http://wiki.linuxformat.ru/wiki/index.php?action=history&feed=atom&title=LXF125%3ADrBrown2LXF125:DrBrown2 - История изменений2026-05-13T03:53:10ZИстория изменений этой страницы в викиMediaWiki 1.19.20+dfsg-0+deb7u3http://wiki.linuxformat.ru/wiki/index.php?title=LXF125:DrBrown2&diff=11139&oldid=prevCrazy Rebel: викификация, оформление, иллюстрация2010-11-15T09:54:56Z<p>викификация, оформление, иллюстрация</p>
<p><b>Новая страница</b></p><div>==Списки управления доступом==<br />
<br />
: '''ACL''' Только доктор решил, что одолел ''chmod'', как нашелся ACL.<br />
<br />
B девяностых годах прошлого века комитет POSIX по стандартизации (IEEE 1003.1e) работал над набором расширений безопасности для Unix. Когда финансирование прекратилось, от стандарта отказались, но во многом он уже был завершен, и кое-что из него перекочевало в Linux, например, списки управления доступом (ACL).<br />
<br />
Стандартная модель доступа в Linux – тропа хоженая: у нас есть права на чтение, запись и выполнение, и установить их можно для владельца файла, членов группы владельца и всех остальных. И это все. Списки управления доступом расширяют эту модель, так что права на чтение, запись и выполнение можно задать<br />
для любого количества пользователей и групп.<br />
<br />
Файловые системы ''ext2'' и ''ext3'' поддерживают ACL, но только в том случае, когда они смонтированы с опцией '''acl'''. Например:<br />
<br />
sudo mount -o acl /dev/sda2 /home<br />
<br />
{{Врезка|Содержание=[[Изображение:LXF125_47_1.jpg|300px]] Анатомия команды ''setfacl''.|Ширина=300px}}<br />
<br />
Конечно, более солидный под ход – добавить параметры монтирования в '''/etc/fstab''', например, так:<br />
<br />
/dev/sda2 /home ext3 acl 0 0<br />
<br />
Если ACL активированы, управлять ими можно с помощью утилит командной строки ''setfacl'' и ''getfacl''. На рисунке показаны синтаксис команды ''setfacl'' и способ представления ACL.<br />
<br />
Давайте выполним несколько команд, чтобы посмотреть, как все это работает. Сначала создадим файл '''foo''' и установим права доступа к нему в 600:<br />
<br />
touch foo<br />
chmod 600 foo<br />
ls -l foo<br />
-rw------- 1chris chris02009-08-1814:45foo<br />
<br />
Обратите внимание, что в ACL файла автоматически добавятся три раздела, соответствующие обычным правам доступа (вывод команды так же содержит строки '''file, owner''' и '''group''', которые мы на данном уроке не меняем).<br />
<br />
getfacl foo<br />
user::rw-<br />
group::---<br />
other::---<br />
<br />
На самом деле эти разделы автоматически синхронизируются с обычными правами доступа – изменения, произведенные командой ''chmod'', появятся в выводе ''getfacl'', а изменения ''setfacl'' появятся в выводе ''ls -l''.<br />
<br />
Создадим еще два ACL, добавив доступ на чтение-запись для пользователя '''Tom''' и доступ на чтение для группы '''Games''':<br />
<br />
setfacl -m u:tom:rw foo<br />
setfacl -m g:games:r foo<br />
getfacl foo<br />
user::rw-<br />
user:tom:rw-<br />
group::---<br />
group:games:r--<br />
mask::rw-<br />
other::---<br />
<br />
Дело немного усложнится, если задать маску ACL. Она используется для ограничения доступа явно поименованных в ACL пользователей и групп и не затрагивает права владельца файла. Здесь мы устанавливаем маску только для чтения и снова просматриваем ACL. Обратите внимание, что фактические права Тома были ограничены маской; теперь это только чтение, а не чтение и запись:<br />
<br />
setfacl -m m::r foo<br />
getfacl foo<br />
user::rw-<br />
user:tom:rw- #effective:r--<br />
group::---<br />
group:games:r--<br />
mask::r--<br />
other::---<br />
<br />
Наконец, можно удалить ACL таким образом:<br />
<br />
setfacl -x g:games: foo<br />
getfacl foo<br />
user::rw-<br />
user:tom:rw-<br />
group::---<br />
mask::rw-<br />
other::---<br />
<br />
Команда ''ls'' не пытается отобразить полный список управления доступом для файла, но позволяет понять, что он задан (об этом говорит знак '''+''' после девяти бит прав доступа):<br />
<br />
ls -l foo<br />
-rw-r-----+ 1 chris chris02009-08-1814:45foo<br />
<br />
Задать список управления доступом для файла можно и по-другому. Во-первых, можно заставить ''setfacl'' прочитать ACL из файла или из стандартного ввода. Следующий пример показывает, как скопировать ACL с '''foo''' в '''bar''':<br />
<br />
getfacl foo1 | setfacl --set-file=- bar<br />
<br />
Во-вторых, можно заставить вновь созданные файлы унаследовать ACL от содержащего их каталога. Чтобы сделать это, нужно назначить каталогу список управления доступом по умолчанию. Вот пример. Сначала создадим каталог '''acltest''' и назначим ему ACL по умолчанию (опция '''-d''' команды ''setfacl''):<br />
<br />
mkdir acltest<br />
setfacl -d -m u:tom:rw,g:games:r acltest<br />
<br />
Если теперь создать новый файл в этом каталоге и просмотреть его ACL, мы увидим списки для Tom и Games, которые пришли от списка по умолчанию каталога '''acltest'''.<br />
<br />
Исходя из моего опыта, ACL используются не слишком часто. Большинство пользователей не представляют себе всех возможных сценариев, которых можно достичь стандартными правами доступа, осторожно используя группы и, возможно, установкой битов '''setuid''' и '''setgid'''.</div>Crazy Rebel