントリのみが、 -acl 口論。 置かない
ACL で直接マシン エントリ (IP アドレス)。 代わりに、マシン エントリをグループにします
メンバーにして、グループを ACL に配置します。
新しいエントリを追加する前に既存の ACL を完全に消去するには、 -晴れ
国旗。 指定したエントリを ACL の「否定的な権利」セクションに追加するには (deny
特定のユーザーまたはグループへの権限)、 -ネガティブ フラグ。
ACL を表示するには、fs listacl コマンドを使用します。 ACL をあるディレクトリから次のディレクトリにコピーするには
別の、 fs コピーACL
ご注意
ACL がすでに特定の権限をユーザーまたはグループに付与している場合、その権限は
で指定 fs セタクル コマンドは、既存の権限を置き換えるのではなく、
それらに追加されました。
通常、負の権限を設定することは不要であり、推奨されません。 単純に省略
ACL の「Normal rights」セクションのユーザーまたはグループは、通常は適切です。
アクセスを防ぎます。 特に、付与されたアクセス許可を拒否するのは無駄であることに注意してください
同じ ACL の system:anyuser グループのメンバー。 ユーザーは、
ログを削除します コマンドを実行して、拒否された権限を受け取ります。
を含める場合 -晴れ オプション、各ディレクトリの所有者のエントリを元に戻すようにしてください
これには、少なくとも "l" (ルックアップ) 権限が含まれます。 その許可がなければ、
"ドット" (".") と "ドット ドット" ("..") の短縮形を
ディレクトリ。 (ディレクトリの所有者は暗黙的に "a" (管理者) パーミッションを持っています。
クリアされた ACL でも、それを使用して他のアクセス許可を追加することを知っておく必要があります)。
OPTIONS
-dir <ディレクトリにジョブを開始します。>+
ACL が設定されている各 AFS ディレクトリー、または DFS ディレクトリーまたはファイルに名前を付けます。 部分的
パス名は、現在の作業ディレクトリを基準にして解釈されます。
失敗を回避するために、各ディレクトリ (または DFS ファイル) への読み取り/書き込みパスを指定します。
読み取り専用ボリュームを変更しようとした結果です。 慣例により、読み取り/書き込み
パスは、パス名の XNUMX 番目のセル名の前にピリオドを置くことで示されます。
レベル(たとえば、 /afs/.abc.com)。 の概念についてさらに詳しく説明するには、
ファイルスペースを介した読み取り/書き込みパスと読み取り専用パスについては、 fs mkmount 参照
ページで見やすくするために変数を解析したりすることができます。
-acl <アクセス リスト エントリー>+
XNUMX つまたは複数の ACL エントリのリストを定義します。それぞれのペアは次の名前を付けます。
· 保護データベースにリストされているユーザー名またはグループ名。
· 個々の文字を組み合わせて示す、XNUMX つまたは複数の ACL 権限
または、許容される XNUMX つの略語のいずれかによって。
この順序で、スペースで区切られます (したがって、この引数のすべてのインスタンスには XNUMX つの
部品)。 受け入れられている AFS の略語と略語、およびそれぞれの意味
以下の通り:
a (管理する)
ACL のエントリを変更します。
d(削除)
ディレクトリからファイルとサブディレクトリを削除するか、別の場所に移動します
ディレクトリ。
私(挿入)
コピー、移動、または作成して、ファイルまたはサブディレクトリをディレクトリに追加します。
k(ロック)
ディレクトリ内のファイルに読み取りロックまたは書き込みロックを設定します。
l (ルックアップ)
ディレクトリ内のファイルとサブディレクトリを一覧表示し、ディレクトリ自体を stat します。
を発行します fs リストタク ディレクトリの ACL を調べるコマンド。
r(読み取り)
ディレクトリ内のファイルの内容を読み取ります。 「ls -l」コマンドを発行して、
ディレクトリ内の要素。
w(書き込み)
ディレクトリ内のファイルの内容を変更し、UNIX を発行します。 chmod に命令する
モード ビットを変更します。
A、B、C、D、E、F、G、H
AFS サーバー プロセスにとってデフォルトの意味はありませんが、
ディレクトリの内容へのアクセスを制御するために使用するアプリケーション
追加の方法。 文字は大文字でなければなりません。
all XNUMX つのすべてのアクセス許可 ("rlidwka") と同じです。
なし
権限がありません。 ユーザー/グループを ACL から削除しますが、それを保証するものではありません
ACL に残っているグループに属している場合、権限はありません。
read
"r" (読み取り) および "l" (ルックアップ) のアクセス許可と同じです。
書きます
"a" (管理者) を除くすべてのアクセス許可、つまり "rlidwk" と同じです。
個々の文字を組み合わせたエントリーと、
省略形の単語を使用しますが、個人内で両方のタイプの表記法を使用しないでください
ユーザーまたはグループと権限の組み合わせ。
「w」を付与せずに「l」(検索)および「i」(挿入)権限を付与する
(書き込み) および/または "r" (読み取り) パーミッションは特殊なケースであり、権限を付与します
「ドロップボックス」ディレクトリに適しています。 詳細については、DROPBOXES セクションを参照してください。
DFS ファイルスペースのパス名に ACL を設定する場合は、DFS のドキュメントを参照してください。
DFS ACL エントリの適切な形式と許容値。
-晴れ
で指定されたエントリを追加する前に、各 ACL の既存のエントリをすべて削除します。
