นี่คือคำสั่ง fs_setacl ที่สามารถเรียกใช้ในผู้ให้บริการโฮสต์ฟรีของ OnWorks โดยใช้เวิร์กสเตชันออนไลน์ฟรีของเรา เช่น Ubuntu Online, Fedora Online, โปรแกรมจำลองออนไลน์ของ Windows หรือโปรแกรมจำลองออนไลน์ของ MAC OS
โครงการ:
ชื่อ
fs_setacl - ตั้งค่า ACL สำหรับไดเร็กทอรี
เรื่องย่อ
fs เซตาคล -ผบ <ไดเรกทอรี>+ -เอซีแอล <เข้า รายการ รายการ>+
[-ชัดเจน] [-เชิงลบ] [-NS] [-ถ้า] [-ช่วยด้วย]
fs sa -d <ไดเรกทอรี>+ -a <เข้า รายการ รายการ>+
[-c] [-n] [-NS] [-ถ้า] [-h]
fs ชุด -d <ไดเรกทอรี>+ -a <เข้า รายการ รายการ>+
[-c] [-n] [-NS] [-ถ้า] [-h]
DESCRIPTION
พื้นที่ fs เซตาคล คำสั่งเพิ่มรายการควบคุมการเข้าถึง (ACL) รายการที่ระบุด้วย -เอซีแอล
อาร์กิวเมนต์ไปยัง ACL ของแต่ละไดเร็กทอรีที่ตั้งชื่อโดย -ผบ ข้อโต้แย้ง.
ถ้า -ผบ อาร์กิวเมนต์กำหนดชื่อพาธในพื้นที่ไฟล์ DFS (เข้าถึงได้ผ่าน AFS/DFS
Migration Toolkit Protocol Translator) ก็สามารถเป็นได้ทั้งไฟล์และไดเร็กทอรี ACL
ต้องมีรายการสำหรับ "mask_obj" อยู่แล้ว
เฉพาะรายการผู้ใช้และกลุ่มเท่านั้นที่เป็นค่าที่ยอมรับได้สำหรับ -เอซีแอล การโต้แย้ง. ห้ามวาง
รายการเครื่อง (ที่อยู่ IP) โดยตรงบน ACL; ให้เข้าเครื่องเป็น group . แทน
สมาชิกและวางกลุ่มบน ACL
หากต้องการลบ ACL ที่มีอยู่ทั้งหมดก่อนที่จะเพิ่มรายการใหม่ ให้ระบุ -ชัดเจน
ธง. ในการเพิ่มรายการที่ระบุในส่วน "สิทธิ์เชิงลบ" ของ ACL (deny
สิทธิ์แก่ผู้ใช้หรือกลุ่มที่ระบุ) ให้ -เชิงลบ ธง.
หากต้องการแสดง ACL ให้ใช้คำสั่ง fs listacl ในการคัดลอก ACL จากไดเร็กทอรีหนึ่งไปยัง
อื่น ใช้ fs คัดลอก คำสั่ง
ข้อควรระวัง
หาก ACL ให้สิทธิ์บางอย่างแก่ผู้ใช้หรือกลุ่มแล้ว สิทธิ์
ระบุด้วย fs เซตาคล คำสั่งแทนที่การอนุญาตที่มีอยู่ แทนที่จะเป็น
เพิ่มให้กับพวกเขา
โดยทั่วไปแล้วการตั้งค่าการอนุญาตเชิงลบนั้นไม่จำเป็นและไม่แนะนำ เพียงแค่ละเว้น
