gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
Access Control Lists
Contribuído por BladeRunner em 23-05-01 21:53
do departamento o-fim-do-esquema-ugo-rwx
Linux Quem já se sentou a configurar uma máquina NT/2000, não consegue deixar de sentir uma pontinha de inveja pelo superior fine-tuning que permite em relação ao tradicional esquema de permissões ugo/rwx do Unix.
Contudo, a situação está a mudar.
Com o aparecimento de novos filesystems, e. g., XFS para Linux, começa a ser possível definir outros tipos de afinações muito mais precisas.
Por outro lado, aplicações como o Samba (onde este tipo de questão é crítico) também começam a dar (o Samba 2.2.0 até suporta as ACLs do XFS) os seus passos nesta matéria.

Comandos tipo "chacl u::rwx,g::rwx,o::r-x,u:manelinho:r--,m::rwx somefile" começam a fazer ganhar o dia a muitos administradores de sistemas por aí e a deixar de vez sem argumentos, os mouse engineers dos servidores de ficheiros NT.

Experiências pessoais para contar?

Portal IUPI "suspende-se" | Quantos somos em Portugal a aceder à Internet?  >

 

gildot Login
Login:

Password:

Referências
  • Linux
  • Mais acerca Linux
  • Também por BladeRunner
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    Realmente... (Pontos:1, Despropositado)
    por Cyclops em 23-05-01 23:01 GMT (#2)
    (Utilizador Info)
    ... O BladeRunner... acalma la ai e mete alguns travoes... ultimamente e mais dificil acompanhar o gildot que a /. :) acredito que tenhas muito a dizer ao mundo, mas remete isso para seccoes proprias ou entao modera-te :) faz uma por cada 5 dias uteis ;)
    Re:Realmente... (Pontos:2)
    por Gamito em 23-05-01 23:46 GMT (#5)
    (Utilizador Info)
    No momento em que escrevo, tenho 10 artigos na página principal.
    Dois são meus.

    Mário Gamito
    educação, ensino
    Re:Realmente... (Pontos:2, Interessante)
    por Bruno em 24-05-01 0:02 GMT (#8)
    (Utilizador Info)

    num aspecto ele tem razao, tem sido dificil acompanhar o gildot.
    ter dias em q sao aprovados 10 artigos e' um abuso a meu ver.
    nao percebo e' como na senda da melhoria da qualidade os editores nao se aperceberam disso.

    Realmente... NÃO! (Pontos:1)
    por k em 24-05-01 8:47 GMT (#10)
    (Utilizador Info)
    Tem sido difícil acompanhar o Gildot sim senhor.
    Mas como a qualidade mantem-se em níveis bons para mim não há problema nenhum.

    Quem não tem tempo procure especializar-se nos artigos que mais lhe agradam e só depois (se sobrar tempo) nos outros.
    O pior é se todos os artigos agradam muito... ;)
    --
    k

    Re:Realmente... NÃO! (Pontos:1)
    por Lamego em 24-05-01 9:25 GMT (#15)
    (Utilizador Info)
    Espero bem que tu não sejas representante do publico em geral :)
    Re:Realmente... (Pontos:2)
    por MacLeod em 24-05-01 11:02 GMT (#25)
    (Utilizador Info)
    É verdade. Eu há uns dias propus um artigo sobre um cluster de macs no GoLP/IST e reparei quando propus que haviam 35 artigos a aguardar submissão.
    Re:Realmente... (Pontos:2)
    por MavicX em 24-05-01 9:47 GMT (#16)
    (Utilizador Info)
    Epa BladeRuner aprova ai o meu artigo do spec e dos processadores, gostava de discutir a performance dos Intel e dos AMD's em comparação com os Alpha e os Sparc e se os ultimos vão deparecer ou não a medio prazo.
    A minha primeira experiência (Pontos:1)
    por darkangel em 23-05-01 23:26 GMT (#3)
    (Utilizador Info)
    Pois..eu cá queria partilhar um pr0n...euh..quer dizer..um projecto com os meus amiguinhos, numa máquina a correr Solaris e então fiz man setfacl e aprendi ACL's

    E pronto..foi uma experiência muito boa...houve pr0..ops..projecto para toda a gente e ficámos todos felizes.

    Também tenho aqui guardadas as minhas experiências com o ls -alR e uma de contar o número de bits a '1' em /dev/zero..estás interessado?
    Resumindo... (Pontos:2, Esclarecedor)
    por Gamito em 23-05-01 23:56 GMT (#6)
    (Utilizador Info)
    Ninguém tem nada a dizer sobre o assunto.
    É off-topic não é?
    Não tem nada a ver com Linux, pois não?
    Os filesystems não são a coisa que está mais na berra no momento, pois não?

