Access Control Lists (Español)
Proporciona un mecanismo de permisos adicionales más flexibles para los sistemas de archivos. Está diseñado para ayudar con los permiso de archivos en UNIX. ACL permite dar permisos para cualquier usuario o grupo a cualquier recurso del disco.
Instalación
El paquete acl es una dependencia de systemd que debería estar instalado.
Configuración
Habilitando ACL
Para habilitar ACL los sistema de archivos se deben haber montado con la opción acl
, puede usar fstab para hacer el montaje con acl permanente en su sistema.
Es posible que la opción acl
estés activada por defecto como opción de montaje en el sistema de archivos; en Btrfs y ext* también. Use el siguiente comando para verificar las particiones formateadas con ext* con la opción:
# tune2fs -l /dev/sdXY | grep "Default mount options:"
Default mount options: user_xattr acl
También puede verificar que el punto de montaje por defecto no está anulado, en tal caso vería noacl
en /proc/mounts
.
Puede configurar las opciones de montajes predeterminadas de un sistema de archivos utilizando el comando tune2fs -o opción partición
por ejemplo:
# tune2fs -o acl /dev/sdXY
Utilizar las opciones de montaje por defecto en lugar de las entradas en /etc/fstab
es muy útil para unidades externa, tales particiones serán montadas con la opción acl
en otras máquinas GNU/Linux; sin necesidad de editar /etc/fstab en cada máquina.
acl
se especifica por defecto cuando se crean sistemas de archivos ext2/3/4 y se configura en/etc/mke2fs.conf
.- Por defecto las opciones de montaje no están en la lista de
/proc/mounts
.
Establecer ACL
ACL puede ser modificado usando el comando ‘’’setfacl’’’
Para agregar permiso a un usuario (user
es el nombre del usuario o el ID):
# setfacl -m "u:user:permissions" <file/dir>
Agregar permisos para un grupo (group
es el nombre del grupo o el ID del grupo):
# setfacl -m "g:group:permissions" <file/dir>
Para permitir que todos los archivos o directorios hereden las entradas de ACL desde el directorio con:
# setfacl -dm "entry" <dir>
Para eliminar un entrada específica:
# setfacl -x "entry" <file/dir>
Para remover todas las entradas:
# setfacl -b <file/dir>
Mostrar ACL
Para mostrar los permisos use:
# getfacl <nombre archivo>
Ejemplos
Establecer todos lo permisos para el usuario johnny en el archivo con nombre “abc”:
# setfacl -m "u:johnny:rwx" abc
Check permissions
# getfacl abc
# file: abc # owner: someone # group: someone user::rw- user:johnny:rwx group::r-- mask::rwx other::r--
Listar los permisos
# setfacl -m "u:johnny:r-x" abc
Check permissions
# getfacl abc
# file: abc # owner: someone # group: someone user::rw- user:johnny:r-x group::r-- mask::r-x other::r--
Eliminar todas las entradas ACL extendidas:
# setfacl -b abc
Check permissions
# getfacl abc
# file: abc # owner: someone # group: someone user::rw- group::r-- other::r--
Salida del comando ls
Notará que hay un ACL para un archivo dado porque se mostrará un +
(signo más) después del permiso Unix en la salida de ls -l
.
$ ls -l /dev/audio
crw-rw----+ 1 root audio 14, 4 nov. 9 12:49 /dev/audio
$ getfacl /dev/audio
getfacl: Removing leading '/' from absolute path names # file: dev/audio # owner: root # group: audio user::rw- user:solstice:rw- group::rw- mask::rw- other::---
Conceder permisos de ejecución para archivos privados a un servidor Web
La siguiente técnica describe de cómo un proceso de un servidor web puede tener acceso a los archivos que residen en el directorio personal de un usuario sin comprometer la seguridad dando acceso a todo el mundo.
Supongamos que el servidor web se ejecuta como webserver
del usuario y le concede acceso al directorio personal del usuario geoffrey que es /home/geoffrey
El primer paso es otorgar permiso de ejecución a webserver
para que pueda acceder a directorio personal de geoffrey
:
# setfacl -m "u:webserver:--x" /home/geoffrey
Recuerda: Los permisos de ejecución en un directorio son necesarios para que un proceso enumere el contenido del directorio.
Ahora webserver
puede acceder a los archivos en /home/geoffrey
y otros no necesitan acceso por lo tanto se puede remover de forma segura.
# chmod o-rx /home/geoffrey
El comando getfacl
puede ser usado para verificar los cambios.
$ getfacl /home/geoffrey getfacl: Removing leading '/' from absolute path names # file: home/geoffrey # owner: geoffrey # group: geoffrey user::rwx user:webserver:--x group::r-x mask::r-x otros::---
Como se muestra en la salida anterior ya no tiene permisos pero webserver
todavía puede acceder a los archivos, por lo tanto la seguridad se ha incrementado.
También puede ver
- getfacl(1)
- setfacl(1)
- Un antiguo, exhaustivo y relevante recurso guia de ACL
- How to set default file permissions for all folders/files in a directory?