ICO wiki - User contributions [en]

Access Control List

2015-01-14T17:07:28Z

Kroasto: /* Näited */

==Autor==

2014/2015 Kadri Roasto AK21

2010 Arvi Alamaa

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Tegemist on laiendatud failiõigussüsteemiga. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) omanikule, grupile ja teistele kasutajatele. ACL võimaldab juurdepääsuõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACL-is määrata õigused nimeliselt konkreetsele kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutaja kui tavakasutaja õigustes. Alljärgneva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.
Näidetes kasutatud ACL versioon on acl 2.2.52 -1.

== Pääsupiiramisloendi kasutamine Linuxi failisüsteemides ==

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne.

Peamiselt kasutatakse kahte käsku '''getfacl''' ja '''setfacl''' koos võtmetega.

Tavakasutaja saab laiendatud failiõigustesüsteemi ACL kasutada failide puhul, mille omanik ta on. Juurkasutaja saab laiendatud failiõigustesüsteemi ACL kasutada ka siis kui ta ei ole faili omanik.
[http://www.vanemery.com/Linux/ACL/linux-acl.html [1]]

==Käsu formaat ==

<font size="4">'''getfacl''' [võti] fail ...</font>

<font size="4">'''setfacl''' [võti] { -m|-M|-x|-X ... } fail ...</font>

<h5>Võtmete kirjeldusi</h5>

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
| style="width: 150px;" |'''-h'''
|style="width: 150px;" |'''--help'''
|käsu info

|-
|'''-v'''
|'''--version'''
|versiooni info
|}

getfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-a'''
|'''--access'''
|kuvab pääsupiiramisloendi

|-
|'''-c'''
|'''--omit-header'''
|kuvab pääsupiiramisloendi kommentaarideta (kuvab pääsupiiramisloendi ilma faili, omaniku ning grupi nimeta)

|-
|'''-n'''
|'''--numeric'''
|kuvab pääsupiiramisloendis kasutajate/gruppide numbrilised ID-d

|-
|'''-R'''
|'''--recursive'''
|kuvab ka alamkataloogide ACL kirjed
|}

settfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|muudab kehtivaid ACL õiguste kirjeid failil

|-
|'''-M'''
|'''--modify-file=file'''
|muudab faili õigused vastavalt sellele, mida loeb õiguste kirjeid sisaldavast failist

|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL õiguste kirjed faililt
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|-
|'''--set'''
|
|määrab ACL õiguste kirjed failile, asendab kehtivad õigused
|}
[http://linux.die.net/man/1/getfacl [2]][http://linux.die.net/man/1/setfacl [3]]

==Näited ==

Näited on teostatud tavakasutaja õigustes, failidele, kus kasutaja on omanik. Näidetes on määratud õigused kasutades tähekombinatsioone: rwx; võib kasutada ka numbrilist õiguste määramist.

<h5>Näide 1</h5>

* faili/kausta õiguste kuvamine
<pre size="3">getfacl <faili/kausta_nimi></pre>
* Kuvame kausta nimega test õigused:
<pre size="3">getfacl test
# file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>

Tulemuse esimesed kolm rida väljastavad kausta nime, omaniku ning grupi, järgnevad kolm rida näitavad kasutaja, grupi ja teiste õiguseid. See on minimaalne ACL. Hetkel ei ole kuvatud infot, mida ei saaks mõne põhikäsuga.
Järgnevates näidetes on kasutatud sama käsku (getfacl test), et kuvada käskude tulemusi.

*määrame konkreetsele kasutajale õigused

<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused] <faili/kausta_nimi></pre>

* määrame kasutajale jaan õiguse vaadata ja muuta kausta nimega test:

<pre size="3">setfacl -m u:jaan:rw- test</pre>

*tulemus
<pre size="3">getfacl test
# file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
group::rwx
mask::rwx
other::r-x
</pre>
Näeme, et pääsupiiramisloendisse on lisandunud kasutaja jaan õigustega vaadata ja muuta kausta test.

*tulemus vaadatuna käsuga ls -l
<pre size="3">drwxrwxr-x+ 2 mari mari 4096 dets 25 14:55 test</pre>
Näeme, et kausta test õiguste lõpus on märk "+", see näitab, et kasutusel on ACL.

