Série RHCSA à l'aide de ACLS (listes de contrôle d'accès) et de partage de partage Samba / NFS - Partie 7

Dans le dernier article (Série RHCSA partie 6), nous avons commencé à expliquer comment configurer et configurer le stockage du système local en utilisant séparé et SSM.

Série RHCSA :: Configurer les ACL et les parts NFS / Samba de montage - Partie 7

Nous avons également discuté de la façon de créer et de monter des volumes cryptés avec un mot de passe pendant le démarrage du système. De plus, nous vous avons averti d'éviter d'effectuer des opérations de gestion des stocks critiques sur les systèmes de fichiers montés. Dans cet esprit, nous allons maintenant passer en revue les formats de système de fichiers les plus utilisés dans Red Hat Enterprise Linux 7 puis procéder à couvrir les sujets du montage, de l'utilisation et malfaisant à la fois en réseau manuellement et automatiquement en réseau (Cifs et NFS), ainsi que la mise en œuvre des listes de contrôle d'accès pour votre système.

Conditions préalables

Avant de continuer plus loin, assurez-vous d'avoir un Samba serveur et un NFS serveur disponible (notez que Nfsv2 n'est plus soutenu dans Rhel 7).

Pendant ce guide, nous utiliserons une machine avec IP 192.168.0.dix avec les deux services qui s'exécutent en tant que serveur et un Rhel 7 boîte comme client avec adresse IP 192.168.0.18. Plus tard dans l'article, nous vous dirons quels packages vous devez installer sur le client.

Formats de système de fichiers dans RHEL 7

Commençant par Rhel 7, XFS a été introduit comme le système de fichiers par défaut pour toutes les architectures en raison de ses performances élevées et de ses évolutives. Il prend actuellement en charge une taille maximale du système de fichiers de 500 To Selon les derniers tests effectués par Red Hat et ses partenaires pour le matériel grand public.

Aussi, XFS actif user_xattr (attributs utilisateur étendus) et ACL (Posix Access Control Listes) comme options de montage par défaut, contrairement à EXT3 ou EXT4 (EXT2 est considéré comme obsolète comme de RHEL 7), ce qui signifie que vous n'avez pas besoin de spécifier ces options explicitement sur la ligne de commande ou dans / etc / fstab Lorsque vous montez un système de fichiers XFS (si vous souhaitez désactiver ces options dans ce dernier cas, vous devez utiliser explicitement no_acl et no_user_xattr).

Gardez à l'esprit que les attributs utilisateur étendus peuvent être attribués aux fichiers et répertoires pour stocker des informations supplémentaires arbitraires telles que le type MIME, le jeu de caractères ou l'encodage d'un fichier, tandis que les autorisations d'accès pour les attributs de l'utilisateur sont définies par les bits d'autorisation de fichier ordinaire.

Listes de contrôle d'accès

Comme chaque administrateur système, débutant ou expert, connaît bien les autorisations d'accès régulières sur les fichiers et les répertoires, qui spécifient certains privilèges (lire, écrire, et exécuter) pour le propriétaire, le groupe et le «monde» (tous les autres). Cependant, n'hésitez pas à se référer à la partie 3 de la série RHCSA si vous avez besoin de rafraîchir un peu votre mémoire.

Cependant, depuis la norme UGO / RWX Set ne permet pas de configurer différentes autorisations pour différents utilisateurs, ACLS ont été introduits afin de définir des droits d'accès plus détaillés pour les fichiers et les répertoires que ceux spécifiés par les autorisations régulières.

En fait, Défini par l'ACL Les autorisations sont un superset des autorisations spécifiées par les bits d'autorisation de fichier. Voyons comment tout cela se traduit est appliqué dans le monde réel.

1. Il existe deux types de ACLS: accéder aux ACL, qui peut être appliqué à un fichier spécifique ou à un répertoire), et ACLS par défaut, qui ne peut être appliqué qu'à un répertoire. Si les fichiers y contenus n'ont pas de jeu de LCA, ils héritent de l'ACL par défaut de leur répertoire parent.

2. Pour commencer, les ACL peuvent être configurés par utilisateur, par groupe ou par un utilisateur qui n'est pas dans le groupe propriétaire d'un fichier.

