англійськафранцузькийіспанська

Запуск серверів | Ubuntu > | Fedora > |


Значок OnWorks

fs_setacl - Інтернет у хмарі

Запустіть fs_setacl у постачальника безкоштовного хостингу OnWorks через Ubuntu Online, Fedora Online, онлайн-емулятор Windows або онлайн-емулятор MAC OS

Це команда fs_setacl, яку можна запустити в постачальнику безкоштовного хостингу OnWorks за допомогою однієї з наших численних безкоштовних робочих станцій, таких як Ubuntu Online, Fedora Online, онлайн емулятор Windows або онлайн емулятор MAC OS

ПРОГРАМА:

ІМ'Я


fs_setacl - Встановлює ACL для каталогу

СИНТАКСИС


fs setacl -реж <каталог>+ -acl <доступ список запису>+
[- ясно] [-негативний] [-ідентифікатор] [-якщо] [-допомога]

fs sa -d <каталог>+ -a <доступ список запису>+
[-c] [-n] [-ідентифікатор] [-якщо] [-h]

fs набір -d <каталог>+ -a <доступ список запису>+
[-c] [-n] [-ідентифікатор] [-якщо] [-h]

ОПИС


повне г, повне г,, показали, від, номер, XNUMX fs setacl Команда додає записи списку контролю доступу (ACL), зазначені в -acl
аргумент до списку керування доступом для кожного каталогу, названого в -реж аргумент.

Якщо -реж Аргумент позначає шлях у файловому просторі DFS (доступ до нього здійснюється через AFS/DFS
Migration Toolkit Protocol Translator), це може бути як файл, так і каталог. ACL
однак має вже включати запис для "mask_obj".

Лише користувацькі та групові записи є прийнятними значеннями для -acl аргумент. Не розміщуйте
машинні записи (IP-адреси) безпосередньо в ACL; замість цього зробіть запис машини групою
члена та помістіть групу в список ACL.

Щоб повністю стерти наявний ACL перед додаванням нових записів, введіть - ясно
прапор. Щоб додати вказані записи до розділу «Негативні права» ACL (заборонити
права певних користувачів або груп), надати -негативний прапор

Щоб відобразити ACL, скористайтеся командою fs listacl. Щоб скопіювати ACL з одного каталогу в
інший, використовуйте fs копіакл команда

ОБЕРЕЖНО


Якщо ACL вже надає певні дозволи користувачеві або групі, дозволи
зазначено з fs setacl команда замінює наявні дозволи, а не бути
додано до них.

Встановлення негативних дозволів, як правило, не є необхідним і не рекомендується. Просто опускаємо
користувача або групи з розділу "Звичайні права" ACL зазвичай достатньо
запобігти доступу. Зокрема, зауважте, що відмовляти у наданих дозволах марно
членам групи system:anyuser на одному ACL; користувачеві потрібно лише видати
розблокувати команда для отримання заборонених дозволів.

При включенні - ясно не забудьте відновити запис для власника кожного каталогу
що включає принаймні дозвіл "l" (пошук). Без цього дозволу це так
неможливо розшифрувати скорочення "крапка" (".") і "крапка" ("..") зсередини
каталог. (Власник каталогу неявно має дозвіл "a" (адміністрування).
навіть на очищеному ACL, але потрібно знати, щоб використовувати його для додавання інших дозволів.)

ВАРІАНТИ


-реж <каталог>+
Назви кожен каталог AFS, або каталог або файл DFS, для якого встановлено ACL. Часткова
імена шляхів інтерпретуються відносно поточного робочого каталогу.

Вкажіть шлях читання/запису до кожного каталогу (або файлу DFS), щоб уникнути збою
результат спроби змінити том, доступний лише для читання. За умовою читання/запис
шлях вказується шляхом розміщення крапки перед назвою комірки в другому імені шляху
рівень (наприклад, /afs/.abc.com). Для подальшого обговорення концепції
шляхи для читання/запису та лише для читання через файловий простір, див fs mkmount посилання
стр.