    Talvez preferissem um artigo sobre a última patacoada da Microsoft.
    Parece que há por aqui muita gente muito bem informada sobre esse software.

    Ou então mais um RH vs. SuSE ou um KDE vs. GNOME.

    Preparem-se que vem aí um sobre apache 2.0 só para chatear.
    Ah! e escrito por mim.

    Mário Gamito
    educação, ensino
    Re:Resumindo... (Pontos:2)
    por Tuaregue em 24-05-01 8:28 GMT (#9)
    (Utilizador Info)

    Tens toda a razão, até parece que o pessoal só quer falar mal das ditros que não usam, dos ambientes que não usam, do software que é feito por outras empresas de código fechado, parem com isso sim, até parece que não tem mais nada para fazer, se têem assim tanto tempo livre dediquem-no a causas melhores, porque toda e qualquer causa já é melhor do que andar a em guerras sobre: Qual é a melhor distro?? Qual é o melhor ambiente gráfico??.

    Por estas e por outras razões dou-te todo o meu apoio, neste post, e sim eu gostava de ver mais vezes artigos mais técnicos, e umas boas discursões mais técnica sobres o linux, sistemas operativos, redes, etc, mas o pessoal ao que parece só gosta de falar mal e de andar em guerras.

    Não mandem flames porque eu não vou responder, vai ser desperdício de tempo da vossa parte mandar flames.


    Re:Resumindo... (Pontos:0, Despropositado)
    por Karlus em 24-05-01 9:00 GMT (#11)
    (Utilizador Info) http://karlus.net
    Sofres de alguma coisa nao sofres ?
    Agora é sempre isto... queixas.
    Nao sabem de nada... nao comentam... artigos aos pacotes de qualidade duvidosa... eu é que escrevo artigos bue tecnicos e ninguem comenta pq ninguem percebe nada, so eu.
    Pleeease.

    Os melhores comentarios sao aqueles espontaneos que um artigo gera por si so... nao escrever um texto fatela e no fim dizer... comentem!"
    Isto a 2 meses para ca esta lindo.

    Re:Resumindo... (Pontos:0, Engraçado)
    por Anonimo Cobarde em 24-05-01 14:54 GMT (#36)
    hehe me parece que alguem se esqueceu de escolher o "Submeter Anonimamente"
    acontece :)
    Re:Resumindo... (Pontos:2)
    por Karlus em 24-05-01 17:01 GMT (#39)
    (Utilizador Info) http://karlus.net
    Nah... desta vez foi mesmo propositado.
    Acontece :-)
    Re:Resumindo... (Pontos:2)
    por vaf em 25-05-01 17:36 GMT (#46)
    (Utilizador Info) http://students.fct.unl.pt/users/vaf12086/
    :-)

    Eh lá. Não estamos no tempo da pide! O que é que se podia fazer lá por um senhor exprimir uma opinião contrária a outro? Baixar-lhe o karma?

    Tenham calma, o pessoal é amigo...


    Cumprimentos,

    Vasco Figueira
    Re:Resumindo... (Pontos:1)
    por SIGT3RM em 24-05-01 9:09 GMT (#13)
    (Utilizador Info)
    Gamito, respeito-te e leio os teus posts. Mas nao percebi porque e que estas a criticar, se tambem nao comentas. Falas 'flames' de 'distro vs distro', mas tu tas a fazer algo igual. Estas a provocar discussao que vai tornar os comentarios seguintes completamente off-topic. E tambem nao te vi comentar o artigo. Pelo contrario, vi-te mais vanglorizar-te(??) pelo numero de posts que tens.

    E nao te esquecas que vivemos num Estado Democratico; so comenta quem quer.

    SIGT3RM

    PS: Desculpem a falta de acentos, mas estou a escrever isto no BeOS, que nao tem o 'keymap' portugues.
    Re:Resumindo... (Pontos:2)
    por MavicX em 24-05-01 9:52 GMT (#17)
    (Utilizador Info)
    Ya é ums dos problemas do BEOS (entre outros), não sei porque é que nunca se falou do beos no Gildot, hummm vou submeter um artigo proximamente para falar disso. Espero é que não seja posto na gaveta como os meus ultimos dois artigos .
    Re:Resumindo... (Pontos:2)
    por Gamito em 24-05-01 9:57 GMT (#19)
    (Utilizador Info)
    Não me vanglorirei rapaz.
    Que ideia a tua.

