Hier werden die Unterschiede zwischen zwei Versionen gezeigt.
Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung Nächste Überarbeitung | Vorherige Überarbeitung | ||
admin_grundlagen:file-acl [2016/11/22 09:07] stefan_miethke [Lesen] |
admin_grundlagen:file-acl [2023/07/11 12:43] (aktuell) sh |
||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | * http://wiki.ubuntuusers.de/ACL | + | ===== Sind acls im Dateisystem nutzbar? ===== |
- | * http://users.suse.com/~agruen/acl/linux-acls/online/ | + | Bei ext4 und xfs sind ACLs per default aktiviert |
- | * Kapitel "Zugriffssteuerungslisten unter Linux" im OpenSuSE Handbuch | + | |
+ | Für ext[234] default Mount-Optionen auslesen: | ||
+ | tune2fs -l /dev/sdXX | grep '^Default mount options' | ||
===== Default Mask setzen ===== | ===== Default Mask setzen ===== | ||
setfacl -m "d:u::rwx,d:g::rwx,d:o::-" projekte2/ | setfacl -m "d:u::rwx,d:g::rwx,d:o::-" projekte2/ | ||
+ | Alternative Syntax | ||
+ | setfacl -d -m "u::rwx,g::rwx,o::-" projekte2/ | ||
+ | | ||
setzt die default-mask auf ug=rwx,o= unter Umgehung der umask | setzt die default-mask auf ug=rwx,o= unter Umgehung der umask | ||
- | ===== Berechtigung ===== | + | ===== ACL hinzufügen ===== |
+ | Michelle darf alles hier: | ||
setfacl -m 'u:michelle:rwx' projekte2/ | setfacl -m 'u:michelle:rwx' projekte2/ | ||
+ | getfacl projekte2/ | ||
- | Michelle darf alles hier | + | ===== "vererbbare" ACL hinzufügen ===== |
+ | Michelles Rechte werden weitergegeben bei Neuanlage von Dateiobjekten | ||
+ | setfacl -d -m 'u:michelle:rwx' projekte2/ | ||
- | ==== Lesen ==== | + | ===== Aufgaben ===== |
- | getfacl projekte2/ | + | groupadd group1 |
+ | groupadd group2 | ||
+ | groupadd group3 | ||
- | ===== Default mount options ===== | + | useradd -m -s /bin/bash test1 -G group1,group2,group3 |
- | tune2fs -l /dev/xxx | + | useradd -m -s /bin/bash test2 -G group1,group2 |
+ | useradd -m -s /bin/bash test3 -G group1 | ||
+ | |||
+ | touch /tmp/acltest | ||
+ | chown test1:group3 /tmp/acltest | ||
+ | chmod ug=rw,o= /tmp/acltest | ||
+ | setfacl -m g:group2:r,g:group1:w /tmp/acltest | ||
+ | |||
+ | | ^ lesen? ^ schreiben? ^ | ||
+ | ^ test1| ''_'' | ''_'' | | ||
+ | ^ test2| ''_'' | ''_'' | | ||
+ | ^ test3| ''_'' | ''_'' | | ||
+ | |||
+ | setfacl -m m:r-- /tmp/acltest | ||
+ | |||
+ | | ^ lesen? ^ schreiben? ^ | ||
+ | ^ test1| ''_'' | ''_'' | | ||
+ | ^ test2| ''_'' | ''_'' | | ||
+ | ^ test3| ''_'' | ''_'' | | ||
+ | |||
+ | setfacl -m g:group3:- /tmp/acltest | ||
+ | |||
+ | | ^ lesen? ^ schreiben? ^ | ||
+ | ^ test1| ''_'' | ''_'' | | ||
+ | |||
+ | ===== Dateien mit ACLs finden ===== | ||
+ | |||
+ | getfacl --recursive --skip-base startVerzeichnis | awk '/^# file:/ { print substr($0, 9) }' | ||
+ | ''%%--%%recursive'' oder ''-R'' arbeitet rekursiv, ''%%--%%skip-base'' oder ''-s'' lässt Dateien weg, die lediglich die Standardeinträge haben (von ''chmod''). | ||
===== Fallen/Todos ===== | ===== Fallen/Todos ===== | ||
- | * gelöschte Benutzer in File-ACLs: wie finde ich die? | + | * gelöschte Benutzer/Gruppen in File-ACLs: wie finde ich die? |
- | * Was macht: | + | |
- | group:g1:r-- | + | |
- | group:g2:-w- | + | |
- | mask::r-- | + | |
- | * Was ist, wenn ich den Owner nachträglich auf einen in der ACL aufgeführten Benutzer ändere? | + | |
- | * Wiedersprechende Berechtigungen zwischen Owner und ACL-User: welche Regel gewinnt? | + | |
- | * Was passiert, wenn die Maske etwas verbietet, aber der Eigentümer schreiben darf? | + | |
- | * Was passiert, wenn die Maske etwas verbietet, aber die Eigentümergruppe schreiben darf? | + | |
- | setfacl -n: maske nicht neu berechnen | + | ====== Doku ====== |
+ | * http://wiki.ubuntuusers.de/ACL | ||
+ | * Kapitel "Zugriffssteuerungslisten unter Linux" im OpenSuSE Handbuch | ||