ผู้ใช้หรือกลุ่มจากส่วน "สิทธิ์ปกติ" ของ ACL มักจะเพียงพอต่อ
ป้องกันการเข้าถึง โดยเฉพาะอย่างยิ่ง โปรดทราบว่าการปฏิเสธการอนุญาตที่ได้รับนั้นไร้ประโยชน์
ถึงสมาชิกของระบบ: กลุ่มผู้ใช้ใด ๆ ใน ACL เดียวกัน ผู้ใช้ต้องการเพียงออก
ยกเลิกการล็อก คำสั่งเพื่อรับการอนุญาตที่ถูกปฏิเสธ
เมื่อรวม -ชัดเจน ตรวจสอบให้แน่ใจว่าได้คืนสถานะรายการสำหรับเจ้าของแต่ละไดเร็กทอรี
ที่มีการอนุญาต "l" (ค้นหา) เป็นอย่างน้อย โดยไม่ได้รับอนุญาตนั้นก็คือ
เป็นไปไม่ได้ที่จะแก้ไขชวเลข "dot" ("") และ "dot dot" ("..") จากภายใน
ไดเร็กทอรี (เจ้าของไดเร็กทอรีมีสิทธิ์ "a" (ดูแลระบบ) โดยปริยาย
แม้ใน ACL ที่เคลียร์แล้ว แต่ต้องรู้เพื่อใช้เพื่อเพิ่มการอนุญาตอื่นๆ)
OPTIONS
-ผบ <ไดเรกทอรี>+
ตั้งชื่อไดเร็กทอรี AFS หรือไดเร็กทอรีหรือไฟล์ DFS ที่ตั้งค่า ACL บางส่วน
ชื่อพาธจะถูกตีความโดยสัมพันธ์กับไดเร็กทอรีการทำงานปัจจุบัน
ระบุเส้นทางการอ่าน/เขียนไปยังแต่ละไดเร็กทอรี (หรือไฟล์ DFS) เพื่อหลีกเลี่ยงความล้มเหลวนั้น
ผลลัพธ์จากการพยายามเปลี่ยนโวลุ่มแบบอ่านอย่างเดียว ตามธรรมเนียม การอ่าน/เขียน
เส้นทางถูกระบุโดยการวางจุดก่อนชื่อเซลล์ที่ชื่อเส้นทางที่สอง
ระดับ (เช่น /afs/.abc.com). สำหรับการอภิปรายเพิ่มเติมเกี่ยวกับแนวคิดของ
อ่าน/เขียนและอ่านอย่างเดียวผ่านพื้นที่ไฟล์ ดูที่ fs mkmount การอ้างอิง
หน้า.
-เอซีแอล <เข้า รายการ รายการ>+
กำหนดรายการของรายการ ACL หนึ่งรายการขึ้นไป โดยแต่ละคู่มีชื่อ:
· ชื่อผู้ใช้หรือชื่อกลุ่มตามที่ระบุไว้ในฐานข้อมูลการป้องกัน
· สิทธิ์ ACL หนึ่งสิทธิ์ขึ้นไป โดยระบุด้วยการรวมตัวอักษรแต่ละตัวเข้าด้วยกัน
หรือโดยหนึ่งในสี่คำชวเลขที่ยอมรับได้
ตามลำดับนั้น คั่นด้วยช่องว่าง (ดังนั้น ทุกกรณีของอาร์กิวเมนต์นี้มี XNUMX
ชิ้นส่วน) ตัวย่อ AFS ที่ยอมรับและคำชวเลข และความหมายของแต่ละคำ
มีรายละเอียดดังนี้:
ก (บริหาร)
เปลี่ยนรายการใน ACL
ง (ลบ)
ลบไฟล์และไดเร็กทอรีย่อยออกจากไดเร็กทอรีหรือย้ายไปที่อื่น
ไดเรกทอรี
ฉัน (แทรก)
เพิ่มไฟล์หรือไดเร็กทอรีย่อยไปยังไดเร็กทอรีโดยการคัดลอก ย้าย หรือสร้าง
k (ล็อค)
ตั้งค่าล็อกการอ่านหรือล็อกการเขียนในไฟล์ในไดเร็กทอรี
ล. (ค้นหา)
แสดงรายการไฟล์และไดเร็กทอรีย่อยในไดเร็กทอรี ระบุไดเร็กทอรีเอง และ
ออก fs รายการ คำสั่งตรวจสอบ ACL ของไดเร็กทอรี
ร (อ่าน)
อ่านเนื้อหาของไฟล์ในไดเร็กทอรี ออกคำสั่ง "ls -l" เพื่อระบุ
องค์ประกอบในไดเร็กทอรี
w (เขียน)
แก้ไขเนื้อหาของไฟล์ในไดเร็กทอรี และออก UNIX chmod คำสั่งถึง
เปลี่ยนบิตโหมดของพวกเขา
A, B, C, D, E, F, G, H
ไม่มีความหมายเริ่มต้นกับกระบวนการของเซิร์ฟเวอร์ AFS แต่มีให้สำหรับ
แอปพลิเคชั่นที่จะใช้ในการควบคุมการเข้าถึงเนื้อหาของไดเร็กทอรีใน
วิธีเพิ่มเติม ตัวอักษรต้องเป็นตัวพิมพ์ใหญ่
all เท่ากับทั้งเจ็ดสิทธิ์ ("rlidwka")
ไม่มี
ไม่มีสิทธิ์ ลบผู้ใช้/กลุ่มออกจาก ACL แต่ไม่รับประกันว่าพวกเขา
ไม่มีสิทธิ์หากอยู่ในกลุ่มที่ยังคงอยู่ใน ACL
อ่าน
เท่ากับสิทธิ์ "r" (อ่าน) และ "l" (ค้นหา)
เขียน
เท่ากับสิทธิ์ทั้งหมดยกเว้น "a" (ดูแลระบบ) นั่นคือ "rlidwk"
เป็นที่ยอมรับในการผสมรายการที่รวมตัวอักษรแต่ละตัวกับรายการที่
ใช้คำชวเลข แต่ห้ามใช้สัญกรณ์ทั้งสองประเภทภายในตัวบุคคล
การจับคู่ผู้ใช้หรือกลุ่มและการอนุญาต
ให้สิทธิ์ "l" (ค้นหา) และ "i" (แทรก) โดยไม่ต้องให้ "w"
(เขียน) และ/หรือ "r" (อ่าน) สิทธิ์เป็นกรณีพิเศษและให้สิทธิ์
เหมาะสมสำหรับไดเร็กทอรี "ดรอปบ็อกซ์" ดูส่วน DROPBOXES สำหรับรายละเอียด
หากตั้งค่า ACLs บนชื่อพาธในพื้นที่ไฟล์ DFS โปรดดูเอกสารประกอบของ DFS สำหรับ
รูปแบบที่เหมาะสมและค่าที่ยอมรับได้สำหรับรายการ DFS ACL
-ชัดเจน
ลบรายการที่มีอยู่ทั้งหมดในแต่ละ ACL ก่อนเพิ่มรายการที่ระบุด้วย
-เอซีแอล ข้อโต้แย้ง.