    Só quis mostrar por a + b ao senhor que disse que não aprovo artigos de leitores que estava errado.

    Mário Gamito
    educação, ensino
    Re:Resumindo... (Pontos:2)
    por Gamito em 24-05-01 10:00 GMT (#21)
    (Utilizador Info)
    "se tambem nao comentas"

    Comentei (levemente). Lê: "Com o aparecimento de novos filesystems, e. g., XFS para Linux, começa a ser possível definir outros tipos de afinações muito mais precisas."

    Um artigo, IMHO não deve ser auto-explicativo.
    Deve ser apenas o detonador da discussão.
    Se ela se gerar eu depois também posso entrar, certo?

    Mário Gamito
    educação, ensino
    Re:Resumindo... (Pontos:1)
    por BlueNote em 24-05-01 10:03 GMT (#22)
    (Utilizador Info)
    >vanglorizar-te(??)

    vangloriar-te

    :-)

    Re:Resumindo... (Pontos:1)
    por SIGT3RM em 24-05-01 16:26 GMT (#38)
    (Utilizador Info)
    Reconheço o meu erro... :-)

    Para a próxima será melhor.

    SIGT3RM
    Re:Resumindo... (Pontos:1)
    por scorpio em 24-05-01 10:33 GMT (#23)
    (Utilizador Info) http://gil.di.uminho.pt/~scorpio/
    Já estou à espera desse artigo :)
    ACLs? Para quê? (Pontos:1)
    por Strange em 24-05-01 9:13 GMT (#14)
    (Utilizador Info) http://strange.nsk.yi.org/

    Pessoalmente não vejo muita utilidade nas ACLs, já que tudo que se faz com elas também se faz com o esquema normal de permissoes de user, group e other.

    Além disso os administradores terão que ter um pouco mais de cuidado, porque um ls deixará de mostrar todas as permissões; find / -perm -o+w, entre outros, não mostrará tudo o desejado; e HIDS tipo tripwire terão que ser reescritos...

    O (in)sucesso do Unix sempre foi a sua simplicidade elementar...

    hugs
    Strange

    Re:ACLs? Para quê? (Pontos:0, Informativo)
    por Anonimo Cobarde em 24-05-01 12:16 GMT (#28)
    Obviamente que não dominas muito o assunto.

    Não é possível definir permissões ao nível do utilizador individual com as permissões para User, Group e Others. Se quiseres partilhar um ficheiro com um utilzador específico tens de usar ACL's ou então criar um grupo só para os 2...como é preciso ser root para criar grupos, e como a maioria das máquinas costumam ter todos os utilizadores no mesmo grupo, não tens outra hipotese senao usar ACL.
    Re:ACLs? Para quê? (Pontos:2, Interessante)
    por pmsac em 24-05-01 12:28 GMT (#30)
    (Utilizador Info) http://2130706433/
    Ou crias uma directoria rwx--x--x, e metes lá dentro o ficheiro com um nome não previsível, que comunicas depois ao outro utilizador...
    Como diz o ditado, o que os olhos não vêem o coração não sente ;)
    -- pmsac.oO(Cogito sumere potum alterum)
    Re:ACLs? Para quê? (Pontos:1)
    por Strange em 24-05-01 13:04 GMT (#31)
    (Utilizador Info) http://strange.nsk.yi.org/

    Confesso que me esqueci do pormenor de utilizadores normais não poderem mudar o grupo e criar grupos conforme lhes apetecer...

    hugs
    Strange

    Re:ACLs? Para quê? (Pontos:0, Informativo)
    por Anonimo Cobarde em 24-05-01 13:37 GMT (#33)
    Convém nao esquecer que cada utilizador pode pertencer a vários grupos.

    Por isso é que o ficheiro /etc/group permite definir uma lista de utilizadores para cada grupo.

    Quando os utilizadores entram no sistema, estão associados a um so grupo, mas depois podem mudar de grupo em qualquer altura usando o comando "newgrp".

    Por exemplo, se temos uma aplicacao que so pode ser corrida por meia duzia de utilizadores, cria-se um grupo (grupo applic) unica e exclusivamente para os utilizadores dessa aplicacao, contendo a lista de todos os utilizadores que a vão usar.

    Em seguida, cria-se uma directoria para essa aplicacao, por exemplo /opt/applic e faz-se:
    chown -R applic /opt/applic
    chmod -R ug+rwx o-rwx /opt&/applic

    Quando os utilizadores forem usar a aplicação, teem de fazer "newgrp applic" antes de a poderem correr.

