ACL

最新推荐文章于 2024-10-14 15:05:32 发布
原创 最新推荐文章于 2024-10-14 15:05:32 发布 · 843 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#file #扩展

本文介绍了ACL(Access Control List)的概念及其在文件权限管理中的应用。详细解析了如何使用ACL为特定用户分配特定文件的权限,避免传统权限管理带来的安全隐患。同时,文章还深入探讨了ACL中的关键概念如ACLentry、umask和mask的作用。

ACL是什么

ACL是对普通权限管理的扩展。普通的权限管理只针对owner,group,other。 但有的时候,需要给other用户中的某个人对文件具有更高的权限。这时候,你有两种方式来解决这个问题:

1. 把该用户加入group组中(group组如果具有该权限的话)

2. 把other的权限都加大

可是这样就会产生新的问题。如果按照方法一,加入group,那么该用户不但可以对该文件具有了更高权限,它对其它一些文件也会具有更高权限,因为它具有了group的权限。如果采用方法二,提高other的权限,那就更不可取了,因为那意味着很多人都将具有这一更高的权限,这一都会造成安全隐患。

ACL可以很好的解决这一问题,它可以指定特定用户对特定文件的权限,不需要把用户加入group也不用改变other的权限。


学习ACL需要了解的3个概念

ACL ENTRY

UMASK

MASK

ACL entry。 ACL entry实际上是ACL机制中对于权限的一种表示。它的格式如下:

u::perm   		owner的权限
g::perm   		group的权限
o::perm			普通other的权限
u:uid:perm		特定用户的权限
g:gid:perm		特定组的权限
m:perm			mask
举个例子, u:tom:rwx   这个ACL entry就代表 用户 tom 对改文件或目录具有rwx的权限。同样的 g:bhr:rx- 这个ACL entry就代表bhr这个组的用户对该文件或目录具有读写权限。

那么,很明显了,进行ACL操作最重要的就是把这些ACL entry赋予给某个文件,或者从某个文件上删除,再或者修改这些ACL entry的内容。


umask。 在我们创建一个目录,或者文件的时候,该目录或者文件默认就会具有perm属性,比如是777 或者是655.  那么这些属性是从哪来的呢?就是通过umask变量控制的。如果你当前的umask是022 那么你创建的目录或文件的权限则是777 - 022.


mask。是ACL自己的一个概念,我们看下面的例子

bash-2.03# setfacl -m u:jiyang:rw- f1
bash-2.03# getfacl f1

# file: f1
# owner: root
# group: other
user::rw-
user:jiyang:rw-         #effective:r--
group::r--              #effective:r--
mask:r--
other:r--

可以看到mask 其实是一个权限位,在这里是r-- 。 同时,我们看到在acl entry jiyang和group 跟着#effective: r-- 这样的信息。其实这个effective就是jiyang 和 group真正对文件具有的权限。可是我们为改文件添加的acl entry是 u:jiyang:rw- 啊, 怎么会只具有r--权限呢? 这是因为新添加的acl entry的权限 以及 group的权限都是由mask控制的。他们实际具有的权限是与mask取交集之后所得的结果。

这就是mask存在的意义了,它限制新加acl entry的权限以及group的权限。但不影响owner,和other的权限。 默认情况下,如果从来没有用setfacl为一个文件赋予ACL特性,也就是说一个文件没有激活ACL,那么mask的值是group的值。


ls命令

一个文件,在设置了ACL后,用ls命令查看会略有不同

bash-2.03# ls -l *
-rw-r--r--+  1 root     other          0 Jul 30 10:49 f1
-rw-r--r--   1 root     other          0 Jul 30 10:49 f2
f1是设置了 acl的,所以它的权限位后面多了一个+标志。


setfacl

     setfacl [ -r ]  -s acl_entries file

     setfacl [ -r ]  -md acl_entries file

     setfacl [ -r ]  -f acl_filefile

-r 是重新计算mask,计算的mask结果要求满足所有权限需求。
-s是设置acl,会替换原有acl
-m是modify
-d 是delete
-f 是file的意思,把acl entry放到一个文件里,批量修改