-เชิงลบ
วางรายการ ACL ที่ระบุในส่วน "สิทธิ์เชิงลบ" ของแต่ละ ACL
ปฏิเสธสิทธิ์ของผู้ใช้หรือกลุ่มอย่างชัดแจ้ง แม้ว่ารายการบน
ที่มาพร้อมกับส่วน "สิทธิ์ปกติ" ของ ACL ให้สิทธิ์แก่พวกเขา
อาร์กิวเมนต์นี้ไม่รองรับไฟล์หรือไดเร็กทอรี DFS เนื่องจาก DFS ไม่รองรับ
ใช้สิทธิ์ ACL เชิงลบ
-NS วางรายการ ACL บน Initial Container ACL ของแต่ละไดเร็กทอรี DFS ซึ่งก็คือ
อ็อบเจ็กต์ระบบไฟล์เดียวที่รองรับแฟล็กนี้
-ถ้า วางรายการ ACL บน Initial Object ACL ของแต่ละไดเร็กทอรี DFS ซึ่งก็คือ
เฉพาะอ็อบเจ็กต์ระบบไฟล์ที่รองรับแฟล็กนี้
-ช่วยด้วย
พิมพ์วิธีใช้ออนไลน์สำหรับคำสั่งนี้ ตัวเลือกที่ถูกต้องอื่นๆ ทั้งหมดจะถูกละเว้น
ดรอปบ็อกซ์
หากผู้ใช้ที่เข้าถึงมีสิทธิ์ "l" (ค้นหา) และ "i" (แทรก) ในไดเร็กทอรี แต่
ไม่ใช่สิทธิ์ "w" (เขียน) และ/หรือ "r" (อ่าน) ผู้ใช้จะได้รับสิทธิ์โดยปริยาย
ความสามารถในการเขียนและ/หรืออ่านไฟล์ใดๆ ที่พวกเขาสร้างในไดเร็กทอรีนั้น จนกว่าจะปิดไฟล์
ไฟล์. นี่คือการอนุญาตให้มีไดเร็กทอรีรูปแบบ "ดรอปบ็อกซ์" ซึ่งผู้ใช้สามารถฝากได้
ไฟล์ต่างๆ ได้ แต่ไม่สามารถแก้ไขในภายหลังได้ และไม่สามารถแก้ไขหรืออ่านไฟล์ใดๆ ที่ฝากไว้ใน
ไดเรกทอรีโดยผู้ใช้รายอื่น
อย่างไรก็ตาม โปรดทราบว่าฟังก์ชันดรอปบ็อกซ์นั้นยังไม่สมบูรณ์แบบ ไฟล์เซิร์ฟเวอร์ไม่มี
ความรู้เมื่อไฟล์ถูกเปิดหรือปิดบนไคลเอนต์และไฟล์เซิร์ฟเวอร์เสมอ
อนุญาตให้ผู้ใช้ที่เข้าถึงสามารถอ่านหรือเขียนไฟล์ในไดเร็กทอรี "ดรอปบ็อกซ์" หากพวกเขาเป็นเจ้าของ
ไฟล์. ในขณะที่ลูกค้าป้องกันไม่ให้ผู้ใช้อ่านหรือแก้ไขการฝากของพวกเขา
ไฟล์ในภายหลัง สิ่งนี้ไม่ได้ถูกบังคับใช้บนไฟล์เซิร์ฟเวอร์ ดังนั้น ไม่ควรพึ่งพาสำหรับ
ความปลอดภัย
นอกจากนี้ หากให้สิทธิ์ "ดรอปบ็อกซ์" กับ "ระบบ: ผู้ใช้ทุกคน" จะไม่ตรวจสอบสิทธิ์
ผู้ใช้สามารถฝากไฟล์ในไดเร็กทอรี หากผู้ใช้ที่ไม่ผ่านการตรวจสอบสิทธิ์ฝากไฟล์ใน
ไดเร็กทอรี ไฟล์ใหม่จะเป็นของ ID ผู้ใช้ที่ไม่ผ่านการตรวจสอบสิทธิ์ ดังนั้น
ที่ใครๆ ก็ปรับเปลี่ยนได้
ในความพยายามที่จะลดการเผยแพร่ข้อมูลส่วนตัวโดยไม่ได้ตั้งใจ fileserver อาจ
ปฏิเสธคำขออ่านไฟล์ "ดรอปบ็อกซ์" จากผู้ใช้ที่ไม่ผ่านการตรวจสอบสิทธิ์ ผลที่ตามมา,
การฝากไฟล์ในฐานะผู้ใช้ที่ไม่ผ่านการตรวจสอบสิทธิ์อาจล้มเหลวโดยพลการหาก "system:anyuser" มี
ได้รับการอนุญาตดรอปบ็อกซ์ แม้ว่านี่จะหายาก แต่ก็ไม่ครบ
ป้องกันได้ และด้วยเหตุนี้จึงอาศัยผู้ใช้ที่ไม่ผ่านการตรวจสอบสิทธิ์จึงจะสามารถฝากเงินได้
ไฟล์ในดรอปบ็อกซ์คือ ไม่ ที่แนะนำ.