    O sistema só deixa entrar no grupo "applic" aos utilizadores que fazem parte da lista do /etc/group, ou em alternativa pode ser definida uma password.

    Para automatizar a tarefa, até pode ser criado um script para correr o newgrp e chamar a aplicacao, de forma a tornar o newgrp transparente aos utilizadores.

    %nbsp;

    su-

    Clarificar (Pontos:2)
    por CrLf em 24-05-01 22:08 GMT (#43)
    (Utilizador Info) http://students.fct.unl.pt/~cer09566
    Acho que o teu post deixa algumas coisas pouco claras. Quando um utilizador faz login tem apenas um grupo primário mas está associado a todos os grupos a que pertence (correr "groups" para ver) logo, as permissões de acesso a ficheiros, etc, são calculadas com base em todos os grupos a que o utilizador pertence. Só é preciso usar o newgrp para mudar o grupo primário (alguém me pode dar um exemplo em que isto seja necessário?) ou para mudar para um grupo a que o utilizador não pertence (neste caso então pode ser definida uma password).

    -- Carlos Rodrigues

    - "I think my men can handle one little penguin!"
    - "No, Mr. Gates, your men are already dead!"
    Set GID bit (Pontos:2)
    por CrLf em 25-05-01 1:17 GMT (#45)
    (Utilizador Info) http://students.fct.unl.pt/~cer09566
    Para que os ficheiros apareçam com o GID do grupo da aplicação bastaria activar o setgid bit (s) na directoria onde a aplicação iria escrever ficheiros novos, por exemplo, "chmod g+s /opt/applic".

    -- Carlos Rodrigues

    - "I think my men can handle one little penguin!"
    - "No, Mr. Gates, your men are already dead!"
    infantilidade (Pontos:0, Interessante)
    por Anonimo Cobarde em 24-05-01 10:46 GMT (#24)
    Acho que os leitores do Gildot estão a atravessar uma fase de infantilidade. Não dizem nada de jeito . Falar mal dos artigos do BladeRunner tornou-se uma moda como se ele fosse o Jon Katz. O mais divertido são as pessoas que submetem comentários parvos para logo a seguir colocarem um comentário a protestar pelo facto de o comentário parvo ter sido moderado para baixo. Em mais de 20 comentários não há um único que se aproveita por causa da infantilidade de alguns meninos. Creçam, vamos lá. Se calhar não querem crescer porque não têm nada nessa cabeça a não ser essa revolta contra sei lá o que. Lamento, mas se querem um site de jeito têm que contribuir para ele. Eu por mim vou ficar um mês sem cá aparecer. De luto.
    Cisco Routers e Access Control Lists (Pontos:4, Informativo)
    por MavicX em 24-05-01 11:10 GMT (#26)
    (Utilizador Info)
    As ACL's tem outras aplicações sem ser os filesystems, por isso vou falar na sua utilização em Cisco Routers para administrar uma rede.

    Para quem já administrou uma rede grande, sabe que o controlo pode ser uma coisa maravilhosa. è por isso que os routers ainda são tão populares, apesar das crescentes flat's Networks. Os Routers podem isolar e resolver problemas tais como broadcast excessivos, ip duplicados, dhcp não autorizados, e Nt's e Novell server mal compurtados para uma rede local. por sua vez menos utilizadores são afectados e os problemas são mais facilmente resolvidos.

    Embora as acl's não tornam o router numa fire wall invencivel, podem ter um papel importante para controlar os ip's da network.

    O IOS da cisco usado nos exemplos é a versão 10.3 mas tambem pode ser usado para versões posteriores.

    A access list é um grupo de afirmações, e cada afirmação define um padrão que pode ser encontrado num IP packet. E a medida que cada pacote passa pelo interface com uma acess list acossiada, essa lista é vista de cima para baixo e se houver um permit ou deny associado diz-nos o destino do package. Tambem se pode usar uma mask com um wild card.

    A lista tem de estar associada a um interface no router e pode ser aplicada aos incoming ou outgoing packages.

    Bem vamos a algums exemplos simples
    tenha a certeza que está em "enable" level e entre em "config" mode e ponha o seguinte

    access-list 101 deny ip 0.0.0.0 255.255.255
    130.120.110.100 0.0.0.0

    esta regra faz com que o ip 130.120.110.100 seja negado o acesso a interface. A mask 255 em todos os octetos quer dizer que o source adress deve ser ignorado. e os 0s mask no destino quer dizer quer dizer que queremos aplicar ou address todo.

