options UFS_ACL


Тему по пересборки ядра мы ещё не затрагивали, но вы можете не беспокоиться, так как эта опция по умолчанию находится в стандартном ядре системы с именем GENERIC.
После того, как Вы добавите необходимую опцию в ядро и соберёте ядро, это если в друг Вы уже знакомы с тем как пересобирать ядро, необходимо включить поддержку ACL для конкретной файловой системы, т.е назначить определённой точке монтирования. Существует два способа включения ACL для файловой системы:

1.    Через файл /etc/fstab путём добавления необходимого флага к файловой системе mount(8). В результате ACL включается во время загрузки ОС и монтирования файловой системы:



cat /etc/fstab # Device Mountpoint FStype Options /dev/ad0s1b none swap sw /dev/ad0s1a / ufs rw,suiddir /dev/ad0s1f /home ufs rw,acls /dev/ad0s1e /tmp ufs rw /dev/ad0s1g /usr ufs rw,suiddir /dev/ad0s1d /var ufs rw /dev/acd0 /cdrom cd9660 ro,noauto

 

Как  можно видеть из примера, флаг acls добавлен для точки монтирования /home. После перезагрузки системы можно будет использовать ACL на данной файловой системе. Для проверки того установлен ли флаг acls для файловой системы, используйте команду mount(8) без параметров:



mfdesktop1# mount /dev/ad0s1a on / (ufs, local, suiddir) devfs on /dev (devfs, local) /dev/ad0s1f on /home (ufs, local, soft-updates, acls) /dev/ad0s1e on /tmp (ufs, local, soft-updates) /dev/ad0s1g on /usr (ufs, local, suiddir, soft-updates) /dev/ad0s1d on /var (ufs, local, soft-updates)



Включение ACL во время загрузки системы, т.е при монитровании файловых систем имеет ряд недостатков:


fdesktop1# cat /etc/fstab
# Device                Mountpoint      FStype  Options         Dump    Pass#
/dev/ad0s1b             none            swap    sw              0       0
/dev/ad0s1a             /               ufs     rw              1       1
/dev/ad0s1f             /home           ufs     rw              2       2
/dev/ad0s1e             /tmp            ufs     rw              2       2
/dev/ad0s1g             /usr            ufs     rw              2       2
/dev/ad0s1d             /var            ufs     rw              2       2
/dev/acd0               /cdrom          cd9660  ro,noauto       0       0



Будем включать поддержку ACL для файловой системы /home. Если файловая система, на которой Вы хотите включить ACL, используется и её нельзя размонтировать, то необходимо перейти в однопользовательский режим (boot –s или 3 пункт в меню загрузки):



fdesktop1# umount /home fdesktop1# tunefs -a enable /dev/ad0s1f tunefs: ACLs set fdesktop1# mount -o rw /dev/ad0s1f /home fdesktop1# mount /dev/ad0s1a on / (ufs, local, suiddir) devfs on /dev (devfs, local) /dev/ad0s1e on /tmp (ufs, local, soft-updates) /dev/ad0s1g on /usr (ufs, local, suiddir, soft-updates) /dev/ad0s1d on /var (ufs, local, soft-updates) /dev/ad0s1f on /home (ufs, local, soft-updates, acls)



   После того как Вы включили поддержку ACL для файловой системы, Вам необходимо узнавать файлы на которые установлены ACL. Это можно сделать с помощью команды ls(1):



$ ls -l -rw-r--r-- 1 root wheel 374 Jun 2 02:14 login -rw-r--r--+ 1 root wheel 0 Jul 8 00:07 login.conf



Как видно из примера, файл на котором установлены ACL отображается со знаком плюс после прав доступа.


При работе с ACL будут полезны следующие команды:

•setfacl(1) – установка, удаление ACL
•getfacl(1) – получение информации об установленных ACL
•ls(1) – получение списка файлов и информации о них

Перед тем как работать с командами, опишем самые необходимые опции, которые мы будем использовать, и определим порядок установки ACL.

Для setfacl(1):
-b – удаляет все установленные ACL
-m <entries>  – добавляет и модифицирует существующие записи ACL
-M <file> - добавляет и модифицирует существующие ACL взятые из указанного файла
-n – не изменяет существующую маску максимальных полномочий при установке ACL
-x <entries> – удаляет конкретную запись ACL
-X <file> – удаляет записи ACL взятые из указанного файла


Порядок установки ACL:

1.Устанавливаем маску максимальных полномочий, она определяется из тех максимальных полномочий, которые должны быть у пользователя или группы на ресурс
2.Устанавливаем или модифицируем необходимые ACL с опцией отменяющей изменение маски максимальных полномочий
3.Удаляем  все или необходимые ACL записи


Важно!
1.ACL никоим образом не влияет на права доступа для владельца
2.Изменение маски максимальных полномочий отражается на группе по умолчанию, т.е права определённые маской максимальных полномочий определяются и для группы по умолчанию
3.Изменение прав доступа для категории o(other) в ACL влияет на категорию o(other) по умолчанию

При установки ACL для многих групп (u,g,o) в качестве разделителя используется запятая(,).