ตัวอย่าง
ตัวอย่างต่อไปนี้จะเพิ่มสองรายการในส่วน "สิทธิ์ปกติ" ของcurrent
ACL ของไดเรกทอรีทำงาน: รายการแรกให้สิทธิ์ "r" (อ่าน) และ "l" (ค้นหา)
กลุ่ม pat:friends ในขณะที่คนอื่น ๆ (โดยใช้ชวเลข "เขียน") ให้สิทธิ์ทั้งหมด
ยกเว้น "a" (ดูแล) ให้กับผู้ใช้ "สมิธ"
% fs setacl -dir -acl pat:friends rl smith เขียน
% fs listacl -path
รายการเข้าถึงสำหรับ. เป็น
สิทธิตามปกติ:
pat:เพื่อน rl
สมิธ ริลิดวค์
ตัวอย่างต่อไปนี้รวมถึง -ชัดเจน แฟล็กซึ่งลบการอนุญาตที่มีอยู่ (as
แสดงด้วย fs รายการ คำสั่ง) จากไดเร็กทอรีการทำงานปัจจุบันของ รายงาน
ไดเรกทอรีย่อยและแทนที่ด้วยชุดใหม่
% fs listacl -dir รายงาน
รายการเข้าถึงสำหรับรายงานคือ
สิทธิตามปกติ:
ระบบ:ผู้เขียน rl
pat:เพื่อนริด
สมิธ ริลิดวค์
แพท ริลิดวา
สิทธิเชิงลบ:
เทอร์รี่ rl
% fs setacl -clear -dir รายงาน -acl pat ระบบเขียน smith ทั้งหมด:anyuser rl
% fs listacl -dir รายงาน
รายการเข้าถึงสำหรับรายงานคือ
สิทธิตามปกติ:
ระบบ:anyuser rl
สมิธ ริลิดวค์
แพท ริลิดวา
ตัวอย่างต่อไปนี้ใช้ the -ผบ และ -เอซีแอล เปลี่ยนเพราะมันตั้งค่า ACL ให้มากกว่า
หนึ่งไดเร็กทอรี (ทั้งไดเร็กทอรีการทำงานปัจจุบันและของมัน สาธารณะ ไดเรกทอรีย่อย)
% fs setacl -dir สาธารณะ -acl pat:friends rli
% fs listacl -path สาธารณะ
รายการเข้าถึงสำหรับ. เป็น
สิทธิตามปกติ:
แพท ริลิดวา
pat:เพื่อน rli
รายการเข้าถึงสำหรับสาธารณะคือ
สิทธิตามปกติ:
แพท ริลิดวา
pat:เพื่อน rli
สิทธิพิเศษ ที่จำเป็น
ผู้ออกต้องมีสิทธิ์ "a" (ดูแลระบบ) ใน ACL ของไดเรกทอรี ซึ่งเป็นสมาชิกของ
กลุ่ม system:administrators หรือกรณีพิเศษ จะต้องเป็นเจ้าของ UID ของ top-
ไดเร็กทอรีระดับของโวลุ่มที่มีไดเร็กทอรีนี้ บทบัญญัติสุดท้ายอนุญาตให้
เจ้าของ UID ของโวลุ่มเพื่อซ่อมแซมข้อผิดพลาด ACL โดยไม่ได้ตั้งใจโดยไม่ต้องมีการแทรกแซงจาก a
สมาชิกของระบบ:ผู้ดูแลระบบ
OpenAFS เวอร์ชันก่อนหน้ายังขยายสิทธิ์การดูแลระบบโดยนัยไปยังเจ้าของ
ไดเร็กทอรีใด ๆ ในเวอร์ชันปัจจุบันของ OpenAFS เฉพาะเจ้าของไดเร็กทอรีระดับบนสุดเท่านั้น
ของไดรฟ์ข้อมูลได้รับอนุญาตพิเศษนี้
ใช้ fs_setacl ออนไลน์โดยใช้บริการ onworks.net