    Para permitir acesso só ao http e deny as outras portas utilizamos duas regras.

    access-list 101 permit tcp 0.0.0.0 255.255.255.255 130.120.110.100 0.0.0.0 eq 80

    access-list 101 deny ip 0.0.0.0 255.255.255.255 130.120.110.100 0.0.0.0

    Para aplicar as regras entra-se no "config" mode designa-se o interface e emite-se o comando ip access-group 101 in ,para os incomings packets da interface.

    Tenham em atenção que muitas das performance-enhancing features que o Cisco tem não vão funcionar com as access list's tais como fast switching, autonomous switching, distributed switching e optimal switching forçando muitos dos pacotes a serem process-switched. isto vai fazer a utilização so CPU subir em flecha por isso convem monitoriza-lo.

    Bem este artigo deu-me uma trabaheira mas é só para verem que as access list não servem só para os filesystems e a sua aplicação é mais global. E para fazer tambem a vontade ao Bladerunner que tá sempre a dizer que não há artigos técnicos no Gildot.

       
    Re:Cisco Routers e Access Control Lists (Pontos:1)
    por [WaR] em 24-05-01 11:35 GMT (#27)
    (Utilizador Info) http://www.GenHex.org/
    sorry, mas essa ACL simplesmente não vai funcionar :)
    Repara:

    > access-list 101 permit tcp 0.0.0.0 255.255.255.255 130.120.110.100 0.0.0.0 eq 80
    > access-list 101 deny ip 0.0.0.0 255.255.255.255 130.120.110.100 0.0.0.0

    e as respostas ? Ou seja, vai tráfego para a porta 80, mas nao volta :)

    convem por antes:
    access-list 101 permit tcp host 130.120.110.100 eq 80 any gt 1023 established

    just my $2

    PS: Nao, filesystems nao estao na berra :>

    [WaR]

    Re:Cisco Routers e Access Control Lists (Pontos:1)
    por pmsac em 24-05-01 12:20 GMT (#29)
    (Utilizador Info) http://2130706433/
    A resposta vem no sentido contrário, pelo que não se aplica a esta ACL (estou a falar num caso padrão em que os pacotes atravessam o router de um interface para outro).
    -- pmsac.oO(Cogito sumere potum alterum)
    Re:Cisco Routers e Access Control Lists (Pontos:1)
    por [WaR] em 24-05-01 13:31 GMT (#32)
    (Utilizador Info) http://www.GenHex.org/
    oops.. you're right :)

    too much iptables on my head...

    /me autoflagela-se

    -- [WaR]
    Re:Cisco Routers e Access Control Lists (Pontos:2)
    por fog em 24-05-01 18:04 GMT (#41)
    (Utilizador Info) http://www.fog.nu/
    Que maravilha, agora fiquei curioso á espera do proximo capitulo sobre:

    ip as-path access-list
     
    ;)


    ACLs e SDSI/SPKI (Pontos:2, Interessante)
    por jmv em 24-05-01 15:23 GMT (#37)
    (Utilizador Info)
    Uma técnica muito recente para controlo de premissões recorre a criptografia de chave pública e certificados SPKI (procurem no Google, que não me lembro do URL).
    As vantagens em relação às técnicas de ACL são óbvias. Não só a sintaxe é muito mais expressiva como os certificados funcionam no princípio de delagação de autoridade o que permite, de forma muito simples, controlar sistemas distribuídos em grande escala.
    Para filesystems é um pouco de over-kill, mas quem sabe o que o futuro nos reserva?
    Re:BASTA! (Pontos:2)
    por Gamito em 24-05-01 0:00 GMT (#7)
    (Utilizador Info)
    "So submetes artigos teus (...)"

    Não é verdade.

    Tenho 106 artigos.
    Dos 35 que encontro na pesquisa, 19 são escritos por mim e 16 pelos leitores.

    Mário Gamito
    educação, ensino
    Re:BASTA! (Pontos:2, Esclarecedor)
    por MavicX em 24-05-01 9:58 GMT (#20)
    (Utilizador Info)
    hummm este artigo era a resposta a outro que passou para -2 mesmo agora. Como não sendo moderador e não podendo fazer o C&P. Vou dizer por alto o que continha.

    Dizia BASTA! de artigos aprovados pelo BladeRuner que só aprova artigos dele, e que estava farto de artigos sobre filesystems.

    P.S. contra o -2 sempre
    Re:BASTA! (Pontos:2)
    por Gamito em 24-05-01 9:55 GMT (#18)
    (Utilizador Info)
    Tens toda a razão, embora se calhar ta dê por motivos difeentes.

    Mário Gamito
    educação, ensino

     

     

    [ Topo | FAQ | Editores | Contacto ]