默认ACL

可以为一个目录设置默认ACL,注意只能是目录,不能是文件。因为默认ACL的意义是让目录内的内容具有默认的acl。

1.如果具有默认acl的目录内是文件,那么文件的acl是666与默认acl的差值

2.如果默认acl内是目录,那么目录具有上级目录的默认acl权限

3.如果目录在设置默认acl之前已经具有内容,那么原来的内容不会受影响

4.默认acl的acl 条目是普通acl前加一个default:   , 要注意也是由冒号做间隔符号




acl源码安装
phmatthaus的专栏
12-12 961
acl源码安装
android usb挂载分析--各种格式支持
new_abc的专栏
04-15 6687
前面对usb挂载的流程及各种格式的支持做了分析,这一篇也基本是收尾篇了,主要是把各种格式的挂载在vold模块种加进去,这里对这部分做了一些更改,如直接 挂载到/mnt/sdcard,没有先挂载到/mnt/secure/staging,还有把一些状态的转换去掉了,以及格式化、格式检查的去掉了,因为暂时还没听到这方面的奢求,哈哈,也是为了省事吧,这里把所有的挂载都在一个文件中实现了,先看下Androi
Android5.0挂载NTFS为只读问题
程序改变生活
04-03 7114
一、问题描述 二、问题原因 三、问题解决
ACL原理及配置
热门推荐
一个普普通通的博客
01-24 2万+
ACL原理及配置 ACL概述 ACL组成 规则编号(Rule ID) 通配符(Wildcard) ACL的分类与标识 基本ACL&高级ACL ACL的匹配机制 ACL的匹配顺序及匹配结果 ACL的匹配位置 ACL的基础配置命令
ACL的基本介绍
qq_32044265的博客
05-29 8660
访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。每条规则描述报文匹配条件(报文的源地址、目的地址、端口号等)的判断语句,设备基于这些规则进行报文匹配,可以过滤出特定的报文 ACL配置完成后,必须应用在业务模块中才能生效,设备根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。 ACL的组成 一条ACL的结构组成,如图1所示。 图1 ACL的结构组成 ACL名称:通过名称来标识ACL,更加方便记忆,这种ACL,称为命名型ACL。 命名型AC
Linux ACL 学习笔记
weixin_33841503的博客
09-04 234
一、 为什么要使用ACL 先让我们来简单地复习一下Linux的文件权限。 在 linux下,对一个文件(或者资源)可以进行操作的对象被分为三类: file owner(文件 的拥有者),group(组,注意不一定是文件拥有者所在的组), other (其他)而对于每一类 别又分别定义了read, write and execute/search 权限 ...
ACL详解
享你所想
12-22 9264
就比如说做流控,不是说不让访问,可以访问,但要对流量、速度等做一些限制,遇到这样的情况,光靠这两种动作是无法实现这个功能的,所以,ACL在某些情况下只做第一件事 --- 只抓取流量,但不去做动作。某些设备配置了ACLACL中声明了一些匹配规则,通过这个规则来匹配一些流量,对匹配到的流量再执行相应的动作,即,提前设定好了怎么处理这些流量,比如说,是让它访问还是不让访问,从而就实现了控制的功能。---- 通过telnet管理路由器 ---- 通过web界面管理路由器 ---- 通过SNMP协议进行设备管理。
ACL权限
十一、的博客
10-14 914
概念介绍:ACL权限是一种在计算机系统中用于控制对资源的访问的机制。它通过定义哪些用户或用户组可以访问特定资源及其操作权限,来实现对资源的安全管理。工作原理:ACL权限的工作原理基于一组规则列表,这些规则指定了哪些主体(如用户或进程)具有对特定资源的访问权限,以及它们可以执行的具体操作。这些规则以列表的形式存储在系统中,并在每次访问资源时被用来检查和验证访问权限。
H3C通过配置ACL实现单向访问示例-HCL模拟器工程文件
02-27
在网络技术中,访问控制列表(ACL)是一种根据定义好的规则允许或拒绝数据包通过路由器或交换机的接口的工具。通过使用ACL,网络管理员可以对网络流量进行细粒度的控制,从而增强网络安全性和管理性。H3C是一家领先...
精选资源
ACL访问控制列表,基于流量抓取
10-19
ACL,即访问控制列表,是网络管理中一种重要的安全机制,用于实现对网络流量的精细化控制。ACL的基本工作原理是通过一系列预定义的规则来决定数据包是否可以通过网络设备,以此来分配带宽资源,保障局域网的安全。 ...
精选资源
基于ACL会议模板的Latex双栏中文模板
02-23
