Jest to polecenie fs_setacl, które można uruchomić u dostawcy bezpłatnego hostingu OnWorks przy użyciu jednej z naszych wielu bezpłatnych stacji roboczych online, takich jak Ubuntu Online, Fedora Online, emulator online systemu Windows lub emulator online systemu MAC OS
PROGRAM:
IMIĘ
fs_setacl — Ustawia listę ACL dla katalogu
STRESZCZENIE
fs ustaw -reż <katalog>+ -akl <dostęp podstęp wpisy>+
[-jasny] [-negatywny] [-ID] [-Jeśli] [-Pomoc]
fs sa -d <katalog>+ -a <dostęp podstęp wpisy>+
[-c] [-n] [-ID] [-Jeśli] [-h]
fs zestaw -d <katalog>+ -a <dostęp podstęp wpisy>+
[-c] [-n] [-ID] [-Jeśli] [-h]
OPIS
Połączenia fs ustaw polecenie dodaje wpisy listy kontroli dostępu (ACL) określone za pomocą -akl
argument do listy ACL każdego katalogu nazwanego przez -reż argumenty.
Jeśli -reż argument wyznacza ścieżkę w przestrzeni plików DFS (dostępnej poprzez plik AFS/DFS
Migration Toolkit Protocol Translator), może to być zarówno plik, jak i katalog. Lista ACL
musi jednak zawierać już wpis „mask_obj”.
Dopuszczalne wartości dla -akl argument. Nie umieszczaj
wpisy maszynowe (adresy IP) bezpośrednio na liście ACL; zamiast tego utwórz wpis komputera jako grupę
członka i umieść grupę na liście ACL.
Aby całkowicie usunąć istniejącą listę ACL przed dodaniem nowych wpisów, podaj -jasny
flaga. Aby dodać określone wpisy do sekcji „Uprawnienia negatywne” listy ACL (deny
uprawnienia określonym użytkownikom lub grupom), należy podać -negatywny flag.
Aby wyświetlić listę ACL, użyj komendy fs listacl. Aby skopiować listę ACL z jednego katalogu do
inny, użyj fs kopiować dowództwo.
UWAGI
Jeśli lista ACL już przyznaje określone uprawnienia użytkownikowi lub grupie, uprawnienia
określone z fs ustaw polecenie zastąp istniejące uprawnienia, zamiast być
dodane do nich.
Ustawianie uprawnień ujemnych jest generalnie niepotrzebne i niezalecane. Po prostu pomijanie
użytkownik lub grupa z sekcji „Normalne prawa” listy ACL jest zwykle wystarczająca
uniemożliwić dostęp. W szczególności należy pamiętać, że odmawianie przyznanych uprawnień jest daremne
do członków systemu: dowolna grupa użytkowników na tej samej liście ACL; użytkownik musi jedynie wydać
wyloguj się polecenie otrzymania odmownych uprawnień.
Uwzględniając -jasny opcję, pamiętaj o przywróceniu wpisu dla każdego właściciela katalogu
które obejmuje co najmniej uprawnienie „l” (wyszukiwanie). Bez tego pozwolenia tak
niemożliwe jest rozwiązanie skrótu „kropka” („kropka”) i „kropka kropka” („.””) z poziomu pliku
informator. (Właściciel katalogu domyślnie ma uprawnienia „a” (administrowanie).
nawet na wyczyszczonej liście ACL, ale musisz wiedzieć, jak jej używać do dodawania innych uprawnień.)
OPCJE
-reż <katalog>+
Nazywa każdy katalog AFS, katalog lub plik DFS, dla którego ustawiona jest lista ACL. Częściowy
nazwy ścieżek są interpretowane w odniesieniu do bieżącego katalogu roboczego.
Określ ścieżkę odczytu/zapisu do każdego katalogu (lub pliku DFS), aby uniknąć awarii
wynika z próby zmiany woluminu tylko do odczytu. Zgodnie z konwencją odczyt/zapis
ścieżka jest wskazywana przez umieszczenie kropki przed nazwą komórki w drugiej części nazwy ścieżki
poziom (np. /afs/.abc.com). W celu dalszego omówienia koncepcji
ścieżki do odczytu/zapisu i ścieżki tylko do odczytu w przestrzeni plików, zobacz fs mkmount odniesienie
strona.
-akl <dostęp podstęp wpisy>+
Definiuje listę jednego lub więcej wpisów ACL, każdy będący parą zawierającą nazwy:
· Nazwa użytkownika lub nazwa grupy wymieniona w bazie danych ochrony.