-acl 引数。
-ネガティブ
指定された ACL エントリを各 ACL の「負の権利」セクションに配置します。
ユーザーまたはグループに対する権限を明示的に拒否する。
付随する ACL の「通常の権利」セクションにより、アクセス許可が付与されます。
この引数は、DFS ファイルまたはディレクトリではサポートされていません。
負の ACL パーミッションを実装します。
id 各 DFS ディレクトリの初期コンテナ ACL に ACL エントリを配置します。
このフラグがサポートされている唯一のファイル システム オブジェクト。
-もしも 各 DFS ディレクトリの初期オブジェクト ACL に ACL エントリを配置します。
このフラグがサポートされているファイル システム オブジェクトのみ。
-助けて
このコマンドのオンラインヘルプを出力します。 他のすべての有効なオプションは無視されます。
ドロップボックス
アクセスしているユーザーがディレクトリに対する "l" (検索) および "i" (挿入) 権限を持っているが、
"w" (書き込み) や "r" (読み取り) パーミッションではなく、ユーザーには暗黙的に
ディレクトリを閉じるまで、そのディレクトリに作成したファイルを読み書きできます。
ファイル。 これは、ユーザーがデポジットできる「ドロップボックス」スタイルのディレクトリが存在できるようにするためです。
ただし、後でそれらを変更することはできません。
他のユーザーによるディレクトリ。
ただし、ドロップボックスの機能は完全ではないことに注意してください。 ファイルサーバーにはありません
クライアントでファイルが開かれたり閉じられたりしたときの知識、したがってファイルサーバーは常に
所有している場合、アクセスしているユーザーが「ドロップボックス」ディレクトリ内のファイルを読み書きできるようにします
ファイル。 クライアントは、ユーザーがデポジットされたものを読み取ったり変更したりできないようにします。
これはファイルサーバーでは強制されないため、信頼するべきではありません。
セキュリティ。
さらに、「dropbox」権限が「system:anyuser」に付与されている場合、認証されていない
ユーザーは、ディレクトリにファイルをデポジットできます。 認証されていないユーザーがファイルをデポジットした場合
新しいファイルは認証されていないユーザー ID によって所有されるため、
誰でも変更できる可能性があります。
誤って個人データを公開することを減らすために、ファイルサーバーは
認証されていないユーザーからの「ドロップボックス」ファイルの読み取り要求を拒否します。 結果として、
「system:anyuser」が
ドロップボックスのアクセス許可が付与されました。 これはまれなはずですが、完全ではありません
このため、認証されていないユーザーが入金できることに依存しています。
ドロップボックス内のファイルは NOT 推奨.
例
次の例では、現在の「通常の権利」セクションに XNUMX つのエントリを追加します。
作業ディレクトリの ACL: 最初のエントリは、"r" (読み取り) および "l" (検索) パーミッションを
グループ pat:friends は、他の (「書き込み」省略形を使用して) すべての許可を与えます。
ユーザー "smith" には "a" (管理者) を除きます。
% fs setacl -dir . -acl pat:friends rl smith 書き込み
% fs listacl -パス .
のアクセス リスト。 は
通常の権利:
パット:フレンズrl
スミス・リドク
次の例には、 -晴れ フラグ。既存の権限を削除します (
で表示 fs リストタク コマンド) 現在の作業ディレクトリから レポート
サブディレクトリを削除し、それらを新しいセットに置き換えます。
% fs listacl -dir レポート
レポートのアクセス リストは
通常の権利:
システム:authuser rl
パット:友達のリッド
スミス・リドク
パット・リドゥカ
否定的な権利:
テリー RL
% fs setacl -clear -dir reports -acl pat all smith write system:anyuser rl
% fs listacl -dir レポート
レポートのアクセス リストは
通常の権利:
システム:anyuser rl
スミス・リドク
パット・リドゥカ
次の例では、 -dir & -acl より多くの ACL を設定するため、切り替えます。
XNUMX つのディレクトリ (現在の作業ディレクトリとそのディレクトリの両方) 公共 サブディレクトリ)。
%fs setacl -dir 。 public -acl pat:friends rli
% fs listacl -パス . 公衆
のアクセス リスト。 は
通常の権利:
パット・リドゥカ
パット:フレンズrli
一般向けアクセスリストは
通常の権利:
パット・リドゥカ
パット:フレンズrli
特権 REQUIRED
発行者は、ディレクトリの ACL に対する「a」(管理者) 権限を持っている必要があります。
system:administrators グループ、または特別なケースとして、top-
このディレクトリを含むボリュームのレベル ディレクトリ。 最後の条項は、
ボリュームの UID 所有者は、ユーザーの介入を必要とせずに偶発的な ACL エラーを修復します。
system:administrators のメンバー。
OpenAFS の以前のバージョンでは、暗黙の管理パーミッションも
任意のディレクトリ。 OpenAFS の現在のバージョンでは、最上位ディレクトリの所有者のみ
のボリュームには、この特別な許可があります。
onworks.net サービスを使用してオンラインで fs_setacl を使用する
