Это команда fs_setacl, которую можно запустить в бесплатном хостинг-провайдере OnWorks, используя одну из наших многочисленных бесплатных онлайн-рабочих станций, таких как Ubuntu Online, Fedora Online, онлайн-эмулятор Windows или онлайн-эмулятор MAC OS.
ПРОГРАММА:
ИМЯ
fs_setacl - устанавливает ACL для каталога
СИНТАКСИС
fs Setacl -дир <каталог>+ -acl <доступ список Записи>+
[-Чисто] [-отрицательное] [-Я бы] [-если] [-Помощь]
fs sa -d <каталог>+ -a <доступ список Записи>+
[-c] [-n] [-Я бы] [-если] [-h]
fs комплект -d <каталог>+ -a <доступ список Записи>+
[-c] [-n] [-Я бы] [-если] [-h]
ОПИСАНИЕ
Ассоциация fs Setacl команда добавляет записи списка управления доступом (ACL), указанные с помощью -acl
аргумент ACL каждого каталога, названного -дир аргумент.
Если же линия индикатора -дир аргумент обозначает путь в файловом пространстве DFS (доступ через AFS / DFS
Переводчик протокола Migration Toolkit), это может быть как файл, так и каталог. ACL
однако должен уже включать запись для "mask_obj".
Только записи пользователей и групп являются допустимыми значениями для -acl аргумент. Не размещайте
машинные записи (IP-адреса) непосредственно в ACL; вместо этого сделайте запись машины группой
member и поместите группу в ACL.
Чтобы полностью стереть существующий ACL перед добавлением новых записей, предоставьте -Чисто
флаг. Чтобы добавить указанные записи в раздел «Отрицательные права» ACL (запретить
права указанным пользователям или группам), предоставьте -отрицательное флаг.
Чтобы отобразить ACL, используйте команду fs listacl. Чтобы скопировать ACL из одного каталога в
другой, используйте fs копирование команда.
ПРЕДОСТЕРЕЖЕНИЯ
Если ACL уже предоставляет определенные разрешения пользователю или группе, разрешения
указано с fs Setacl команда заменяет существующие разрешения, а не
добавил к ним.
Установка отрицательных разрешений обычно не требуется и не рекомендуется. Просто опуская
пользователь или группа из раздела "Обычные права" ACL обычно подходят для
предотвратить доступ. В частности, обратите внимание, что бесполезно отказывать в предоставленных разрешениях.
членам системы: любая группа пользователей в одном ACL; пользователю нужно только выдать
отменить журнал команда для получения запрещенных разрешений.
При включении -Чисто вариант, обязательно восстановите запись для каждого владельца каталога
который включает, по крайней мере, разрешение «l» (поиск). Без этого разрешения это
невозможно разрешить сокращение "точка" (".") и "точка точка" ("..") изнутри
каталог. (Владелец каталога неявно имеет разрешение "a" (администрирование)
даже в очищенном ACL, но должны знать, чтобы использовать его для добавления других разрешений.)
ДОПОЛНИТЕЛЬНЫЕ УСЛУГИ, НЕ ВКЛЮЧЕННЫЕ В ПАКЕТ
-дир <каталог>+
Называет каждый каталог AFS, каталог или файл DFS, для которых задан ACL. Частичное
пути интерпретируются относительно текущего рабочего каталога.
Укажите путь чтения / записи к каждому каталогу (или файлу DFS), чтобы избежать сбоя, который
является результатом попытки изменить том, доступный только для чтения. По соглашению, чтение / запись
Путь указывается путем помещения точки перед именем ячейки во втором имени пути.
уровень (например, /afs/.abc.com). Для дальнейшего обсуждения концепции
пути для чтения / записи и только для чтения в файловом пространстве, см. fs мкмаунт ссылка
стр.
-acl <доступ список Записи>+
Определяет список из одной или нескольких записей ACL, каждая пара именуется:
· Имя пользователя или имя группы, как указано в базе данных защиты.
· Одно или несколько разрешений ACL, обозначенных комбинацией отдельных букв
или одним из четырех приемлемых сокращенных слов.
в этом порядке, разделенные пробелом (таким образом, каждый экземпляр этого аргумента имеет два
части). Принятые сокращения и сокращенные слова AFS, а также их значение,
заключаются в следующем:
а (управлять)
Измените записи в ACL.
d (удалить)
Удалите файлы и подкаталоги из каталога или переместите их в другой
каталоги.
я (вставить)
Добавьте файлы или подкаталоги в каталог путем копирования, перемещения или создания.
k (замок)
Установите блокировку чтения или записи для файлов в каталоге.
л (поиск)
Перечислите файлы и подкаталоги в каталоге, укажите сам каталог и
выдать fs Listacl команда для проверки ACL каталога.
г (читать)
Прочитать содержимое файлов в каталоге; введите команду "ls -l", чтобы установить
элементы в каталоге.
w (написать)
Измените содержимое файлов в каталоге и запустите UNIX CHMOD командовать
изменить свои биты режима.
А, Б, В, Г, Е, Ж, З, Ч
Не имеют значения по умолчанию для серверных процессов AFS, но доступны для
приложения, используемые для управления доступом к содержимому каталога в
дополнительные способы. Буквы должны быть заглавными.
all Равно всем семи разрешениям ("rlidwka").
никто
Нет разрешений. Удаляет пользователя / группу из ACL, но не гарантирует, что они
не имеют разрешений, если они принадлежат к группам, остающимся в ACL.
читать
Равно разрешениям «r» (чтение) и «l» (поиск).
записывать
Равно всем разрешениям, кроме «a» (администрирование), то есть «rlidwk».