· Jedno lub więcej uprawnień ACL, oznaczonych poprzez połączenie poszczególnych liter
lub jednym z czterech akceptowalnych słów skrótowych.
w tej kolejności, oddzielone spacją (zatem każde wystąpienie tego argumentu ma dwa
Części). Akceptowane skróty i słowa stenograficzne AFS oraz znaczenie każdego z nich,
są następujące:
a (zarządzać)
Zmień wpisy na liście ACL.
d (usuń)
Usuń pliki i podkatalogi z katalogu lub przenieś je do innego
katalogi.
ja (wstaw)
Dodaj pliki lub podkatalogi do katalogu, kopiując, przenosząc lub tworząc.
k (zamek)
Ustaw blokady odczytu lub zapisu na plikach w katalogu.
l (wyszukiwanie)
Wyświetl listę plików i podkatalogów w katalogu, określ sam katalog i
wydać fs listakl polecenie sprawdzenia listy ACL katalogu.
r (czytaj)
Przeczytaj zawartość plików w katalogu; wydaj polecenie „ls -l”, aby stat
elementy w katalogu.
w (pisz)
Zmodyfikuj zawartość plików w katalogu i wydaj plik UNIX chmod polecenie do
zmienić ich bity trybu.
A, B, C, D, E, F, G, H
Nie mają domyślnego znaczenia dla procesów serwera AFS, ale są udostępniane dla
aplikacje służące do kontrolowania dostępu do zawartości katalogu w
dodatkowe sposoby. Litery muszą być duże.
all Równa się wszystkim siedmiu uprawnieniom („rlidwka”).
Żaden
Brak uprawnień. Usuwa użytkownika/grupę z listy ACL, ale ich nie gwarantuje
nie mają żadnych uprawnień, jeśli należą do grup pozostających na liście ACL.
czytać
Równa się uprawnieniom „r” (odczyt) i „l” (wyszukiwanie).
napisać
Równa się wszystkim uprawnieniom z wyjątkiem „a” (administrowanie), czyli „rlidwk”.
Dopuszczalne jest mieszanie wpisów łączących poszczególne litery z wpisami, które
używaj słów skróconych, ale nie używaj obu typów notacji w obrębie jednej osoby
parowanie użytkownika lub grupy i uprawnień.
Przyznawanie uprawnień „l” (wyszukiwanie) i „i” (wstawianie) bez przyznawania „w”
Uprawnienia (zapis) i/lub „r” (odczyt) to przypadek specjalny i przyznają prawa
odpowiednie dla katalogów „dropbox”. Szczegóły znajdziesz w dziale DROPBOXES.
Jeśli ustawiasz listy ACL dla ścieżki w obszarze plików DFS, zapoznaj się z dokumentacją DFS dotyczącą
właściwy format i dopuszczalne wartości wpisów ACL DFS.
-jasny
Usuwa wszystkie istniejące wpisy na każdej liście ACL przed dodaniem wpisów określonych za pomocą opcji
-akl argumenty.
-negatywny
Umieszcza określone wpisy ACL w sekcji „Uprawnienia negatywne” każdej listy ACL,
wyraźne odmówienie praw użytkownikowi lub grupie, nawet jeśli wpisy na
towarzysząca sekcja „Normalne prawa” listy ACL przyznaje im uprawnienia.
Ten argument nie jest obsługiwany w przypadku plików lub katalogów DFS, ponieważ system DFS tego nie robi
zaimplementuj negatywne uprawnienia ACL.
-ID Umieszcza wpisy ACL na początkowej liście ACL kontenera każdego katalogu DFS, tj
jedyne obiekty systemu plików, dla których obsługiwana jest ta flaga.
-Jeśli Umieszcza wpisy ACL na liście ACL obiektu początkowego każdego katalogu DFS, którymi są:
tylko obiekty systemu plików, dla których obsługiwana jest ta flaga.
-Pomoc
Wyświetla pomoc online dla tego polecenia. Wszystkie inne prawidłowe opcje są ignorowane.
DROPBOXY
Jeśli użytkownik uzyskujący dostęp ma uprawnienia „l” (wyszukiwanie) i „i” (wstawianie) do katalogu, ale
a nie uprawnienia „w” (zapis) i/lub „r” (odczyt), użytkownik domyślnie otrzymuje uprawnienia
możliwość zapisu i/lub odczytu dowolnego pliku utworzonego w tym katalogu, dopóki nie zamkną pliku
plik. Ma to na celu umożliwienie istnienia katalogów w stylu „dropbox”, w których użytkownicy mogą dokonywać wpłat
plików, ale nie mogą ich później modyfikować ani modyfikować ani czytać żadnych plików zdeponowanych w
katalogu przez innych użytkowników.