3. ACLS sont définis (et supprimés) en utilisant setfacl, avec soit le -m ou -X Options, respectivement.

Par exemple, créons un groupe nommé Tecmint et ajouter des utilisateurs johndoe et davenull à lui:

# groupadd tecmint # useradd johndoe # useradd davenull # usermod -a -g tecmint johndoe # usermod -a -g tecmint davenull 

Et vérifions que les deux utilisateurs appartiennent à un groupe supplémentaire Tecmint:

# id johndoe # id davenull 

Vérifier les utilisateurs

Créons maintenant un répertoire appelé Playground au sein / mnt, et un fichier nommé fichier de test.SMS à l'intérieur. Nous allons définir le propriétaire du groupe sur Tecmint et changer son défaut UGO / RWX autorisation 770 (Lire, écrire et exécuter les autorisations accordées au propriétaire et au propriétaire du groupe du fichier):

# MKDIR / MNT / PLAYground # Touch / Mnt / Playground / TestFile.TXT # CHMOD 770 / MNT / Playground / TestFile.SMS 

Puis passer l'utilisateur à johndoe et davenull, dans cet ordre et écrire dans le fichier:

Echo "Mon nom est John Doe"> / mnt / terrain de jeu / TestFile.txt echo "mon nom est dave null" >> / mnt / playground / testfile.SMS 

Jusqu'ici, tout va bien. Maintenant, ayons un utilisateur gacanepa Écrivez dans le fichier - et l'opération d'écriture échouera, ce qui était à prévoir.

Mais que se passe-t-il si nous avons réellement besoin d'un utilisateur gacanepa (qui n'est pas membre du groupe Tecmint) pour avoir des autorisations d'écriture sur / mnt / terrain de jeu / file de test.SMS? La première chose qui peut vous venir à l'esprit est d'ajouter ce compte d'utilisateur au groupe Tecmint. Mais cela lui donnera des autorisations d'écriture sur TOUS Les fichiers étaient le bit d'écriture est défini pour le groupe, et nous ne voulons pas que. Nous voulons seulement qu'il puisse écrire pour / mnt / terrain de jeu / file de test.SMS.

# Touch / Mnt / Playground / TestFile.TXT # Chown: Tecmint / Mnt / Playground / TestFile.TXT # CHMOD 777 / MNT / PLAYground / TestFile.txt # su johndoe $ echo "Mon nom est John Doe"> / mnt / terrain de jeu / test.txt $ su davenull $ echo "mon nom est dave null" >> / mnt / playground / testfile.txt $ su gacanepa $ echo "Je m'appelle Gabriel canepa" >> / mnt / playground / testfile.SMS 

Gérer les autorisations des utilisateurs

Donnons à l'utilisateur gacanepa lire et écrire un accès à / mnt / terrain de jeu / file de test.SMS.

Courir comme racine,

# setfacl -r -m u: gacanepa: rwx / mnt / terrain de jeu 

Et vous aurez réussi à ajouter un ACL cela permet gacanepa Pour écrire dans le fichier de test. Puis passer à l'utilisateur gacanepa et essayez d'écrire à nouveau dans le fichier:

$ echo "Mon nom est Gabriel Canepa" >> / mnt / terrain de jeu / TestFile.SMS 

Pour voir le ACLS Pour un fichier ou un répertoire spécifique, utilisez getfacl:

# getfacl / mnt / playground / testfile.SMS 

Vérifiez les ACL des fichiers

Pour définir un ACL par défaut à un répertoire (que son contenu héritera sauf s'il est écrasant autrement), ajouter d: Avant la règle et spécifiez un répertoire au lieu d'un nom de fichier:

# setfacl -m d: o: r / mnt / terrain de jeu 

L'ACL ci-dessus permettra aux utilisateurs non dans le groupe de propriétaires d'avoir lu l'accès au contenu futur du / mnt / terrain de jeu annuaire. Notez la différence de sortie de getfacl / mnt / terrain de jeu avant et après le changement:

Définir ACL par défaut dans Linux

Le chapitre 20 du Guide officiel de l'administration du stockage RHEL 7 fournit plus d'exemples de LCA, et je vous recommande fortement de y jeter un œil et de le faire référence.

Pages: 1 2