Допускается смешивать записи, которые объединяют отдельные буквы, с записями, которые
использовать сокращенные слова, но не использовать оба типа записи в пределах одного человека
объединение пользователя или группы и разрешений.
Предоставление разрешений "l" (поиск) и "i" (вставка) без предоставления "w"
(запись) и / или "r" (чтение) - это особый случай, предоставляющий права
подходит для каталогов Dropbox. См. Подробности в разделе DROPBOXES.
При настройке списков управления доступом для имени пути в файловом пространстве DFS см. Документацию DFS для
правильный формат и допустимые значения для записей ACL DFS.
-Чисто
Удаляет все существующие записи в каждом ACL перед добавлением записей, указанных с помощью
-acl аргумент.
-отрицательное
Помещает указанные записи ACL в раздел «Отрицательные права» каждого ACL,
явный отказ в правах пользователю или группе, даже если записи на
сопровождающий раздел «Обычные права» ACL предоставляет им разрешения.
Этот аргумент не поддерживается для файлов или каталогов DFS, потому что DFS не поддерживает
реализовать отрицательные разрешения ACL.
-Я бы Помещает записи ACL в исходный ACL контейнера каждого каталога DFS, которые
единственные объекты файловой системы, для которых поддерживается этот флаг.
-если Помещает записи ACL в исходный объектный ACL каждого каталога DFS, которые являются
только объекты файловой системы, для которых поддерживается этот флаг.
-Помощь
Печатает интерактивную справку по этой команде. Все остальные допустимые параметры игнорируются.
БЛОКИРОВКИ
Если выполняющий доступ пользователь имеет права «l» (поиск) и «i» (вставка) в каталоге, но
не права «w» (запись) и / или «r» (чтение), пользователю неявно предоставляется
возможность писать и / или читать любой файл, который они создают в этом каталоге, пока они не закроют
файл. Это сделано для того, чтобы позволить существовать каталогам в стиле "dropbox", куда пользователи могут вносить
файлы, но не могут изменять их позже, а также не могут изменять или читать какие-либо файлы, хранящиеся в
каталог других пользователей.
Однако обратите внимание, что функциональность Dropbox не идеальна. На файловом сервере нет
знание того, когда файл открывается или закрывается на клиенте, и поэтому файловый сервер всегда
позволяет доступному пользователю читать или писать в файл в каталоге "dropbox", если они владеют
файл. В то время как клиент запрещает пользователю читать или изменять свои депонированные
файл позже, это не применяется на файловом сервере, и поэтому не следует полагаться на
безопасность.
Кроме того, если разрешения "dropbox" предоставлены пользователю "system: anyuser", неавторизованный
пользователи могут размещать файлы в каталоге. Если неаутентифицированный пользователь помещает файл в
каталог, новый файл будет принадлежать неаутентифицированному идентификатору пользователя и, таким образом,
потенциально может быть изменен кем угодно.
Чтобы уменьшить вероятность случайного раскрытия личных данных, файловый сервер может
отклонять запросы на чтение файлов Dropbox от неаутентифицированных пользователей. Как результат,
размещение файлов от имени неаутентифицированного пользователя может произвольно завершиться неудачей, если "system: anyuser" имеет
были предоставлены разрешения Dropbox. Хотя это должно быть редкостью, это не полностью
можно предотвратить, и по этой причине полагаться на неаутентифицированных пользователей, чтобы иметь возможность вносить
файлы в Dropbox НЕ Рекомендуемые.
ПРИМЕРЫ
В следующем примере добавляются две записи в раздел «Обычные права» текущего
ACL рабочего каталога: первая запись предоставляет разрешения "r" (чтение) и "l" (поиск) для
группа pat: friends, а другая (с использованием сокращения "запись") дает все разрешения
кроме «а» (администрировать) пользователю «кузнец».
% fs setacl -dir. -acl pat: друзья rl smith написать
% fs listacl -path.
Список доступа для. является
Нормальные права:
пэт: друзья рл
Смит Ридвк
Следующий пример включает -Чисто флаг, который удаляет существующие разрешения (как
отображается с fs Listacl команда) из текущего рабочего каталога отчеты
подкаталог и заменяет их новым набором.
% fs listacl -dir отчеты
Список доступа для отчетов
Нормальные права:
система: authuser rl
pat: друзья rlid
Смит Ридвк
Пэт Ридвка
Отрицательные права:
Терри Р.Л.
% fs setacl -clear -dir reports -acl pat all smith write system: anyuser rl
% fs listacl -dir отчеты
Список доступа для отчетов
Нормальные права:
система: anyuser rl
Смит Ридвк
Пэт Ридвка
В следующем примере используется -дир и -acl переключает, потому что он устанавливает ACL для более чем
один каталог (как текущий рабочий каталог, так и его что такое варган? подкаталог).
% fs setacl -dir. public -acl pat: друзья rli
% fs listacl -path. общественный
Список доступа для. является
Нормальные права:
Пэт Ридвка
пэт: друзья рли
Список доступа для публики
Нормальные права:
Пэт Ридвка
пэт: друзья рли
ПРИВИЛЕГИЯ ТРЕБУЕТСЯ
Издатель должен иметь разрешение «a» (администрирование) в ACL каталога, член
группа system: administrators или, в особом случае, должна быть владельцем UID верхнего
каталог уровня тома, содержащего этот каталог. Последнее положение позволяет
Владелец UID тома для исправления случайных ошибок ACL без вмешательства со стороны
член системы: администраторы.
Более ранние версии OpenAFS также расширяли неявные административные права для владельца
любой каталог. В текущих версиях OpenAFS только владелец каталога верхнего уровня
тома имеет это специальное разрешение.
Используйте fs_setacl онлайн с помощью сервисов onworks.net
