Nowe posty

Autor Wątek: ACL w IBM AIX  (Przeczytany 5156 razy)

fiberman

  • Gość
ACL w IBM AIX
« dnia: 2010-05-03, 22:10:26 »
Witam, wiem, ze temat dotyczy systemu Unixowego, ale jest w sumie powiazany z szerokopojeta administracja, wiec moze ktos bedzie wiedzial..

Czy ktoś może się orientuje w jaki sposób można (i czy w ogóle można) zablokować użytkownikowi dostęp do filesystemu (prawo do odczytu i zapisu plików/katalogów oraz przeglądanie drzewa katalogów, tzn. niemożliwe użycie komendy ls)?

Pomyślałem o listach ACL. Udało mi się stworzyć taką listę, która blokuje użytkownikowi dostęp do całego filesystemu. Ale chciałbym teraz aby w tym filesystemie był wyjatek/wyjątki w postaci katalogów, które użytkownik może przeglądać/edytować. Np. mamy filesystem /app i ustawiamy dla niego rekursywne (dla danego katalogu i katalogow/plikow mu podrzednych) ACL, z wpisem rozszerzonym 'deny rwx u:user1'. W tym momencie user1 nie może przeglądać filesystemu /app. Natomiast dajmy na to, że mamy wyjątek /app/kat1/kat2_z_dostepem i chcemy dla kat2_z_dostepem ustawic ACL z wpisem 'permit rwx u:user1'. Czy da się tak zrobić? Z moich testów wynika, że lista ACL dla katalogu nadrzędnego ma wyzszy priorytety niż lista ACL jedenego z ktalogow/plikow elementu podrzędnego... Jest jakieś rozwiązanie tej sytuacji?

Offline Paweł Kraszewski

  • Administrator
  • Guru
  • *****
  • Wiadomości: 2860
  • Lenistwo jest matką potrzeby = babcią wynalazku
    • Zobacz profil
ACL w IBM AIX
« Odpowiedź #1 dnia: 2010-05-03, 23:10:52 »
Nie działa sytuacja, gdy nie masz dostępu do "nadkatalogu" a potrzebujesz dostępu do podkatalogu.

Per analogia wyobraź sobie wieżowiec. Parter to katalog główny, piętra to coraz głębiej zagnieżdżone podkatalogi. Ty chcesz tak:
* Od piętra czwartego w górę użytkownik X nie ma wstępu
* Ma jednak mieć dostęp do piętra dziesiątego.
Nooooo... Tylko jak dostać się do 10, jak nie możesz przejść przez 4-9... Rozwiązaniem mogłoby być łącze twarde pomijające "zakazane" podkatalogi pośrednie, jednak takie łącza nie są dozwolone (bo co niby byłoby katalogiem nadrzędnym dla celu?)
Paweł Kraszewski
~Arch/Void/Gentoo/FreeBSD/OpenBSD/Specjalizowane customy

  • Gość
ACL w IBM AIX
« Odpowiedź #2 dnia: 2010-05-03, 23:28:52 »
I musialoby byc na tym samym systemie (dow. twarde). A tu pytanie:

nie mogloby byc dow. symboliczne?

Offline Paweł Kraszewski

  • Administrator
  • Guru
  • *****
  • Wiadomości: 2860
  • Lenistwo jest matką potrzeby = babcią wynalazku
    • Zobacz profil
ACL w IBM AIX
« Odpowiedź #3 dnia: 2010-05-04, 00:13:08 »
Nie. Dowiązanie symboliczne rozwija się w pełną ścieżkę (najbliższa analogia to plik LNK pod Windows) i znowu wymagane są do dostępy do katalogów pośrednich.
Paweł Kraszewski
~Arch/Void/Gentoo/FreeBSD/OpenBSD/Specjalizowane customy

fiberman

  • Gość
ACL w IBM AIX
« Odpowiedź #4 dnia: 2010-05-04, 01:52:02 »
Dzięki za szybką dopowiedź :) Czyli jest tak jak ogólnie myślałem.
W takim razie znacie może jakieś inne (poza ACL) rozwiązanie dla tego problemu, tzn. zablokowanie usereowi mozliwosci operowania na plikach i listowania plikow danego filesystemu z jednoczesnym stworzeniem dostepu do pewnego katalogu (i tylko do tego katalogu)?

Offline Paweł Kraszewski

  • Administrator
  • Guru
  • *****
  • Wiadomości: 2860
  • Lenistwo jest matką potrzeby = babcią wynalazku
    • Zobacz profil
ACL w IBM AIX
« Odpowiedź #5 dnia: 2010-05-04, 21:07:22 »
Może zdradź coś więcej o projekcie - wydaje mi się, że masz flaw w założeniach dotyczących hierarchii uprawnień. W mojej opinii efektu opisanego w Twoim poście nie da się uzyskać w żadnym standardowym systemie kontroli uprawnień.
Paweł Kraszewski
~Arch/Void/Gentoo/FreeBSD/OpenBSD/Specjalizowane customy