Đây là lệnh fs_setacl có thể chạy trong nhà cung cấp dịch vụ lưu trữ miễn phí OnWorks bằng cách sử dụng một trong nhiều máy trạm trực tuyến miễn phí của chúng tôi như Ubuntu Online, Fedora Online, trình giả lập trực tuyến Windows hoặc trình giả lập trực tuyến MAC OS
CHƯƠNG TRÌNH:
TÊN
fs_setacl - Đặt ACL cho một thư mục
SYNOPSIS
fs setacl -dir <thư mục>+ -acl <truy cập mục>+
[-thông thoáng] [-phủ định] [-Tôi] [-nếu như] [-Cứu giúp]
fs sa -d <thư mục>+ -a <truy cập mục>+
[-c] [-n] [-Tôi] [-nếu như] [-h]
fs bộ -d <thư mục>+ -a <truy cập mục>+
[-c] [-n] [-Tôi] [-nếu như] [-h]
MÔ TẢ
Sản phẩm fs setacl lệnh thêm các mục danh sách kiểm soát truy cập (ACL) được chỉ định với -acl
đối số cho ACL của mỗi thư mục được đặt tên bởi -dir tranh luận.
Nếu -dir đối số chỉ định tên đường dẫn trong không gian tệp DFS (được truy cập qua AFS / DFS
Bộ dịch giao thức bộ công cụ di chuyển), nó có thể là một tệp cũng như một thư mục. ACL
Tuy nhiên, phải bao gồm một mục nhập cho "mask_obj".
Chỉ người dùng và mục nhập nhóm là giá trị được chấp nhận cho -acl tranh luận. Đừng đặt
các mục nhập máy (địa chỉ IP) trực tiếp trên ACL; thay vào đó, hãy đặt mục nhập máy thành một nhóm
thành viên và đặt nhóm trên ACL.
Để xóa hoàn toàn ACL hiện có trước khi thêm các mục nhập mới, hãy cung cấp -thông thoáng
lá cờ. Để thêm các mục được chỉ định vào phần "Quyền phủ định" của ACL (từ chối
quyền đối với người dùng hoặc nhóm được chỉ định), cung cấp -phủ định cờ.
Để hiển thị một ACL, hãy sử dụng lệnh fs listacl. Để sao chép ACL từ một thư mục sang
khác, sử dụng fs sao chép chỉ huy.
CÂU HỎI
Nếu ACL đã cấp một số quyền nhất định cho người dùng hoặc nhóm, các quyền
được chỉ định với fs setacl lệnh thay thế các quyền hiện có, thay vì
đã thêm vào chúng.
Đặt quyền phủ định nói chung là không cần thiết và không được khuyến khích. Đơn giản là bỏ qua
người dùng hoặc nhóm từ phần "Quyền bình thường" của ACL thường đủ để
ngăn chặn truy cập. Đặc biệt, lưu ý rằng việc từ chối các quyền được cấp là vô ích
cho các thành viên của hệ thống: nhóm người dùng bất kỳ trên cùng một ACL; người dùng chỉ cần phát hành
mở ra lệnh để nhận các quyền bị từ chối.
Khi bao gồm -thông thoáng tùy chọn, hãy đảm bảo khôi phục mục nhập cho từng chủ sở hữu thư mục
bao gồm ít nhất quyền "l" (tra cứu). Nếu không có sự cho phép đó, nó là
không thể giải quyết viết tắt "dot" (".") và "dot dot" ("..") từ bên trong
danh mục. (Chủ sở hữu của thư mục mặc nhiên có quyền "a" (quản trị viên)
ngay cả trên ACL đã xóa, nhưng phải biết sử dụng nó để thêm các quyền khác.)
LỰA CHỌN
-dir <thư mục>+
Đặt tên cho từng thư mục AFS, hoặc thư mục DFS hoặc tệp, nơi đặt ACL. Một phần
tên đường dẫn được diễn giải liên quan đến thư mục làm việc hiện tại.
Chỉ định đường dẫn đọc / ghi cho từng thư mục (hoặc tệp DFS), để tránh lỗi
kết quả từ việc cố gắng thay đổi một tập chỉ đọc. Theo quy ước, đọc / ghi
đường dẫn được chỉ định bằng cách đặt dấu chấm trước tên ô ở phần thứ hai của tên đường dẫn
cấp độ (ví dụ, /afs/.abc.com). Để thảo luận thêm về khái niệm
đọc / ghi và đường dẫn chỉ đọc qua không gian tệp, hãy xem fs mkmount tài liệu tham khảo
.
-acl <truy cập mục>+
Xác định danh sách một hoặc nhiều mục nhập ACL, mỗi mục là một cặp có tên:
· Tên người dùng hoặc tên nhóm như được liệt kê trong Cơ sở dữ liệu bảo vệ.
