Linux.pl »

Baza sprzętu »
Rozdajemy Linuksa »
Poczta Linux.pl »
Hosting Linux.pl »

Nowe posty

xx Problem z kartą sieciową (2)
Dzisiaj o 00:02:25
xx Długo czekam na uruchamianie się programów w Arch'u (3)
2023-05-21, 17:06:09
xx Ten sam profil Firefox dla Arch i Windows. Da się to zrobić? (3)
2023-05-19, 22:02:18
xx Jak uruchomić automatycznie Xfce4 przy uruchamianiu Arch? (1)
2023-05-17, 23:01:47
xx Instalacja Mint Cinnamon (4)
2023-05-17, 16:27:17
xx Arch długo czeka na myszkę, pad działa ale myszka nie (0)
2023-05-17, 13:11:03
xx [ROZWIĄZANY] Jak zamontować dysk rozpoznany jako PTTYPE=PMBR? (5)
2023-05-17, 07:22:30
xx programista php - zdalnie B2B (1)
2023-05-16, 02:51:11
xx Instalacja - pytania (7)
2023-05-14, 17:24:22
xx [Rozwiązany] Problem z XFce w Debian 11 (4)
2023-05-12, 20:02:19
« poprzedni następny »
Strony: [1]   Do dołu

Autor Wątek: ACL w IBM AIX  (Przeczytany 5254 razy)

fiberman

  • Gość
ACL w IBM AIX
« dnia: 2010-05-03, 22:10:26 »
Witam, wiem, ze temat dotyczy systemu Unixowego, ale jest w sumie powiazany z szerokopojeta administracja, wiec moze ktos bedzie wiedzial..

Czy ktoś może się orientuje w jaki sposób można (i czy w ogóle można) zablokować użytkownikowi dostęp do filesystemu (prawo do odczytu i zapisu plików/katalogów oraz przeglądanie drzewa katalogów, tzn. niemożliwe użycie komendy ls)?

Pomyślałem o listach ACL. Udało mi się stworzyć taką listę, która blokuje użytkownikowi dostęp do całego filesystemu. Ale chciałbym teraz aby w tym filesystemie był wyjatek/wyjątki w postaci katalogów, które użytkownik może przeglądać/edytować. Np. mamy filesystem /app i ustawiamy dla niego rekursywne (dla danego katalogu i katalogow/plikow mu podrzednych) ACL, z wpisem rozszerzonym 'deny rwx u:user1'. W tym momencie user1 nie może przeglądać filesystemu /app. Natomiast dajmy na to, że mamy wyjątek /app/kat1/kat2_z_dostepem i chcemy dla kat2_z_dostepem ustawic ACL z wpisem 'permit rwx u:user1'. Czy da się tak zrobić? Z moich testów wynika, że lista ACL dla katalogu nadrzędnego ma wyzszy priorytety niż lista ACL jedenego z ktalogow/plikow elementu podrzędnego... Jest jakieś rozwiązanie tej sytuacji?
Zapisane

Offline Paweł Kraszewski

  • Administrator
  • Guru
  • *****
  • Wiadomości: 2949
  • Lenistwo jest matką potrzeby = babcią wynalazku
    • Zobacz profil
ACL w IBM AIX
« Odpowiedź #1 dnia: 2010-05-03, 23:10:52 »
Nie działa sytuacja, gdy nie masz dostępu do "nadkatalogu" a potrzebujesz dostępu do podkatalogu.

Per analogia wyobraź sobie wieżowiec. Parter to katalog główny, piętra to coraz głębiej zagnieżdżone podkatalogi. Ty chcesz tak:
* Od piętra czwartego w górę użytkownik X nie ma wstępu
* Ma jednak mieć dostęp do piętra dziesiątego.
Nooooo... Tylko jak dostać się do 10, jak nie możesz przejść przez 4-9... Rozwiązaniem mogłoby być łącze twarde pomijające "zakazane" podkatalogi pośrednie, jednak takie łącza nie są dozwolone (bo co niby byłoby katalogiem nadrzędnym dla celu?)
Zapisane
Paweł Kraszewski
~Arch/Void/Gentoo/FreeBSD/OpenBSD/Specjalizowane customy

  • Gość
ACL w IBM AIX
« Odpowiedź #2 dnia: 2010-05-03, 23:28:52 »
I musialoby byc na tym samym systemie (dow. twarde). A tu pytanie:

nie mogloby byc dow. symboliczne?
Zapisane

Offline Paweł Kraszewski

  • Administrator
  • Guru
  • *****
  • Wiadomości: 2949
  • Lenistwo jest matką potrzeby = babcią wynalazku
    • Zobacz profil
ACL w IBM AIX
« Odpowiedź #3 dnia: 2010-05-04, 00:13:08 »
Nie. Dowiązanie symboliczne rozwija się w pełną ścieżkę (najbliższa analogia to plik LNK pod Windows) i znowu wymagane są do dostępy do katalogów pośrednich.
Zapisane
Paweł Kraszewski
~Arch/Void/Gentoo/FreeBSD/OpenBSD/Specjalizowane customy

fiberman

  • Gość
ACL w IBM AIX
« Odpowiedź #4 dnia: 2010-05-04, 01:52:02 »
Dzięki za szybką dopowiedź :) Czyli jest tak jak ogólnie myślałem.
W takim razie znacie może jakieś inne (poza ACL) rozwiązanie dla tego problemu, tzn. zablokowanie usereowi mozliwosci operowania na plikach i listowania plikow danego filesystemu z jednoczesnym stworzeniem dostepu do pewnego katalogu (i tylko do tego katalogu)?
Zapisane

Offline Paweł Kraszewski

  • Administrator
  • Guru
  • *****
  • Wiadomości: 2949
  • Lenistwo jest matką potrzeby = babcią wynalazku
    • Zobacz profil
ACL w IBM AIX
« Odpowiedź #5 dnia: 2010-05-04, 21:07:22 »
Może zdradź coś więcej o projekcie - wydaje mi się, że masz flaw w założeniach dotyczących hierarchii uprawnień. W mojej opinii efektu opisanego w Twoim poście nie da się uzyskać w żadnym standardowym systemie kontroli uprawnień.
Zapisane
Paweł Kraszewski
~Arch/Void/Gentoo/FreeBSD/OpenBSD/Specjalizowane customy
Strony: [1]   Do góry
« poprzedni następny »