RHCSA -Serien mit ACLS (Access Control Lists) und Montage SAMBA / NFS -Aktien - Teil 7
- 4622
- 945
- Henry Liebold
Im letzten Artikel (RHCSA -Serie Teil 6) haben wir begonnen, zu erklären, wie der lokale Systemspeicher eingerichtet und konfiguriert wird geteilt Und SSM.
RHCSA -Serie :: Konfigurieren Sie ACLs und Montage -NFS / Samba -Aktien - Teil 7Wir haben auch darüber diskutiert, wie Sie verschlüsselte Volumina während des Systemstiefels erstellen und montieren. Darüber hinaus haben wir Sie gewarnt, nicht kritische Speicherverwaltungsvorgänge in montierten Dateisystemen durchzuführen. In diesem Sinne werden wir jetzt die am häufigsten verwendeten Dateisystemformate in überprüfen Red Hat Enterprise Linux 7 und dann die Themen der Montage, Verwendung und behandeln unvermeidlich sowohl manuell als auch automatisch Netzwerk -Dateisysteme (CIFs Und NFS) zusammen mit der Implementierung von Zugriffskontrolllisten für Ihr System.
Voraussetzungen
Bevor Sie weiter fortfahren, stellen Sie bitte sicher, dass Sie eine haben Samba Server und a NFS Server verfügbar (Beachten Sie das NFSV2 wird nicht mehr unterstützt in Rhel 7).
Während dieser Anleitung werden wir eine Maschine mit verwenden IP 192.168.0.10 Mit beiden Diensten, die in IT als Server ausgeführt werden, und a Rhel 7 Box als Client mit IP -Adresse 192.168.0.18. Später im Artikel werden wir Ihnen mitteilen, welche Pakete Sie auf dem Client installieren müssen.
Dateisystemformate in RHEL 7
Mit ... anfangen Rhel 7, Xfs wurde aufgrund seiner hohen Leistung und Skalierbarkeit als Standarddateisystem für alle Architekturen eingeführt. Es unterstützt derzeit eine maximale Größe des Dateisystems von 500 TB Gemäß den neuesten Tests, die Red Hat und seine Partner für Mainstream -Hardware durchgeführt haben.
Auch, Xfs ermöglicht user_xattr (erweiterte Benutzerattribute) und ACL (POSIX Access Control Lists) als Standard -Mount -Optionen im Gegensatz zu ext3 oder ext4 (ext2 wird als veraltet als RHEL 7 angesehen), was bedeutet, dass Sie diese Optionen nicht explizit in der Befehlszeile oder in angeben müssen /etc/fstab Bei der Montage eines XFS -Dateisystems (wenn Sie solche Optionen in diesem letzten Fall deaktivieren möchten, müssen Sie explizit verwenden no_acl Und no_user_xattr).
Beachten Sie, dass die erweiterten Benutzerattribute Dateien und Verzeichnissen zum Speichern beliebiger zusätzlicher Informationen wie dem MIME -Typ, dem Zeichensatz oder der Codierung einer Datei zugewiesen werden können, während die Zugriffsberechtigungen für Benutzerattribute durch die regulären Dateiberechtigungsbits definiert werden.
Zugriffskontrolllisten
Wie jeder Systemadministrator, entweder Anfänger oder Experte, ist die regelmäßigen Zugriffsberechtigungen für Dateien und Verzeichnisse gut vertraut, die bestimmte Berechtigungen festlegen (bestimmte Berechtigungenlesen, schreiben, Und ausführen) für den Besitzer, die Gruppe und „die Welt“ (alle anderen). Sie können sich jedoch gerne auf Teil 3 der RHCSA -Serie beziehen, wenn Sie Ihr Gedächtnis ein wenig aktualisieren müssen.
Seit dem Standard jedoch Ugo/rwx SET ermöglicht es nicht, verschiedene Berechtigungen für verschiedene Benutzer zu konfigurieren, ACLS wurden eingeführt, um detailliertere Zugriffsrechte für Dateien und Verzeichnisse zu definieren als die von regulären Berechtigungen angegebenen.
In der Tat, ACL-definiert Berechtigungen sind eine Übersicht über die Berechtigungen, die durch die Dateiberechtigungsbits angegeben sind. Mal sehen, wie all dies übersetzt wird, wird in der realen Welt angewendet.
1. Es gibt zwei Arten von ACLS: Zugang zu ACLs, die entweder auf eine bestimmte Datei oder ein Verzeichnis angewendet werden können) und Standard ACLs, das kann nur auf ein Verzeichnis angewendet werden. Wenn darin enthaltene Dateien keinen ACL -Set haben, erben sie die Standard -ACL ihres übergeordneten Verzeichnisses.
