În exemplele anterioare am văzut cum arată ieșirea comenzii getfacl asupra unui fișier sau director. Să ne oprim un pic asupra setării mask (ACL mask):
# getfacl fisiertest.txt
# file: fisiertest.txt
# owner: root
# group: root
user::rw-
user:bobses:rw-
group::r--
mask::rw-
other::r--
Această setare mask acționează ca un fel de mecanism de securitate. Pentru a înțelege cum funcționează, să adăugăm 2 noi utilizatori sistemului nostru:
# useradd ion
# useradd vasile
Acum să acordăm utilizatorilor din sistem diverse permisiuni speciale:
# setfacl -m user:bobses:rwx fisiertest.txt # setfacl -m user:ion:rw- fisiertest.txt # setfacl -m user:vasile:r- fisiertest.txt
Să vizualizăm aceste permisiuni:
Acum, să presupunem că acest fișier fisiertest.txt conține un virus. Probabil prima reacție ar fi ștergem toate permisiunile speciale acordate tuturor utilizatorilor, astfel încât niciunul dintre aceștia să nu poată accesa accidental fișierul și să declanșeze acțiunea virusului. Dar această abordare nu este cea indicată, deoarece, dacă după ce analizăm fișierul fisiertest.txt vom descoperi că acesta este curat, vom dori să reaplicăm aceleași permisiuni speciale pentru aceiași utilizatori. Și vrem să facem asta din cât mai puțini pași.
De aceea, cea mai bună abordare în acest caz este menținerea setărilor referitoare la permisiunile speciale ale utilizatorilor, astfel încât să poată fi reactivate în siguranță în viitor. Iar acest lucru este posibil folosind setarea mask, care poate fi aplicată foarte simplu folosind cunoscuta comandă chmod:
# chmod 000 fisiertest.txt
Iar rezultatul este următorul:
Setarea mask este stabilită la valoarea maximă permisă pentru toți utilizatorii. Valoarea #effective observată în ieșirea comenzii getfacl suprascrie permisiunile speciale aplicate unui utilizator.
Valoarea setării mask poate fi actualizată fie utilizând aceeași comandă chmod, fie folosind comanda setfacl. Să presupunem că vrem să schimbăm masca din 000 în 401 (ulterior acestei schimbări, să observăm și valoarea #effective care afișează doar acțiunile pe care le poate face utilizatorul respectiv comparativ cu permisiunile speciale acordate inițial:
# setfacl -m m::r-x fisiertest.txt
Lasă un răspuns