Należy jednak pamiętać, że funkcjonalność skrzynki referencyjnej nie jest doskonała. Serwer plików nie ma
wiedza o tym, kiedy plik jest otwierany lub zamykany na kliencie, a więc serwer plików zawsze
umożliwia użytkownikowi uzyskującemu dostęp odczytanie lub zapisanie pliku w katalogu „dropbox”, jeśli jest jego właścicielem
plik. Podczas gdy klient uniemożliwia użytkownikowi czytanie lub modyfikowanie ich zdeponowanych
plik później, nie jest to wymuszane na serwerze plików, dlatego nie należy na nim polegać
bezpieczeństwo.
Dodatkowo, jeśli uprawnienia „dropbox” zostaną przyznane „system:anyuser”, nieuwierzytelnione
użytkownicy mogą zdeponować pliki w katalogu. Jeśli nieuwierzytelniony użytkownik zdeponuje plik w
katalogu, nowy plik będzie własnością nieuwierzytelnionego identyfikatora użytkownika, a zatem jest
potencjalnie modyfikowalne przez kogokolwiek.
Aby zapobiec przypadkowemu upublicznieniu prywatnych danych, serwer plików może
odrzucaj prośby o odczyt plików „dropbox” od nieuwierzytelnionych użytkowników. W rezultacie,
deponowanie plików jako nieuwierzytelniony użytkownik może arbitralnie zakończyć się niepowodzeniem, jeśli „system:anyuser” tak się stało
przyznano uprawnienia Dropbox. Chociaż powinno to być rzadkie, nie jest całkowicie
można zapobiec i dlatego poleganie na nieuwierzytelnionych użytkownikach w celu umożliwienia dokonywania wpłat
pliki w skrzynce referencyjnej NIE POLECAMY.
PRZYKŁADY
Poniższy przykład dodaje dwa wpisy do sekcji „Normalne prawa” bieżącego pliku
lista ACL katalogu roboczego: pierwszy wpis przyznaje uprawnienia „r” (odczyt) i „l” (wyszukiwanie)
grupa pat:friends, podczas gdy druga (używając skrótu „zapis”) przyznaje wszystkie uprawnienia
z wyjątkiem „a” (administrowania) użytkownikowi „kowal”.
% fs setacl -dir . -acl pat: przyjaciele rl smith piszą
% fs listacl -ścieżka .
Lista dostępu dla . Jest
Normalne prawa:
pat: przyjaciele rl
Smith Rlidwk
Poniższy przykład zawiera -jasny flaga, która usuwa istniejące uprawnienia (jak
wyświetlane z fs listakl polecenie) z bieżącego katalogu roboczego Raporty
podkatalogu i zastępuje je nowym zestawem.
% fs listacl -dir raporty
Lista dostępu do raportów to
Normalne prawa:
system:autor rl
pat: przyjaciele rlid
Smith Rlidwk
pat rlidwka
Prawa negatywne:
terry rl
% fs setacl -clear -dir raporty -acl pat all smith write system:anyuser rl
% fs listacl -dir raporty
Lista dostępu do raportów to
Normalne prawa:
system: anyuser rl
Smith Rlidwk
pat rlidwka
W poniższym przykładzie zastosowano -reż i -akl przełącza, ponieważ ustawia listę ACL na więcej niż
jeden katalog (zarówno bieżący katalog roboczy, jak i jego publiczny podkatalogu).
% fs setacl -dir . public -acl pat:znajomi rli
% fs listacl -ścieżka . publiczny
Lista dostępu dla . Jest
Normalne prawa:
pat rlidwka
pat: przyjaciele rli
Lista dostępu dla publiczności to
Normalne prawa:
pat rlidwka
pat: przyjaciele rli
PRZYWILEJ WYMAGANE
Wystawca musi mieć uprawnienia „a” (administrowanie) na liście ACL katalogu i być członkiem
grupę system:administrators lub, w szczególnym przypadku, musi być właścicielem UID najwyższego
katalog poziomu woluminu zawierającego ten katalog. Ostatni przepis pozwala na
Właściciel UID woluminu w celu naprawy przypadkowych błędów listy ACL bez konieczności interwencji a
członek systemu:administratorzy.
Wcześniejsze wersje OpenAFS rozszerzyły również ukryte uprawnienia administratora na właściciela
dowolny katalog. W aktualnych wersjach OpenAFS tylko właściciel katalogu najwyższego poziomu
woluminu ma to specjalne pozwolenie.
Użyj fs_setacl online, korzystając z usług onworks.net
