Access Control Lists (Español)
Proporciona un mecanismo de permisos adicionales más flexibles para los sistemas de archivos. Está diseñado para ayudar con los permiso de archivos en UNIX. ACL permite dar permisos para cualquier usuario o grupo a cualquier recurso del disco.
Configuración
Habilitando ACL
Para habilitar ACL los sistema de archivos se deben haber montado con la opción acl
, puede usar fstab para hacer el montaje con acl permanente en su sistema.
Es posible que la opción acl
estés activada por defecto como opción de montaje en el sistema de archivos; en Btrfs y ext* también. Use el siguiente comando para verificar las particiones formateadas con ext* con la opción:
# tune2fs -l /dev/sd''XY'' | grep "Default mount options:"
Default mount options: user_xattr acl
También puede verificar que el punto de montaje por defecto no está anulado, en tal caso vería noacl
en /proc/mounts
.
Puede configurar las opciones de montajes predeterminadas de un sistema de archivos utilizando el comando tune2fs -o opción partición
por ejemplo:
# tune2fs -o acl /dev/sdXY
Utilizar las opciones de montaje por defecto en lugar de las entradas en /etc/fstab
es muy útil para unidades externa, tales particiones serán montadas con la opción acl
en otras máquinas GNU/Linux; sin necesidad de editar /etc/fstab en cada máquina.
acl
se especifica por defecto cuando se crean sistemas de archivos ext2/3/4 y se configura en/etc/mke2fs.conf
.- Por defecto las opciones de montaje no están en la lista de
/proc/mounts
.
Establecer ACL
ACL puede ser modificado usando el comando ‘’’setfacl’’’
Para agregar permiso a un usuario (user
es el nombre del usuario o el ID):
# setfacl -m "u:user:permissions" <file/dir>
Agregar permisos para un grupo (group
es el nombre del grupo o el ID del grupo):
# setfacl -m "g:group:permissions" <file/dir>
Para permitir que todos los archivos o directorios hereden las entradas de ACL desde el directorio con:
# setfacl -dm "entry" <dir>
Para eliminar un entrada específica:
# setfacl -x "entry" <file/dir>
Para remover todas las entradas:
# setfacl -b <file/dir>
Mostrar ACL
Para mostrar los permisos use:
# getfacl <nombre archivo>
Ejemplos
Establecer todos lo permisos para el usuario johnny en el archivo con nombre “abc”:
# setfacl -m "u:johnny:rwx" abc
Check permissions
Listar los permisos
# setfacl -m "u:johnny:r-x" abc
Check permissions
Eliminar todas las entradas ACL extendidas:
# setfacl -b abc
Check permissions
Salida del comando ls
Notará que hay un ACL para un archivo dado porque se mostrará un (signo más) después del permiso Unix en la salida de ls -l
.
$ ls -l /dev/audio
crw-rw----+ 1 root audio 14, 4 nov. 9 12:49 /dev/audio
Conceder permisos de ejecución para archivos privados a un servidor Web
La siguiente técnica describe de cómo un proceso de un servidor web puede tener acceso a los archivos que residen en el directorio personal de un usuario sin comprometer la seguridad dando acceso a todo el mundo.
Supongamos que el servidor web se ejecuta como del usuario y le concede acceso al directorio personal del usuario geoffrey que es
El primer paso es otorgar permiso de ejecución a para que pueda acceder a directorio personal de :
# setfacl -m "u:webserver:--x" /home/geoffrey
Recuerda: Los permisos de ejecución en un directorio son necesarios para que un proceso enumere el contenido del directorio.
Ahora puede acceder a los archivos en y otros no necesitan acceso por lo tanto se puede remover de forma segura.
# chmod o-rx /home/geoffrey
El comando puede ser usado para verificar los cambios.
$ getfacl /home/geoffrey getfacl: Removing leading '/' from absolute path names # file: home/geoffrey # owner: geoffrey # group: geoffrey user::rwx user:webserver:--x group::r-x mask::r-x otros::---
Como se muestra en la salida anterior ya no tiene permisos pero todavía puede acceder a los archivos, por lo tanto la seguridad se ha incrementado.
También puede ver
- Un antiguo, exhaustivo y relevante recurso guia de ACL
- How to set default file permissions for all folders/files in a directory?