ฉันได้พบรายการควบคุมการเข้าถึง POSIX อนุญาตให้คุณในฐานะผู้ดูแลระบบเพื่อปกป้องผู้ใช้ของคุณจากความไม่รู้ที่เลวร้ายที่สุดของพวกเขาเองโดยการแทนที่การอนุญาตระบบไฟล์ของกลุ่มผู้ใช้กลุ่มอื่นโดยไม่มีโอกาสทำลายอะไรที่สำคัญ .
พวกมันมีประโยชน์อย่างยิ่งหากคุณต้องการให้ไดเรกทอรีภายในบ้านสามารถเข้าถึงได้ทั่วโลกเพราะ webcontent จำเป็นต้องเข้าถึง apache ~/public_html/
ได้ (แม้ว่าจะมี ACL คุณสามารถย้อนกลับได้ แต่ให้ลบสิทธิ์การเข้าถึงทั้งหมดและใช้ ACL ที่มีประสิทธิภาพเฉพาะสำหรับผู้ใช้ apache)
ใช่ผู้ใช้ที่มีความรู้สามารถลบ / แทนที่พวกเขาอีกครั้งพอเพียงเรื่องแปลกที่ว่าไม่น่าและผู้ใช้ที่สามารถมักจะไม่ได้คนเพื่อความสะดวกchmod -R 777 ~/
อยู่แล้วใช่มั้ย?
คุณต้องเมานต์ระบบไฟล์ด้วยacl
ตัวเลือกเมานต์:
mount -o remount,acl /home
users
ในการกระจายจำนวนมากเริ่มต้นคือการสร้างกลุ่มผู้ใช้ผู้ใช้แต่ละคนมีกลุ่มหลักของพวกเขาและผมได้ตั้งผู้ใช้ทั้งหมดในกลุ่มรองที่มีชื่อของธรรมดา
การใช้ ACL เป็นเรื่องเล็กน้อยเพื่อป้องกันไม่ให้ผู้ใช้รายอื่นเข้าถึงโฮมไดเร็กตอรี่:
ก่อน:
chmod 0777 /home/user*
ls -l /home/user*
drwxrwxrwx. 2 user1 user1 4096 Jul 11 15:40 user1
drwxrwxrwx. 2 user2 user2 4096 Jul 11 15:24 user2
ตอนนี้ตั้งค่าสิทธิ์ไดเรกทอรีที่มีประสิทธิภาพสำหรับสมาชิกของusers
กลุ่มที่0
ไม่อ่านเขียนหรือเข้าถึง:
setfacl setfacl -m g:users:0 /home/user*
ls -l
drwxrwxrwx+ 2 user1 user1 4096 Jul 11 15:40 user1
drwxrwxrwx+ 2 user2 user2 4096 Jul 11 15:24 user2
+
สัญญาณหมายถึงการปรากฏตัวของการตั้งค่า ACL มี และgetfacl
สามารถยืนยันได้ว่า:
getfacl /home/user1
getfacl: Removing leading '/' from absolute path names
# file: home/user1
# owner: user1
# group: user1
user::rwx
group::rwx
group:users:---
mask::rwx
other::rwx
group:users:---
แสดงให้เห็นว่ากลุ่มได้อย่างมีประสิทธิภาพไม่มีสิทธิ์แม้จะมีสิทธิ์ที่ปกติสำหรับความเป็นอยู่อื่น ๆother::rwx
และทดสอบในฐานะผู้ใช้ 1:
[user1@access ~]$ ls -la /home/user2
ls: cannot open directory /home/user2: Permission denied
วิธีแก้ปัญหาทั่วไปที่สองในระบบที่ใช้ร่วมกันคือการให้ไดเรกทอรีบ้านติดตั้งอัตโนมัติบนความต้องการเซิร์ฟเวอร์ที่ทุ่มเทให้กับการเข้าถึงเปลือก มันไกลจากการพิสูจน์ที่โง่เขลา แต่โดยทั่วไปจะมีผู้ใช้เพียงไม่กี่คนเท่านั้นที่จะถูกบันทึกในความหมายพร้อมกันเฉพาะไดเรกทอรีหลักของผู้ใช้เหล่านั้นเท่านั้นที่สามารถมองเห็นและเข้าถึงได้
chmod files 0777
เป็นสิ่งที่จำเป็นอย่างยิ่งหรือไม่นั่นคือการระบุสาเหตุของปัญหามากกว่าอาการที่ทำเช่นนั้นทุกคนสามารถอ่านไฟล์ของคนอื่นได้ หลายครั้งที่การอนุญาตให้เข้าถึงคำแนะนำการเข้าถึงทั้งหมดเป็นเพียงวิธีที่ประหยัดในการหลีกเลี่ยงการโทรติดต่อหรือขาดความสามารถทางเทคนิคในการตั้งค่าการอนุญาตอย่างถูกต้อง ในกรณีที่ไม่มีฉันต้องตั้งไฟล์0777
หรือให้สิทธิ์การเข้าถึงรูทแบบสมบูรณ์เมื่อมีการร้องขอ การศึกษาของผู้ใช้และ / หรือผู้ขายช่วยอย่างหนาแน่นที่นี่