POSIX 액세스 제어 목록을 사용하면 시스템 관리자로서 중요한 사용자를 깰 수있는 많은 기회없이 정기적 인 사용자 그룹 다른 파일 시스템 권한을 재정 의하여 최악의 무지에서 사용자를 보호 할 수 있습니다. .
웹 컨텐츠는 아파치에서 액세스 할 수 있어야하기 때문에 예를 들어 (fi) 홈 디렉토리에 월드 액세스 가능해야하는 경우 특히 유용합니다 ~/public_html/
. (ACL을 사용하더라도 리버스를 수행하고 모든 사용자에 대한 액세스를 제거하고 아파치 사용자를위한 특정 유효 ACL을 사용할 수 있습니다.)
그렇습니다. 지식이 풍부한 사용자가 다시 제거 / 재정의 할 수 있고, 가능성이 거의없는 경우는 드물며, 일반적으로 편리하지 않은 사용자도 있습니다 chmod -R 777 ~/
.
acl
mount 옵션을 사용 하여 파일 시스템을 마운트해야합니다 .
mount -o remount,acl /home
많은 배포판에서 기본값은 사용자 그룹을 생성하는 것이며, 각 사용자는 기본 그룹을 가지고 있으며, 상상할 수없는 이름으로 보조 그룹의 모든 사용자를 설정했습니다 users
.
ACL을 사용하면 다른 사용자가 홈 디렉토리에 액세스하지 못하게하는 것이 간단합니다.
전에:
chmod 0777 /home/user*
ls -l /home/user*
drwxrwxrwx. 2 user1 user1 4096 Jul 11 15:40 user1
drwxrwxrwx. 2 user2 user2 4096 Jul 11 15:24 user2
이제 users
그룹 구성원의 유효 디렉토리 권한을 0
읽기, 쓰기 또는 액세스 안함으로 설정하십시오 .
setfacl setfacl -m g:users:0 /home/user*
ls -l
drwxrwxrwx+ 2 user1 user1 4096 Jul 11 15:40 user1
drwxrwxrwx+ 2 user2 user2 4096 Jul 11 15:24 user2
+
기호가 ACL 설정의 존재를 의미한다. 그리고 getfacl
그것을 확인할 수 있습니다 :
getfacl /home/user1
getfacl: Removing leading '/' from absolute path names
# file: home/user1
# owner: user1
# group: user1
user::rwx
group::rwx
group:users:---
mask::rwx
other::rwx
group:users:---
그룹이 효과적으로 다른 존재에 대한 일정한 권한에도 불구하고, 접근 권한이없는 것을 보여other::rwx
그리고 user1으로 테스트 :
[user1@access ~]$ ls -la /home/user2
ls: cannot open directory /home/user2: Permission denied
공유 시스템의 두 번째 일반적인 솔루션은 요청시 자동 마운터가 홈 디렉토리를 마운트하여 셸 액세스 전용 서버를 설치하는 것입니다. 그것은 어리석은 증거와는 거리가 멀지 만 일반적으로 소수의 사용자 만 동시에 로그인하여 해당 사용자의 홈 디렉토리 만 보이고 액세스 할 수 있습니다.
chmod files 0777
꼭 필요한지, 즉 문제의 근본 원인을 해결하는 것입니다. 누군가가 다른 사람의 파일을 읽을 수있는 증상이 아니라고 생각합니다. 대부분의 경우 모든 액세스 권장 사항 허용 은 지원 요청을 피하는 저렴한 방법이거나 권한을 올바르게 설정할 수있는 기술력이 부족합니다.0777
요청이있을 때 파일을 설정 하거나 응용 프로그램에 전체 루트 액세스 권한을 부여 할 필요가 거의 없었습니다 . 사용자 및 / 또는 공급 업체 교육이 여기에서 크게 도움이됩니다.