Série RHCSA usando ACLs (Listas de Controle de Acesso) e Ações Samba / NFS de montagem - Parte 7

No último artigo (RHCSA Series Part 6), começamos a explicar como configurar e configurar o armazenamento do sistema local usando separado e SSM.

RHCSA Series :: Configure ACLs e Ações de ACLs e Ações Samba - Parte 7

Também discutimos como criar e montar volumes criptografados com uma senha durante a inicialização do sistema. Além disso, avisamos você para evitar executar operações críticas de gerenciamento de armazenamento em sistemas de arquivos montados. Com isso em mente, agora revisaremos os formatos de sistema de arquivos mais usados ​​em Red Hat Enterprise Linux 7 e depois prossiga para cobrir os tópicos de montagem, usando e Desmontagem Tanto manual e automaticamente rede de sistemas de arquivos (Cifs e NFS), juntamente com a implementação de listas de controle de acesso para o seu sistema.

Pré -requisitos

Antes de prosseguir, verifique se você tem um Samba servidor e a NFS servidor disponível (observe que NFSV2 não é mais suportado em RHEL 7).

Durante este guia, usaremos uma máquina com IP 192.168.0.10 com os dois serviços em execução como servidor e um RHEL 7 caixa como cliente com endereço IP 192.168.0.18. Mais tarde no artigo, diremos quais pacotes você precisa instalar no cliente.

Formatos do sistema de arquivos no RHEL 7

Começando com RHEL 7, XFS foi introduzido como o sistema de arquivos padrão para todas as arquiteturas devido ao seu alto desempenho e escalabilidade. Atualmente, ele suporta um tamanho máximo do sistema de arquivos de 500 TB De acordo com os testes mais recentes realizados pela Red Hat e seus parceiros para hardware convencional.

Também, XFS habilita user_xattr (atributos estendidos do usuário) e ACL (Listas de controle de acesso POSIX) como opções de montagem padrão, diferentemente do ext3 ou ext4 (o ext2 é considerado depreciado a partir de Rhel 7), o que significa que você não precisa especificar essas opções explicitamente na linha de comando ou em /etc/fstab Ao montar um sistema de arquivos XFS (se você deseja desativar essas opções neste último caso, você deve usar explicitamente NO_ACL e NO_USER_XATTR).

Lembre -se de que os atributos estendidos do usuário podem ser atribuídos a arquivos e diretórios para armazenar informações adicionais arbitrárias, como o tipo MIME, o conjunto de caracteres ou a codificação de um arquivo, enquanto as permissões de acesso para atributos do usuário são definidas pelos bits regulares de permissão de arquivo.

Listas de controle de acesso

Como todo administrador do sistema, iniciante ou especialista, está bem familiarizado com permissões de acesso regular em arquivos e diretórios, que especificam certos privilégios (ler, escrever, e executar) para o proprietário, o grupo e "o mundo" (todos os outros). No entanto, sinta -se à vontade para se referir à Parte 3 da série RHCSA se precisar atualizar um pouco sua memória.

No entanto, desde o padrão ugo/rwx O conjunto não permite configurar diferentes permissões para diferentes usuários, ACLs foram introduzidos para definir direitos de acesso mais detalhados para arquivos e diretórios do que os especificados por permissões regulares.

Na verdade, Definido por ACL As permissões são um superconjunto das permissões especificadas pelos bits de permissão do arquivo. Vamos ver como tudo isso se traduz é aplicado no mundo real.

1. Existem dois tipos de ACLs: Acesse ACLs, que pode ser aplicado a um arquivo específico ou a um diretório) e ACLs padrão, que só pode ser aplicado a um diretório. Se os arquivos contidos nele não tiverem um conjunto de ACL, eles herdam o LCA padrão do diretório pai.

2. Para começar, as ACLs podem ser configuradas por usuário, por grupo ou por um usuário que não está no grupo próprio de um arquivo.

3. ACLs são definidos (e removidos) usando setfacl, com o -m ou -x opções, respectivamente.

Por exemplo, vamos criar um grupo chamado Tecmint e adicione usuários johndoe e Davenull para isso:

# groupadd tecmint # userAdd johndoe # userAdd Davenull # UserMod -A -g Tecmint Johndoe # UserMod -A -g Tecmint Davenull 

E vamos verificar se os dois usuários pertencem ao grupo suplementar Tecmint:

# id johndoe # id Davenull 

Verifique os usuários

Vamos agora criar um diretório chamado playground dentro /mnt, e um arquivo nomeado TestFile.TXT dentro. Vamos definir o proprietário do grupo para Tecmint e mudar seu padrão ugo/rwx permissões para 770 (Leia, escreva e execute permissões concedidas ao proprietário e ao proprietário do grupo do arquivo):

# mkdir/mnt/playground # touch/mnt/playground/testfile.txt # chmod 770/mnt/playground/testfile.TXT 

Em seguida, mude o usuário para johndoe e Davenull, nessa ordem, e escreva no arquivo:

eco "Meu nome é John Doe">/mnt/playground/testfile.txt echo "Meu nome é Dave Null" >>/mnt/playground/testfile.TXT 

Até agora tudo bem. Agora vamos ter usuário Gacanepa Escreva no arquivo - e a operação de gravação falhará, o que era de se esperar.

Mas e se realmente precisarmos de usuário Gacanepa (que não é membro do grupo Tecmint) ter permissões de gravação em /mnt/playground/testfile.TXT? A primeira coisa que pode vir à sua mente é adicionar essa conta de usuário ao grupo Tecmint. Mas isso vai lhe dar permissões TODOS Os arquivos foram o bit de gravação está definido para o grupo, e não queremos isso. Nós só queremos que ele seja capaz de escrever para /mnt/playground/testfile.TXT.

# toque/mnt/playground/testfile.TXT # CHOW.txt # chmod 777/mnt/playground/testfile.txt # su johndoe $ echo "Meu nome é John Doe">/mnt/playground/testfile.txt $ suavenull $ echo "Meu nome é Dave Null" >>/mnt/playground/testfile.txt $ su gacanepa $ echo "Meu nome é Gabriel Canepa" >>/mnt/playground/testfile.TXT 

Gerenciar permissões de usuário

Vamos dar ao usuário Gacanepa Leia e escreva acesso a /mnt/playground/testfile.TXT.

Executar como raiz,

# setfacl -r -m u: gacanepa: rwx /mnt /playground 

e você terá adicionado um com sucesso um ACL que permite Gacanepa Para escrever no arquivo de teste. Em seguida, mude para o usuário Gacanepa E tente escrever no arquivo novamente:

$ echo "Meu nome é Gabriel Canepa" >>/mnt/playground/testfile.TXT 

Para ver o ACLs Para um arquivo ou diretório específico, use getfacl:

# getfacl/mnt/playground/testfile.TXT 

Verifique as ACLs de arquivos

Para definir a ACL padrão a um diretório (que seu conteúdo herdará, a menos que substitua o contrário), adicione D: antes da regra e especifique um diretório em vez de um nome de arquivo:

# setfacl -m d: o: r /mnt /playground 

O ACL acima permitirá que os usuários não no grupo proprietário tenham acesso ao conteúdo futuro do /mnt/playground diretório. Observe a diferença na saída de getfacl /mnt /playground antes e depois da mudança:

Definir ACL padrão no Linux

O capítulo 20 no Guia Oficial de Administração de Armazenamento do RHEL 7 fornece mais exemplos de ACL, e eu recomendo que você dê uma olhada nele e faça com que seja útil como referência.

Páginas: 1 2