<h5>Näide 2</h5>

* määrame konkreetsele kasutajale ja konkreetsele grupile õigused
<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused],g:[grupi_nimi]:[õigused] <kausta/faili_nimi></pre>
* lisame kasutajale toomas ja grupile tudengid õiguse vaadata ja muuta kausta test
<pre size="3">setfacl -m u:toomas:rw-,g:tudengid:rw- test</pre>

*tulemus
<pre size="3">
getfacl test
# file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
user:toomas:rw-
group::rwx
group:tudengid:rw-
mask::rwx
other::r-x</pre>
Näeme, et nii kasutaja toomas kui grupp tudengid on lisandunud pääsupiiramisloendisse. Ning nad on saanud õigused r ja w kaustale test.
<h5>Näide 3</h5>
Mida tähendab pääsupiiramisloendis olev '''mask'''?
Maskiga on võimalik piirata ACLiga loodud kasutaja ja grupi õiguseid (omaniku õiguseid mask ei muuda). Mask määrab maksimaalsed õigused.
* Anname kasutajale jaan ja grupile tudengid nii vaatamise, muutmise kui kausta sisenemise õigused, kuid maskile määrame ainult vaatamise õigused
<pre size="3">setfacl -m u:jaan:rwx,g:tudengid:rwx test</pre>
<pre size="3">setfacl -m mask::r-- test</pre>

*tulemus
<pre size="3">
getfacl test
# file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rwx #effective:r--
user:toomas:rw- #effective:r--
group::rwx #effective:r--
group:tudengid:rwx #effective:r--
mask::r--
other::r-x
</pre>
Kuigi kasutaja jaan ja grupp tudengid said õigused: rwx, on maski tõttu neil ainult õigus:r. Samuti muutis mask ära varem toomasele ning omanik-grupile antud kehtivad õigused (''effective'').

<h5>Näide 4</h5>
*ACL õiguste eemaldamine
<pre size="3">setfacl -x u:[kasutaja_nimi] <kausta/faili_nimi]</pre>
*eemaldame kasutajatele jaan ja toomas ACL-iga antud õigused
<pre size="3">setfacl -x u:jaan,u:toomas test</pre>

*tulemus
<pre size="3">
getfacl test
# file: test
# owner: mari
# group: mari
user::rwx
group::rwx
group:tudengid:rwx
mask::rwx
other::r-x
</pre>
Näeme, et jaani ja toomast ei ole enam pääsupiiramisloendis, küll aga on alles grupp tudengid
<h5>Näide 5</h5>
ACL õiguste täielik eemaldamine
<pre size="3">setfacl -b <kausta/faili_nimi></pre>
<pre size="3">setfacl -b test</pre>

*tulemus
<pre size="3">
getfacl test
# file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x</pre>
Algne vaade on taastatud

<h5>Näide 6</h5>
*määrame kaustale/ failile uued õigused
<pre size="3">setfacl --set u::[õigused],g::[õigused],o::[õigused],u:[kasutaja_nimi]:[õigused] <kausta/faili_nimi></pre>
* määrame kaustale test uued õigused kasutades --set võtit. Antud võtit kasutades tuleb kindlasti määrata ka omaniku, grupi ning teiste õigused.
<pre size="3">setfacl --set u::rwx,g::rw,o::-,u:jaan:r test</pre>

*tulemus
<pre size="3">
getfacl test
# file: test
# owner: mari
# group: mari
user::rwx
user:jaan:r--
group::rw-
mask::rw-
other::---</pre>
<h5>Näide 7</h5>
Kui on vajalik kasutada sarnaseid õiguseid mitmel korral tasub töö lihtsustamiseks luua tekstifail, mis sisaldab ACL õiguste kirjeid.
Nt võib faili sisu olla selline
<pre size="3">user:jaan:rw-
user:toomas:rw-
group:tudengid:r--
mask::rw-
other::---
</pre>
*Failis kirjeldatud õiguste kasutamine
<pre size="3">setfacl -M <fail_kus_on_õiguste_kirjeldus> <fail_millele_määran_õigused></pre>
*määran failis minu_acl kirjeldatud õigused failidele test1, test2, test3

<pre size="3">setfacl -M minu_acl test*</pre>

*tulemus
<pre size="3">
getfacl test1

# file: test1
# owner: mari
# group: mari
user::rw-
user:jaan:rw-
user:toomas:rw-
group::rw-
group:tudengid:r--
mask::rw-
other::---</pre>
Sama tulemus on ka test2 ja test3 vaates.

[http://www.vanemery.com/Linux/ACL/linux-acl.html [1]]

==Faili liigutamine ja kopeerimine ==

*mv käsklus säilitab ACL-iga määratud õigused alati kui see on võimalik, kui võimalus puudub, siis kuvatakse hoiatus
*[https://wiki.itcollege.ee/index.php/Cp cp] säilitab ACL õigused, kui seda kasutatakse koos võtmega -p, kui õiguste säilitamine ei ole võimalik kuvatakse hoiatus.
[http://linux.die.net/man/5/acl [4]]

==Kokkuvõte==

ACL võimaldab paindlikumalt juurdepääsuõiguseid määrata ning lubab seda teha ka tavakasutajal.
Lihtsustab tööd nt juhul kui tehakse ühist projekti ja projekti faile hoitakse ühe kasutaja kodukaustas. Võimaldab kodukausta omanikul määrata õigused teistele projektis osalevatele kasutajatele ilma juurkasutaja poole pöördumata.