在本文中,我们将深入探讨如何使用基于ACL会议模板的LaTeX双栏中文模板来创建专业且规范的学术论文。ACL(Association for Computational Linguistics)是计算语言学领域的重要会议,其提供的模板旨在确保论文格式的...
精选资源
H3C交换机 典型配置举例-6W100-ACL典型配置举例
08-04
"H3C交换机典型配置举例-6W100-ACL典型配置举例" 本文将详细介绍H3C交换机中的ACL(Access Control List,访问控制列表)典型配置举例,包括允许指定的主机访问网络和拒绝指定的主机访问网络两种配置举例。 首先,...
ACL在网络安全的应用仿真-网络安全论文-计算机论文.docx
06-07
**ACL在网络安全的应用** 访问控制列表(ACL,Access Control List)是网络管理中不可或缺的工具,主要用于实现网络访问控制和安全防护。它基于OSI模型的第三层(网络层),通过对数据包的过滤来实现对网络流量的...
网球比赛YOLO视觉分析.zip
01-07
网球比赛YOLO视觉分析.zip
【顶级EI完美复现】电力系统碳排放流的计算方法【IEEE 14节点】(Matlab代码实现)
01-07
【顶级EI完美复现】电力系统碳排放流的计算方法【IEEE 14节点】(Matlab代码实现)内容概要:本文介绍了基于IEEE 14节点电力系统的碳排放流计算方法,并提供了Matlab代码实现,属于顶级EI期刊级别的研究成果复现。该方法通过建立电力系统中各节点的碳排放流动模型,结合潮流计算与电源出力特性,量化不同机组和线路的碳排放责任,进而实现对电力系统低碳运行的评估与优化。文中详细阐述了算法原理、数学模型构建及仿真步骤,适用于电力系统低碳化分析与碳足迹追踪研究。; 适合人群:具备电力系统基础知识和Matlab编程能力的高校研究生、科研人员及从事能源系统低碳化研究的专业技术人员,尤其适合致力于高水平论文复现与算法开发的研究者。; 使用场景及目标:①用于电力系统碳排放流的精确建模与可视化分析;②支撑“双碳”背景下电网低碳调度、绿色电力溯源与碳配额分配等应用场景;③为撰写高水平学术论文(如EI/SCI)提供可复现的技术路径与代码基础。; 阅读建议:建议读者结合IEEE 14节点系统标准数据,逐步运行并调试所提供的Matlab代码,深入理解碳流分配逻辑与矩阵运算实现方式,同时可拓展至其他节点系统以验证算法通用性。
Android多线程下载
01-07
源码地址: https://pan.quark.cn/s/dcbecb73e50d M3U8-Downloader-Build Release Download M3U8-Downloader 直接下载 M3U8-Downloader是基于Electron框架开发的一款可以下载、播放HLS视频流的APP,功能特点如下: 流程原理图 -- -- 官网 M3U8-Downloader 官网 QQ交流群:341972319 点我加QQ交流群 获取M3U8视频地址 在chrome浏览器打开视频网页,按下F12,页签点击到Network页面,在Filter框里输入"m3u8",然后按F5刷新页面,如果网页里的视频使用的是HLS源,就可以在这里捕获到视频流地址,然后选中右键 Copy -> Copy Link Address. 提供m3u8源地址,下载并无损转码Mp4文件 自定义头添加-视频教程 下载可执行包 [推荐] 蓝奏下载 Windows 、Linux、MacOS 下载 下载 Releases下载 运行源码 NodeJS开发环境搭建 安装NodeJs最新版,NodeJs Download Clone 代码 在任意文件夹下新建一个文件夹存放代码,并执行以下命令 Yarn 环境安装 Package 依赖安装 运行M3U8-Downloader 打包发布 Enjoy it 赞赏 赞赏链接
基于STM32 F4的永磁同步电机无位置传感器控制策略研究
最新发布
01-07
基于STM32 F4的永磁同步电机无位置传感器控制策略研究内容概要:本文围绕基于STM32 F4的永磁同步电机(PMSM)无位置传感器控制策略展开研究,重点探讨在不依赖物理位置传感器的情况下,如何通过算法实现对电机转子位置和速度的精确估计与控制。文中结合嵌入式开发平台STM32 F4,采用如滑模观测器、扩展卡尔曼滤波或高频注入法等先进观测技术,实现对电机反电动势或磁链的估算,进而完成无传感器矢量控制(FOC)。同时,研究涵盖系统建模、控制算法设计、仿真验证(可能使用Simulink)以及在STM32硬件平台上的代码实现与调试,旨在提高电机控制系统的可靠性、降低成本并增强环境适应性。; 适合人群:具备一定电力电子、自动控制理论基础和嵌入式开发经验的电气工程、自动化及相关专业的研究生、科研人员及从事电机驱动开发的工程师。; 使用场景及目标:①掌握永磁同步电机无位置传感器控制的核心原理与实现方法;②学习如何在STM32平台上进行电机控制算法的移植与优化;③为开发高性能、低成本的电机驱动系统提供技术参考与实践指导。; 阅读建议:建议读者结合文中提到的控制理论、仿真模型与实际代码实现进行系统学习,有条件者应在实验平台上进行验证,重点关注观测器设计、参数整定及系统稳定性分析等关键环节。
