Questions tagged «access-control-list»

访问列表是规则列表,通常保存在网络设备(例如交换机,路由器或防火墙)上,这些规则与网络流量匹配。尽管“访问列表”的概念更为通用,但在思科设备的上下文中使用了特定术语“访问列表”。

2
Apache的“要求一切都被授予”实际上是做什么的?
我刚刚将Apache服务器更新为在Ubuntu 13.04下运行的Apache / 2.4.6。我曾经有一个虚拟主机文件,其中包含以下内容: <Directory "/home/john/development/foobar/web"> AllowOverride All </Directory> 但是当我跑步时,我得到了“禁止。您无权访问/” 经过一番谷歌搜索后,我发现要使我的网站再次运行,我需要添加以下行“ Require all grant”,以便我的虚拟主机看起来像这样: <Directory "/home/john/development/foobar/web"> AllowOverride All Require all granted </Directory> 我想知道这是否“安全”,并且不会带来任何安全问题。我在Apache的页面上读到,它“模仿了以前由'允许所有人'和'拒绝所有人'指令提供的功能。此提供程序可以采用'granted'或'denied'两个参数之一。示例将授予或拒绝访问所有请求。” 但是它并没有说这是否是某种安全问题,还是为什么我们现在不得不在过去不必这样做时这样做。

4
linux / setfacl-使用指定的所有者/组将父目录中的所有当前/将来的文件/目录设置为775
我有一个名为“成员”的目录,在该目录下有文件夹/文件。如何递归设置所有当前的文件夹/文件以及将来在其中创建的所有文件夹/文件,默认情况下都具有775权限,分别属于所有者/组没人/管理员?我启用了ACL,已挂载,但似乎无法通过setfacl命令正确执行此操作。任何想法如何做到这一点?


8
如何解决NTFS移动/复制设计缺陷?
正如处理文件服务器权限的任何人都知道的那样,NTFS具有一个有趣的设计功能/缺陷,称为“移动/复制”问题。 如所解释的该MS的知识库文章中,对于一个文件夹或文件的权限不会自动从父,如果文件夹被移动继承以及源和目的地是否相同NTFS卷上。如果复制了文件夹,或者源和目标位于不同的卷上,则继承权限。 这是一个简单的示例: 您在同一NTFS卷上有两个共享文件夹,分别称为“技术人员”和“管理人员”。“技术人员”组具有对“技术人员”文件夹的RW访问权限,而“管理者”组具有对“经理”文件夹的RW访问权限。如果某人可以同时访问这两个文件夹,并且他们将子文件夹从“ Managers”文件夹移至“ Technicians”文件夹,则移动的文件夹仍仅对“ Managers”组中的用户可用。即使位于“技术人员”文件夹下,“技术人员”组也无法访问该子文件夹,并且应该从顶部继承权限。 您可以想象,这会导致解决这些最终用户问题的支持电话,故障单和浪费的时间,更不用说如果用户经常在文件夹上不同安全文件夹/区域之间移动文件夹时可能会产生的大量麻烦。相同的音量。 问题是: 解决此NTFS设计缺陷的最佳方法是什么?如何在您的环境中处理它? 我知道链接的知识库文章讨论了一些用于更改Windows资源管理器默认行为的注册表项,但是它们是客户端的,并且要求用户具有更改权限的能力,如果您使用大多数环境,我认为这是不入门的想要控制您的文件服务器权限(以及您作为系统管理员的理智)。

2
为什么组上的chmod(1)影响ACL掩码?
我试图了解这种Unix行为(我恰巧在Ubuntu 11.10上进行了测试): $ touch foo $ setfacl -m u:nobody:rwx foo $ getfacl foo # file: foo # owner: michael # group: michael user::rw- user:nobody:rwx group::rw- mask::rwx other::r-- $ chmod g-rw foo $ getfacl foo # file: foo # owner: michael # group: michael user::rw- user:nobody:rwx #effective:--x group::rw- #effective:--- mask::--x other::r-- …