· Một hoặc nhiều quyền ACL, được chỉ định bằng cách kết hợp các chữ cái riêng lẻ
hoặc bằng một trong bốn từ viết tắt được chấp nhận.
theo thứ tự đó, được phân tách bằng dấu cách (do đó, mọi trường hợp của đối số này có hai
các bộ phận). Các từ viết tắt AFS và từ viết tắt được chấp nhận, và ý nghĩa của mỗi từ,
như sau:
a (quản trị viên)
Thay đổi các mục trên ACL.
d (xóa)
Xóa tệp và thư mục con khỏi thư mục hoặc di chuyển chúng sang mục khác
thư mục.
tôi (chèn)
Thêm tệp hoặc thư mục con vào thư mục bằng cách sao chép, di chuyển hoặc tạo.
k (khóa)
Đặt khóa đọc hoặc khóa ghi trên các tệp trong thư mục.
l (tra cứu)
Liệt kê các tệp và thư mục con trong thư mục, thống kê chính thư mục và
phát hành fs danh sách lệnh để kiểm tra ACL của thư mục.
r (đọc)
Đọc nội dung của các tệp trong thư mục; phát hành lệnh "ls -l" để thống kê
các phần tử trong thư mục.
w (ghi)
Sửa đổi nội dung của các tệp trong thư mục và phát hành UNIX chmod lệnh cho
thay đổi các bit chế độ của chúng.
A, B, C, D, E, F, G, H
Không có ý nghĩa mặc định đối với các quy trình máy chủ AFS, nhưng được cung cấp cho
ứng dụng để sử dụng trong việc kiểm soát quyền truy cập vào nội dung của thư mục trong
các cách bổ sung. Các chữ cái phải là chữ hoa.
tất cả Bằng tất cả bảy quyền ("rlidwka").
không ai
Không có quyền. Xóa người dùng / nhóm khỏi ACL, nhưng không đảm bảo họ
không có quyền nếu họ thuộc các nhóm vẫn còn trên ACL.
đọc
Bằng các quyền "r" (đọc) và "l" (tra cứu).
viết
Bằng tất cả các quyền ngoại trừ "a" (quản trị viên), tức là "rlidwk".
Có thể chấp nhận trộn các mục nhập kết hợp các chữ cái riêng lẻ với các mục nhập
sử dụng các từ viết tắt, nhưng không sử dụng cả hai loại ký hiệu trong một cá nhân
ghép nối người dùng hoặc nhóm và quyền.
Cấp quyền "l" (tra cứu) và "i" (chèn) mà không cấp "w"
quyền (ghi) và / hoặc "r" (đọc) là một trường hợp đặc biệt và cấp quyền
tiêu chuẩn phê duyệt cho các thư mục "hộp kéo thả". Xem phần DROPBOXES để biết thêm chi tiết.
Nếu đặt ACL trên tên đường dẫn trong không gian tệp DFS, hãy xem tài liệu DFS cho
định dạng thích hợp và các giá trị được chấp nhận cho các mục DFS ACL.
-thông thoáng
Loại bỏ tất cả các mục nhập hiện có trên mỗi ACL trước khi thêm các mục nhập được chỉ định với
-acl tranh luận.
-phủ định
Đặt các mục ACL được chỉ định trong phần "Quyền phủ định" của mỗi ACL,
từ chối rõ ràng các quyền đối với người dùng hoặc nhóm, ngay cả khi các mục nhập trên
kèm theo phần "Quyền bình thường" của ACL cấp quyền cho họ.
Đối số này không được hỗ trợ cho các tệp hoặc thư mục DFS, vì DFS không
triển khai các quyền ACL phủ định.
-Tôi Đặt các mục ACL trên ACL Vùng chứa Ban đầu của mỗi thư mục DFS,
các đối tượng hệ thống tệp duy nhất mà cờ này được hỗ trợ.
-nếu như Đặt các mục ACL trên ACL Đối tượng Ban đầu của mỗi thư mục DFS, là
chỉ các đối tượng hệ thống tệp mà cờ này được hỗ trợ.
-Cứu giúp
In trợ giúp trực tuyến cho lệnh này. Tất cả các tùy chọn hợp lệ khác đều bị bỏ qua.
HỘP THẢ
Nếu người dùng truy cập có quyền "l" (tra cứu) và "i" (chèn) trên một thư mục, nhưng
không phải quyền "w" (ghi) và / hoặc "r" (đọc), người dùng được ngầm cấp quyền
khả năng viết và / hoặc đọc bất kỳ tệp nào họ tạo trong thư mục đó, cho đến khi họ đóng
tập tin. Điều này là để cho phép các thư mục kiểu "hộp kéo thả" tồn tại, nơi người dùng có thể gửi tiền
nhưng không thể sửa đổi chúng sau này cũng như không thể sửa đổi hoặc đọc bất kỳ tệp nào được gửi trong
thư mục của người dùng khác.