2. Zunächst können ACLs pro Benutzer, pro Gruppe oder pro Benutzer konfiguriert werden.
3. ACLS werden eingestellt (und entfernt) verwendet setfacl, mit beiden -M oder -X Optionen jeweils.
Lassen Sie uns beispielsweise eine Gruppe namens erstellen Tecmint und Benutzer hinzufügen John Doe Und Davenull dazu:
# GroupAdd Tecmint # UserAdd Johndoe # UserAdd Davenull # Usermod -a -g Tecmint Johndoe # Usmod -a -g tecmint Davenull
Und überprüfen wir, dass beide Benutzer zur ergänzenden Gruppe gehören Tecmint:
# id Johndoe # id DavenullÜberprüfen Sie die Benutzer
Lassen Sie uns nun ein Verzeichnis namens Playground inside erstellen /mnt, und eine Datei mit dem Namen Testdatei.txt innen. Wir werden den Gruppenbesitzer auf Tecmint und ändern Sie den Standard Ugo/rwx Berechtigungen an 770 (Lesen, schreiben und führen Sie Berechtigungen aus, die sowohl dem Eigentümer als auch dem Gruppenbesitzer der Datei erteilt wurden):
# Mkdir/Mnt/Playground # Touch/Mnt/Playground/Testfile.TXT # CHMOD 770/MNT/Playground/Testfile.txt
Dann wechseln Sie den Benutzer auf John Doe Und Davenull, in dieser Reihenfolge und schreiben Sie in die Datei:
Echo "Mein Name ist John Doe">/mnt/Playground/Testfile.txt echo "Mein Name ist Dave Null" >>/Mnt/Playground/TestFile.txt
So weit, ist es gut. Jetzt haben wir Benutzer Gacanepa Schreiben Sie in die Datei - und die Schreiboperation wird fehlschlagen, was zu erwarten war.
Aber was ist, wenn wir tatsächlich Benutzer brauchen Gacanepa (Wer ist kein Mitglied der Gruppe Tecmint) Schreibberechtigungen auf /Mnt/Spielplatz/Testfile.txt? Das erste, was Ihnen in den Sinn kommt, ist das Hinzufügen dieses Benutzerkontos zu Gruppen Tecmint. Aber das wird ihm Schreibberechtigungen geben ALLE Dateien waren das Schreibbit für die Gruppe, und das wollen wir nicht. Wir wollen nur, dass er schreiben kann /Mnt/Spielplatz/Testfile.txt.
# Touch/Mnt/Playground/Testfile.TXT # Chown: Tecmint/Mnt/Playground/Testfile.TXT # CHMOD 777/MNT/Playground/Testfile.txt # su Johndoe $ echo "Mein Name ist John Doe">/Mnt/Playground/Testfile.txt $ su Davenull $ echo "Mein Name ist Dave Null" >>/mnt/Spielplatz/Testdatum.txt $ su gacanepa $ echo "Mein Name ist Gabriel Canepa" >>/mnt/Playground/Testfile.txtBenutzerberechtigungen verwalten
Lassen Sie uns den Benutzer geben Gacanepa Lesen und schreiben Zugriff auf /Mnt/Spielplatz/Testfile.txt.
Als root laufen,
# setfacl -r -m u: gacanepa: rwx /mnt /spielplatzplatz
und Sie werden erfolgreich eine hinzugefügt haben ACL das erlaubt Gacanepa Um in die Testdatei zu schreiben. Wechseln Sie dann zum Benutzer wechseln Gacanepa und versuchen Sie erneut in die Datei zu schreiben:
$ echo "Mein Name ist Gabriel Canepa" >>/Mnt/Playground/Testfile.txt
Um die zu sehen ACLS Verwenden Sie für eine bestimmte Datei oder ein bestimmtes Verzeichnis getfacl:
# GetFacl/Mnt/Playground/Testfile.txtÜberprüfen Sie die ACLs von Dateien
Zu setzen a Standard ACL zu einem Verzeichnis (das sein Inhalt erben wird, sofern nicht anders überschrieben), fügen Sie hinzu D: Vor der Regel und geben Sie ein Verzeichnis anstelle eines Dateinamens an:
# setfacl -m d: o: r /mnt /spielplatzplatz
Die obige ACL ermöglicht es Benutzern, die nicht in der Eigentümergruppe Lesezugriff auf den zukünftigen Inhalt des /Mnt/Spielplatz Verzeichnis. Beachten Sie den Unterschied in der Ausgabe von getfacl /mnt /Spielplatz vor und nach der Änderung:
Stellen Sie die Standard -ACL in Linux einKapitel 20 im offiziellen RHEL 7 -Speicher -Verwaltungshandbuch enthält weitere ACL -Beispiele, und ich empfehle Ihnen dringend.
Seiten: 1 2- « 12 Nützliche PHP -Befehlszeile Verwendung Jeder Linux -Benutzer muss es wissen
- Atom - Ein hackbarer Text- und Quellcode -Editor für Linux »