7
为什么cp不遵守ACL?
设置目录以在组内共享文件的常见方法是: $ mkdir foo $ chgrp felles foo $ chmod g+ws foo $ setfacl -m group:felles:rwx foo $ setfacl -dm group:felles:rwx foo 这样可以确保创建的所有文件foo对组都是可读和可写的felles: $ umask 0022 $ echo hi > foo/bar $ ls -l foo total 4 -rw-rw-r--+ 1 bhm felles 3 2010-09-23 00:18 bar 但是,如果将文件复制到foo,则不会应用默认ACL: $ echo you > …

1
setfacl:x.txt:不支持该操作
我做了什么,做了什么: > getfacl x.txt # file: x.txt # owner: cwhii # group: cwhii user::rw- group::r-- other::r-- > groups cwhii adm dialout cdrom plugdev lpadmin admin sambashare > setfacl --modify=g:adm:rw x.txt setfacl: x.txt: Operation not supported > uname -a Linux road 2.6.31-19-generic #56-Ubuntu SMP Thu Jan 28 01:26:53 UTC 2010 i686 …


3
如何在Mac OS X上复制ACL?
大多数unix派生可以使用以下命令将ACL从一个文件复制到另一个文件: getfacl filename1 | setfacl -f - filename2 不幸的是,Mac OS X没有getfacl和setfacl命令,因为它们已将ACL处理滚动到chmod中。chmod -E在stdin上接受ACL的列表,但是我还没有找到可以在stdout上以适当格式吐出ACL的命令。我想出的最好的是: ls -led filename1 | tail +2 | sed 's/^ *[0-9][0-9]*: *//' | chmod -E filename2 有没有更强大的解决方案? 额外的问题:是否有一个不错的方法可以在Python中完成,而无需使用10.6随附的任何模块?

3
解决AWS网络ACL规则限制
一个VPC网络ACL最多可以应用40条规则。 我列出了50多个IP地址,我需要这些IP地址来明确阻止通过任何端口和任何协议访问我们系统中的内容。这是ACL的理想目的,但是限制使我无法完成此任务。 当然,我可以在每个主机的IPTables中执行此操作,但是我想阻止到VPC中所有组件(例如,到ELB)的所有流量。此外,更理想的是在一个地方而不是每个主机上管理这些规则。 我希望有某种方式我不理解在系统/平台级别执行此操作。安全组是显式允许的,没有拒绝操作,因此它们不会成功。

3
Samba可以支持完整的Windows ACL吗?
我已经设置了具有AD集成和启用ACL的文件系统的Samba 3主机。使用Windows客户端,我可以设置用户和组权限。 到目前为止,Samba只是映射到POSIX ACL的rwx权限,这使我无法在Windows上使用“修改”或“完全控制”权限。我还阅读了一些有关xattrs和ZFS ACL支持的信息。 有人可以暗示什么是超越POSIX ACL完全类似于Windows ACE的最佳方法吗?

3
我可以使用ACL覆盖umask来使在给定目录中创建的所有文件都可读吗?
假设我的umask是0077。 我有一个目录,foo我想对其应用特殊的权限。我在其中创建的所有文件foo应该是世界可读的,并且所有目录应该是世界可读的和可执行的。 当前,如果我创建一个文件,它将是0600,目录将是0700: $ cd foo/ $ touch file $ mkdir directory $ ls -l drwx------ 2 nfm nfm 4096 2012-01-12 16:16 directory -rw------- 1 nfm nfm 0 2012-01-12 16:15 file 无论我的umask如何,我都希望文件为0644,目录为0755: drwxr-xr-x 2 nfm nfm 4096 2012-01-12 16:16 directory -rw-r--r-- 1 nfm nfm 0 2012-01-12 16:15 file 我该如何实现?


By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.