Tuy nhiên, lưu ý rằng chức năng hộp kéo thả không hoàn hảo. Máy chủ tệp không có
kiến thức về thời điểm tệp được mở hoặc đóng trên máy khách, và do đó, máy chủ tệp luôn
cho phép người dùng truy cập đọc hoặc ghi vào tệp trong thư mục "hộp kéo thả" nếu họ sở hữu
tập tin. Trong khi máy khách ngăn người dùng đọc hoặc sửa đổi
tệp sau này, điều này không được thực thi trên máy chủ tệp và vì vậy không nên dựa vào
Bảo vệ.
Ngoài ra, nếu quyền "dropbox" được cấp cho "system: anyuser", chưa được xác thực
người dùng có thể gửi các tập tin trong thư mục. Nếu người dùng chưa được xác thực gửi tệp vào
thư mục, tệp mới sẽ được sở hữu bởi ID người dùng chưa được xác thực và do đó
có thể được sửa đổi bởi bất kỳ ai.
Trong nỗ lực cố gắng giảm thiểu việc vô tình công khai dữ liệu riêng tư, máy chủ tệp có thể
từ chối yêu cầu đọc các tệp "hộp kéo thả" từ những người dùng chưa được xác thực. Kết quả là,
việc gửi tệp với tư cách là người dùng chưa được xác thực có thể tự ý không thành công nếu "system: anyuser" có
đã được cấp quyền đăng nhập. Mặc dù điều này hiếm khi xảy ra, nhưng nó không hoàn toàn
có thể ngăn ngừa, và vì vậy, vì lý do này, việc dựa vào người dùng chưa được xác thực để có thể gửi tiền
các tệp trong một hộp kéo thả là KHÔNG NÊN.
VÍ DỤ
Ví dụ sau thêm hai mục nhập vào phần "Quyền bình thường" của hiện tại
ACL của thư mục làm việc: mục nhập đầu tiên cấp quyền "r" (đọc) và "l" (tra cứu) đối với
nhóm pat: bạn bè, trong khi nhóm kia (sử dụng cách viết tắt "write") cấp cho tất cả các quyền
ngoại trừ "a" (quản trị viên) cho người dùng "smith".
% fs setacl -dir. -acl pat: bạn bè rl smith viết
% fs listacl -path.
Danh sách truy cập cho. Là
Quyền bình thường:
pat: bạn bè rl
thợ rèn rlidwk
Ví dụ sau đây bao gồm -thông thoáng cờ, điều này sẽ xóa các quyền hiện có (như
hiển thị với fs danh sách lệnh) từ thư mục làm việc hiện tại của báo cáo
thư mục con và thay thế chúng bằng một tập hợp mới.
% fs listacl -dir báo cáo
Danh sách truy cập cho các báo cáo là
Quyền bình thường:
hệ thống: authuser rl
pat: bạn bè rlid
thợ rèn rlidwk
pat rlidwka
Quyền phủ định:
Terry rl
% fs setacl -clear -dir report -acl pat all smith write system: anyuser rl
% fs listacl -dir báo cáo
Danh sách truy cập cho các báo cáo là
Quyền bình thường:
hệ thống: anyuser rl
thợ rèn rlidwk
pat rlidwka
Ví dụ sau sử dụng -dir và -acl chuyển đổi vì nó đặt ACL cho nhiều hơn
một thư mục (cả thư mục làm việc hiện tại và thư mục công khai thư mục con).
% fs setacl -dir. public -acl pat: bạn bè rli
% fs listacl -path. công cộng
Danh sách truy cập cho. Là
Quyền bình thường:
pat rlidwka
pat: bạn bè rli
Danh sách truy cập cho công chúng là
Quyền bình thường:
pat rlidwka
pat: bạn bè rli
QUYỀN RIÊNG TƯ YÊU CẦU
Người phát hành phải có quyền "a" (quản trị viên) trên ACL của thư mục, một thành viên của
hệ thống: nhóm quản trị viên, hoặc, trong trường hợp đặc biệt, phải là chủ sở hữu UID của
thư mục cấp của ổ chứa thư mục này. Điều khoản cuối cùng cho phép
Chủ sở hữu UID của một khối lượng để sửa chữa các lỗi ACL ngẫu nhiên mà không yêu cầu sự can thiệp của
thành viên của hệ thống: quản trị viên.
Các phiên bản trước đó của OpenAFS cũng mở rộng quyền quản trị ngầm cho chủ sở hữu của
thư mục bất kỳ. Trong các phiên bản hiện tại của OpenAFS, chỉ chủ sở hữu của thư mục cấp cao nhất
của tập có sự cho phép đặc biệt này.
Sử dụng fs_setacl trực tuyến bằng các dịch vụ onworks.net