-acl <доступ список запису>+
Визначає список з одного або кількох записів ACL, кожна з яких має назви:

· Ім'я користувача або ім'я групи, зазначені в базі даних захисту.

· Один або кілька дозволів ACL, що позначаються або поєднанням окремих літер
або одним із чотирьох прийнятних скорочених слів.

в такому порядку, розділених пробілом (тому кожен екземпляр цього аргументу має два
частини). Прийняті абревіатури та скорочення AFS, а також значення кожного,
полягають в наступному:

a (адмініструвати)
Змініть записи в ACL.

d (видалити)
Видаліть файли та підкаталоги з каталогу або перемістіть їх в інший
каталоги.

я (вставити)
Додайте файли або підкаталоги до каталогу шляхом копіювання, переміщення або створення.

k (замок)
Встановіть блокування читання або запису до файлів у каталозі.

л (шукати)
Перелік файлів і підкаталогів у каталозі, стан самого каталогу та
видати fs listacl команду для перевірки ACL каталогу.

r (читати)
Прочитати вміст файлів у каталозі; введіть команду "ls -l", щоб stat
елементів у каталозі.

ш (писати)
Змініть вміст файлів у каталозі та видайте UNIX CHMOD команду
змінити їх біти режиму.

A, B, C, D, E, F, G, H
Не мають значення за замовчуванням для процесів сервера AFS, але доступні для
програми для керування доступом до вмісту каталогу в
додаткові способи. Літери мають бути великими.

all Дорівнює всім семи дозволам ("rlidwka").

ніхто
Немає дозволів. Видаляє користувача/групу з списку керування доступом, але не гарантує їх
не мають дозволів, якщо вони належать до груп, які залишаються в ACL.

зчитування
Дорівнює дозволам "r" (читання) і "l" (пошук).

запис
Дорівнює всім дозволам, крім "a" (адміністрування), тобто "rlidwk".

Допустимо змішувати записи, які поєднують окремі літери з записами, які
використовуйте скорочені слова, але не використовуйте обидва типи позначень всередині особистості
поєднання користувачів або групи та дозволів.

Надання дозволів "l" (пошук) і "i" (вставка) без надання "w"
Дозволи (запис) та/або "r" (читання) є окремим випадком і надають права
підходить для каталогів "dropbox". Додаткову інформацію див. у розділі DROPBOXES.

Якщо встановлювати списки ACL для імені шляху у файловому просторі DFS, перегляньте документацію DFS
правильний формат і прийнятні значення для записів ACL DFS.

- ясно
Видаляє всі наявні записи в кожному списку керування доступом перед додаванням записів, зазначених за допомогою
-acl аргумент.

-негативний
Розміщує вказані записи ACL в розділі "Негативні права" кожного ACL,
явна заборона прав користувачеві чи групі, навіть якщо записи на
супровідний розділ "Звичайні права" ACL надає їм дозволи.

Цей аргумент не підтримується для файлів або каталогів DFS, оскільки DFS не підтримує
запровадити негативні дозволи ACL.

-ідентифікатор Розміщує записи ACL до початкового ACL контейнера кожного каталогу DFS, які є
єдині об'єкти файлової системи, для яких підтримується цей прапор.

-якщо Поміщає записи ACL в початковий об’єкт ACL кожного каталогу DFS, які є
тільки об'єкти файлової системи, для яких підтримується цей прапор.

-допомога
Друкує онлайн-довідку для цієї команди. Усі інші дійсні параметри ігноруються.

DROPBOXES


Якщо користувач, який здійснює доступ, має дозволи "l" (пошук) і "i" (вставка) до каталогу, але
не дозволи "w" (запис) і/або "r" (читання), користувач неявно надається
можливість записувати та/або читати будь-який файл, який вони створили в цьому каталозі, доки вони не закриють файл
файл. Це дозволить існувати каталогам у стилі "dropbox", куди користувачі можуть здійснювати депозит
файли, але вони не можуть змінювати їх пізніше, а також не можуть змінювати чи читати будь-які файли, збережені в файлі
каталог інших користувачів.

