Autor Wątek: ACL w IBM AIX (Przeczytany 5397 razy)

fiberman · « **dnia:** 2010-05-03, 22:10:26 »

Witam, wiem, ze temat dotyczy systemu Unixowego, ale jest w sumie powiazany z szerokopojeta administracja, wiec moze ktos bedzie wiedzial..

Czy ktoś może się orientuje w jaki sposób można (i czy w ogóle można) zablokować użytkownikowi dostęp do filesystemu (prawo do odczytu i zapisu plików/katalogów oraz przeglądanie drzewa katalogów, tzn. niemożliwe użycie komendy ls)?

Pomyślałem o listach ACL. Udało mi się stworzyć taką listę, która blokuje użytkownikowi dostęp do całego filesystemu. Ale chciałbym teraz aby w tym filesystemie był wyjatek/wyjątki w postaci katalogów, które użytkownik może przeglądać/edytować. Np. mamy filesystem /app i ustawiamy dla niego rekursywne (dla danego katalogu i katalogow/plikow mu podrzednych) ACL, z wpisem rozszerzonym 'deny rwx u:user1'. W tym momencie user1 nie może przeglądać filesystemu /app. Natomiast dajmy na to, że mamy wyjątek /app/kat1/kat2_z_dostepem i chcemy dla kat2_z_dostepem ustawic ACL z wpisem 'permit rwx u:user1'. Czy da się tak zrobić? Z moich testów wynika, że lista ACL dla katalogu nadrzędnego ma wyzszy priorytety niż lista ACL jedenego z ktalogow/plikow elementu podrzędnego... Jest jakieś rozwiązanie tej sytuacji?

Paweł Kraszewski · « **Odpowiedź #1 dnia:** 2010-05-03, 23:10:52 »

Nie działa sytuacja, gdy nie masz dostępu do "nadkatalogu" a potrzebujesz dostępu do podkatalogu.

Per analogia wyobraź sobie wieżowiec. Parter to katalog główny, piętra to coraz głębiej zagnieżdżone podkatalogi. Ty chcesz tak:
* Od piętra czwartego w górę użytkownik X nie ma wstępu
* Ma jednak mieć dostęp do piętra dziesiątego.
Nooooo... Tylko jak dostać się do 10, jak nie możesz przejść przez 4-9... Rozwiązaniem mogłoby być łącze twarde pomijające "zakazane" podkatalogi pośrednie, jednak takie łącza nie są dozwolone (bo co niby byłoby katalogiem nadrzędnym dla celu?)

« **Odpowiedź #2 dnia:** 2010-05-03, 23:28:52 »

I musialoby byc na tym samym systemie (dow. twarde). A tu pytanie:

nie mogloby byc dow. symboliczne?

Paweł Kraszewski · « **Odpowiedź #3 dnia:** 2010-05-04, 00:13:08 »

Nie. Dowiązanie symboliczne rozwija się w pełną ścieżkę (najbliższa analogia to plik LNK pod Windows) i znowu wymagane są do dostępy do katalogów pośrednich.

fiberman · « **Odpowiedź #4 dnia:** 2010-05-04, 01:52:02 »

Dzięki za szybką dopowiedź

Czyli jest tak jak ogólnie myślałem.
W takim razie znacie może jakieś inne (poza ACL) rozwiązanie dla tego problemu, tzn. zablokowanie usereowi mozliwosci operowania na plikach i listowania plikow danego filesystemu z jednoczesnym stworzeniem dostepu do pewnego katalogu (i tylko do tego katalogu)?

Paweł Kraszewski · « **Odpowiedź #5 dnia:** 2010-05-04, 21:07:22 »

Może zdradź coś więcej o projekcie - wydaje mi się, że masz flaw w założeniach dotyczących hierarchii uprawnień. W mojej opinii efektu opisanego w Twoim poście nie da się uzyskać w żadnym standardowym systemie kontroli uprawnień.

Aktualności:

Linux.pl »

Nowe posty

Autor Wątek: ACL w IBM AIX (Przeczytany 5397 razy)

fiberman

ACL w IBM AIX

Paweł Kraszewski

ACL w IBM AIX

ACL w IBM AIX

Paweł Kraszewski

ACL w IBM AIX

fiberman

ACL w IBM AIX

Paweł Kraszewski

ACL w IBM AIX