Практика:
(Для более подробной информации о командах обязательно читайте маны)

Установим ACL на файл и проверим работоспособность наших ACL:



fdesktop1# touch test.file fdesktop1# ls -l test.file -rw-r--r-- 1 root 0 0 Jul 8 01:40 test.file fdesktop1# setfacl -m m::rw test.file fdesktop1# setfacl -n -m u:atrium:r,u:tests:rw test.file fdesktop1# getfacl test.file # file: test.file # owner: root # group: 0 user::rw- user:atrium:r-- user:tests:rw- group::r-- mask::rw- other::r—


Далее заходим пользователем atrium и проверяем установленные полномочия:



$ echo "test message" >> /home/test.file cannot create /home/test.file: Permission denied



Давайте теперь изменим полномочия для пользователя atrium и установим для него права доступа rw- и попробуем произвести запись в тот же файл:



fdesktop1# setfacl -n -m u:atrium:rw test.file fdesktop1# getfacl test.file # file: test.file # owner: root # group: 0 user::rw- user:atrium:rw- user:tests:rw- group::r-- mask::rw- other::r-- $ echo "test message" >> /home/test.file $ cat /home/test.file test message $


При установке ACL важен порядок следования опций, опция –n должна следовать перед опцией –m или -x

Важно!
Обязательно не забывайте использовать опцию –n при установке, модификации или удалении существующих ACL, так как при добавлении, модификации или удалении ACL без опции –n происходит изменение максимальной маски полномочий в сторону уменьшения или увеличения, в зависимости от прав доступа.


Удалим ACL установленные для пользователя tests:



fdesktop1# getfacl test.file # file: test.file # owner: root # group: 0 user::rw- user:atrium:rw- # effective: r-- user:tests:rw- # effective: r-- group::r-- mask::r-- other::r-- fdesktop1# setfacl -n -x u:tests:rw test.file fdesktop1# getfacl test.file # file: test.file # owner: root # group: 0 user::rw- user:atrium:rw- # effective: r-- group::r-- mask::r-- other::r--



Сделаем тоже самое, только без опции –n для демонстрации того, как меняется максимальная маска полномочий:



fdesktop1# getfacl test.file # file: test.file # owner: root # group: 0 user::rw- user:atrium:rw- # effective: r-- user:tests:rw- # effective: r-- group::r-- mask::r-- other::r-- fdesktop1# setfacl -x u:tests:rw test.file fdesktop1# getfacl test.file # file: test.file # owner: root # group: 0 user::rw- user:atrium:rw- group::r-- mask::rw- other::r--


Как можно видеть максимальная маска полномочий изменилась в сторону увеличения, что соответственно может привести к проблемам с безопасностью, поэтому будьте внимательны.


Установим ACL для 2 или более пользователей одной командой:



fdesktop1# setfacl -m m::r test.file fdesktop1# setfacl -n -m u:atrium:rw,u:root:r,u:tests:rw test.file fdesktop1# getfacl test.file # file: test.file # owner: root # group: wheel user::rwx user:root:r-- user:atrium:rw- # effective: r-- user:tests:rw- # effective: r-- group::rw- # effective: r-- mask::r-- other::r-- fdesktop1#



Посмотрим как действует маска максимальных полномочий:

Создадим файл и установим на него ACL в виде маски максимальных полномочий r(чтение), а для пользователя test и atrium установим права rw(чтение и запись), и попробуем произвести запись пользователем atrium.

Установили права



fdesktop1# setfacl -m m::r test.file fdesktop1# setfacl -n -m u:atrium:rw,u:tests:rw test.file fdesktop1# getfacl test.file # file: test.file # owner: root # group: wheel user::rwx user:atrium:rw- # effective: r-- user:tests:rw- # effective: r-- group::rw- # effective: r-- mask::r-- other::r--


Попробуем произвести запись пользователем atrium в файл



$ echo "test string" >> ./test.file cannot create ./test.file: Permission denied



Как видим, доступ запрещён, хотя права доступа для пользователя atrium – rw. Эффективные права доступа для пользователя  определила маска максимальных полномочий, и отображаются эффективные права доступа напротив  пользователя в виде строки:



# effective: r--





Специальные флаги

   Для любого файла в ОС FreeBSD можно установить специальные флаги, которые накладывают определённые ограничения на манипуляции с этим файлом. Накладываемые ограничения определяются флагом, который будет установлен на файл. Использование флагов повышает безопасность файловой системы, особенно в сочетании с уровнями безопасности security(7), так как некоторые уровни(1,2) запрещаю снимать флаги даже администратору системы – root.
   Посмотреть установленные флаги для файла возможно с помощью команды ls(1) с опциями –ol. Для примера сделаем листинг каталога содержащего файл с установленным флагом schg:



fdesktop1# ls -ol test.file -rw-r--r-- 1 root wheel schg 0 Jul 28 03:12 test.file


Как можно видеть из примера, в столбце 5 установлен флаг schg.