Зауважте, однак, що функціональність Dropbox не є ідеальною. Файловий сервер не має
знання того, коли файл відкривається або закривається на клієнті, і тому файловий сервер завжди
дозволяє користувачу, який отримує доступ, читати або записувати файл у каталозі "dropbox", якщо він є власником
файл. При цьому клієнт забороняє користувачеві читати або змінювати свої депозити
файл пізніше, це не застосовується на файловому сервері, і тому не слід покладатися на нього
безпеки.

Крім того, якщо дозволи "dropbox" надано для "system:anyuser", без автентифікації
користувачі можуть зберігати файли в каталозі. Якщо неавтентифікований користувач передає файл у
у каталозі, новий файл буде належати неавтентифікованому ідентифікатору користувача, і таким чином
будь-хто може змінити.

Намагаючись зменшити випадкову публікацію приватних даних, файловий сервер може
відхиляти запити на читання файлів "dropbox" від неавтентифікованих користувачів. Як результат,
зберігання файлів як неавтентифікованого користувача може довільно завершитися, якщо "system:anyuser"
надано дозволи Dropbox. Хоча це має бути рідко, це не повністю
можна запобігти, і тому покладатися на неавтентифікованих користувачів, щоб мати можливість зробити депозит
файли в папці є НЕ РЕКОМЕНДУЄТЬСЯ.

ПРИКЛАДИ


Наступний приклад додає два записи до розділу "Звичайні права" поточного
ACL робочого каталогу: перший запис надає дозволи "r" (читання) і "l" (пошук)
група pat:friends, а інша (використовуючи скорочення "write") надає всі дозволи
крім "a" (адміністрування) для користувача "smith".

% fs setacl -dir . -acl pat: друзі rl smith пишуть

% fs listacl -path .
Список доступу для . є
Звичайні права:
pat: друзі rl
сміт rlidwk

Наступний приклад включає - ясно прапорець, який видаляє наявні дозволи (як
відображається за допомогою fs listacl команда) з поточного робочого каталогу звіти
підкаталог і замінює їх новим набором.

% fs listacl -dir звіти
Список доступу до звітів є
Звичайні права:
система: authuser rl
pat: друзі rlid
сміт rlidwk
pat rlidwka
Негативні права:
Террі Рл

% fs setacl -clear -dir reports -acl pat all smith write system:anyuser rl

% fs listacl -dir звіти
Список доступу до звітів є
Звичайні права:
система: anyuser rl
сміт rlidwk
pat rlidwka

У наступному прикладі використовується -реж і -acl перемикається, тому що він встановлює ACL більше ніж
один каталог (як поточний робочий каталог, так і його громадськість підкаталог).

% fs setacl -dir . public -acl pat:friends rli

% fs listacl -path . громадський
Список доступу для . є
Звичайні права:
pat rlidwka
pat: друзі rli
Список доступу для загального доступу є
Звичайні права:
pat rlidwka
pat: друзі rli

ПРИВІЛЕГІЯ ВИМАГАЄТЬСЯ


Емітент повинен мати дозвіл "a" (адміністрування) на ACL каталогу, член
група system:administrators або, як особливий випадок, має бути власником UID верхнього
каталог рівня тому, що містить цей каталог. Останнє положення дозволяє
UID власника тому, щоб виправити випадкові помилки ACL, не вимагаючи втручання a
член системи: адміністратори.

Попередні версії OpenAFS також розширювали неявний дозвіл адміністрування власнику
будь-який каталог. У поточних версіях OpenAFS лише власник каталогу верхнього рівня
тому має цей спеціальний дозвіл.

Використовуйте fs_setacl онлайн за допомогою служб onworks.net


Ad


Ad