QSPI协议解析包(基于PulseView软件使用)
01-07
1. 在PulseView软件中,可用于解析QSPI协议 2. 当前作者只验证过QSPI的4线写指令、单线读指令,其他指令暂未验证。
acl
07-16
### ACL 配置指南与访问控制列表设置方法 访问控制列表(ACL)是一种用于控制网络流量或系统资源访问权限的机制。其配置方式因设备类型、操作系统和应用场景的不同而有所差异。以下为针对不同环境的 ACL 配置方法及设置说明。 #### 网络设备中的 ACL 配置 在路由器或交换机中,ACL 被广泛用于控制数据包的转发。以华为设备为例,配置高级 ACL 的基本命令如下: ```bash acl number 3000 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 10.0.0.0 0.0.0.255 rule 10 deny ip source any destination any ``` 该配置创建了一个编号为 `3000` 的高级 ACL,允许来自 `192.168.1.0/24` 网络的数据包访问 `10.0.0.0/24` 网络,并拒绝所有其他 IP 流量。创建 ACL 后,需将其绑定到具体接口以生效: ```bash interface GigabitEthernet0/0/1 ip address 192.168.1.1 255.255.255.0 ip access-group 3000 in ``` 此操作将 ACL 应用于 `GigabitEthernet0/0/1` 接口的入站方向,控制进入该接口的流量 [^2]。 在思科设备中,标准 ACL 的配置方式如下: ```bash access-list 1 permit 192.168.1.0 0.0.0.255 access-list 1 deny any ``` 随后将其应用到指定接口: ```bash interface s1/0 ip access-group 1 in ``` 此配置将 ACL `1` 应用于串口 `s1/0` 的入站方向,控制从该接口进入路由器的流量 [^2]。 #### 文件系统中的 ACL 设置 在 Linux 文件系统中,可以通过 `setfacl` 命令设置更细粒度的访问控制。例如,为用户 `john` 添加对某个文件的读写权限: ```bash setfacl -m u:john:rw /path/to/file ``` 此外,还可以设置组权限: ```bash setfacl -m g:developers:rx /path/to/dir ``` 上述命令允许 `developers` 组的成员对指定目录具有读和执行权限。使用 `getfacl` 命令可查看当前文件或目录的 ACL 设置: ```bash getfacl /path/to/file ``` 这将显示文件或目录的所有 ACL 条目 [^1]。 #### 云服务中的 ACL 配置 在云存储服务中,如 AWS S3,ACL 用于控制对象和存储桶的访问权限。例如,通过 JSON 策略文件设置存储桶的公共读权限: ```json { "Version": "2012-10-17", "Statement": [ { "Sid": "PublicReadGetObject", "Effect": "Allow", "Principal": "*", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::example-bucket/*" } ] } ``` 该配置允许所有用户读取 `example-bucket` 中的对象 [^3]。 #### 应用程序中的 ACL 实现 在应用程序中,如使用 Spring Boot 框架时,可以通过 Spring Security 的 ACL 模块实现基于对象的访问控制。例如,使用注解控制方法级别的访问权限: ```java @PreAuthorize("hasPermission(#document, 'read')") public void readDocument(Document document) { // 方法逻辑 } ``` 此注解确保调用该方法的用户必须对 `document` 对象具有 `read` 权限 [^3]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值