Давайте перечислим флаги, которые мы будем использовать, и определим их значение:

•arch, archived – архивный файл
•opaque – флаг непрозрачности для каталогов
•nodump – флаг исключает из резервной копии
•sappnd, sappend – системный флаг, устанавливающий возможность только добавления. Может устанавливаться только суперпользователем, т.е пользователем с UID=0.
•schg, schange, simmutable – системный флаг, устанавливающий запрет на изменение. Может устанавливаться только суперпользователем, т.е пользователем с UID=0.
•sunlnk, sunlink -  системный флаг, запрещает удаление. Может устанавливаться только суперпользователем, т.е пользователем с UID=0.
•uappnd, uappend – пользовательский флаг, устанавливающий возможность только добавления. Может устанавливаться владельцем файла или суперпользователем, т.е пользователем с UID=0.
•uchg, uchange, uimmutable - пользовательский флаг, устанавливающий запрет на изменение. Может устанавливаться только владельцем файла или  суперпользователем, т.е пользователем с UID=0.
•uunlnk, uunlink - пользовательский флаг, запрещает удаление. Может устанавливаться только владельцем файла или суперпользователем, т.е пользователем с UID=0.

Для установки и снятия  флагов используется команда chflags(1). Для снятия флага необходимо использовать приставку no к флагу, т.е допустим необходимо снять флаг запрещающий изменение файла schg, для этого вместе с командой chflags(1) будем использовать флаг noschg:



fdesktop1# ls -ol test.file -rw-r--r-- 1 root wheel schg 0 Jul 28 03:12 test.file fdesktop1# chflags noschg test.file fdesktop1# ls -ol test.file -rw-r--r-- 1 root wheel - 0 Jul 28 03:12 test.file fdesktop1#



Если необходимо установить несколько флагов для файла, то в качестве разделителя используется запятая (,).
   
Существует небольшая особенность флага sunlnk которую необходимо учитывать при его установке. Как мы знаем данный флаг, запрещает удаление файла, но никто не отменял команду:



echo “” > name_file


которая как Вы уже догадались, удалит всё содержимое файла.  Поэтому флаг sunlnk лучше комбинировать с флагом sappnd. Рассмотрим небольшой пример:



fdesktop1# ls -ol test.file -rw-r--r-- 1 root wheel - 1 Aug 6 02:05 test.file fdesktop1# echo "test message" > test.file fdesktop1# cat test.file test message fdesktop1# chflags sunlnk test.file fdesktop1# ls -ol test.file -rw-r--r-- 1 root wheel sunlnk 13 Aug 6 02:12 test.file fdesktop1# rm test.file rm: test.file: Operation not permitted fdesktop1# echo "" > test.file fdesktop1# cat test.file fdesktop1#


как видим всю информацию из файла test.file удалили, т.е мы добились практически эффекта от удаления самого файла. Теперь добавим к этому файлу флаг sappnd и проделаем тоже самое:



fdesktop1# ls -ol test.file -rw-r--r-- 1 root wheel - 1 Aug 6 02:13 test.file fdesktop1# echo "test message" > test.file fdesktop1# cat test.file test message fdesktop1# chflags sunlnk,sappend test.file fdesktop1# ls -ol test.file -rw-r--r-- 1 root wheel sappnd,sunlnk 13 Aug 6 02:18 test.file fdesktop1# echo "" > test.file test.file: Operation not permitted. fdesktop1# cat test.file test message fdesktop1#



Как видим, теперь информацию и сам файл удалить невозможно.


Важно!
В начале главы мы упоминали так называемые уровни безопасности, они так же играют важную роль при работе с флагами. FreeBSD по умолчанию, использует (-1) уровень безопасности:



fdesktop1# sysctl kern.securelevel kern.securelevel: -1


При данном уровне у пользователя с UID=0 (root) существует возможность, как установить, так и удалить флаг. При повышении уровня безопасности до (1), такая возможность отсутствует, т.е флаги можно будет снять только при понижении уровня до (-1) или (0).



При работе с флагами будут полезны следующие команды:

•ls(1) – получение списка файлов и информации о них
•chflags(1) – установка и удаление флагов
•security(7) – прочитать про уровни безопасности.



Практика:
(Для более подробной информации о командах обязательно читайте маны)

Давайте установим на файл, два любых флага, а потом удалим один из них:



fdesktop1# ls -ol test.file -rw-r--r-- 1 root wheel - 13 Aug 6 02:18 test.file fdesktop1# chflags sunlnk,sappend test.file fdesktop1# ls -ol test.file -rw-r--r-- 1 root wheel sappnd,sunlnk 13 Aug 6 02:18 test.file fdesktop1# chflags nosappend test.file fdesktop1# ls -ol test.file -rw-r--r-- 1 root wheel sunlnk 13 Aug 6 02:18 test.file fdesktop1#



Удалим с файла заранее установленный флаг schg



fdesktop1# ls -ol test.file -rw-r--r-- 1 root wheel schg 13 Aug 6 02:18 test.file fdesktop1# chflags noschg test.file fdesktop1# ls -ol test.file -rw-r--r-- 1 root wheel - 13 Aug 6 02:18 test.file






Offline версия файл скачан размер размещён примечание 967 985.7kb 2009-08-10 Offline руководство

размещено: 2009-08-10,
последнее обновление: 2010-04-10,
автор: atrium