== Kasutatud kirjandus ==

# http://www.vanemery.com/Linux/ACL/linux-acl.html
#http://linux.die.net/man/1/getfacl
#http://linux.die.net/man/1/setfacl
#http://linux.die.net/man/5/acl

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Access Control List

2015-01-14T17:04:00Z

Kroasto: /* Näited */

==Autor==

2014/2015 Kadri Roasto AK21

2010 Arvi Alamaa

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Tegemist on laiendatud failiõigussüsteemiga. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) omanikule, grupile ja teistele kasutajatele. ACL võimaldab juurdepääsuõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACL-is määrata õigused nimeliselt konkreetsele kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutaja kui tavakasutaja õigustes. Alljärgneva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.
Näidetes kasutatud ACL versioon on acl 2.2.52 -1.

== Pääsupiiramisloendi kasutamine Linuxi failisüsteemides ==

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne.

Peamiselt kasutatakse kahte käsku '''getfacl''' ja '''setfacl''' koos võtmetega.

Tavakasutaja saab laiendatud failiõigustesüsteemi ACL kasutada failide puhul, mille omanik ta on. Juurkasutaja saab laiendatud failiõigustesüsteemi ACL kasutada ka siis kui ta ei ole faili omanik.
[http://www.vanemery.com/Linux/ACL/linux-acl.html [1]]

==Käsu formaat ==

<font size="4">'''getfacl''' [võti] fail ...</font>

<font size="4">'''setfacl''' [võti] { -m|-M|-x|-X ... } fail ...</font>

<h5>Võtmete kirjeldusi</h5>

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
| style="width: 150px;" |'''-h'''
|style="width: 150px;" |'''--help'''
|käsu info

|-
|'''-v'''
|'''--version'''
|versiooni info
|}

getfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-a'''
|'''--access'''
|kuvab pääsupiiramisloendi

|-
|'''-c'''
|'''--omit-header'''
|kuvab pääsupiiramisloendi kommentaarideta (kuvab pääsupiiramisloendi ilma faili, omaniku ning grupi nimeta)

|-
|'''-n'''
|'''--numeric'''
|kuvab pääsupiiramisloendis kasutajate/gruppide numbrilised ID-d

|-
|'''-R'''
|'''--recursive'''
|kuvab ka alamkataloogide ACL kirjed
|}

settfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|muudab kehtivaid ACL õiguste kirjeid failil

|-
|'''-M'''
|'''--modify-file=file'''
|muudab faili õigused vastavalt sellele, mida loeb õiguste kirjeid sisaldavast failist

|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL õiguste kirjed faililt
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|-
|'''--set'''
|
|määrab ACL õiguste kirjed failile, asendab kehtivad õigused
|}
[http://linux.die.net/man/1/getfacl [2]][http://linux.die.net/man/1/setfacl [3]]

==Näited ==

Näited on teostatud tavakasutaja õigustes, failidele, kus kasutaja on omanik. Näidetes on määratud õigused kasutades tähekombinatsioone: rwx; võib kasutada ka numbrilist õiguste määramist.

<h5>Näide 1</h5>

* faili/kausta õiguste kuvamine
<pre size="3">getfacl <faili/kausta_nimi></pre>
* Kuvame kausta nimega test õigused:
<pre size="3">getfacl test
# file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>

Tulemuse esimesed kolm rida väljastavad kausta nime, omaniku ning grupi, järgnevad kolm rida näitavad kasutaja, grupi ja teiste õiguseid. See on minimaalne ACL. Hetkel ei ole kuvatud infot, mida ei saaks mõne põhikäsuga.
Järgnevates näidetes on kasutatud sama käsku (getfacl test), et kuvada käskude tulemusi.

*määrame konkreetsele kasutajale õigused

<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused] <faili/kausta_nimi></pre>

* määrame kasutajale jaan õiguse vaadata ja muuta kausta nimega test:

<pre size="3">setfacl -m u:jaan:rw- test
getfacl test
# file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
group::rwx
mask::rwx
other::r-x
</pre>
Näeme, et pääsupiiramisloendisse on lisandunud kasutaja jaan õigustega vaadata ja muuta kausta test.

*tulemus vaadatuna käsuga ls -l
<pre size="3">drwxrwxr-x+ 2 mari mari 4096 dets 25 14:55 test</pre>
Näeme, et kausta test õiguste lõpus on märk "+", see näitab, et kasutusel on ACL.

<h5>Näide 2</h5>

* määrame konkreetsele kasutajale ja konkreetsele grupile õigused
<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused],g:[grupi_nimi]:[õigused] <kausta/faili_nimi></pre>
* lisame kasutajale toomas ja grupile tudengid õiguse vaadata ja muuta kausta test
<pre size="3">setfacl -m u:toomas:rw-,g:tudengid:rw- test
getfacl test
# file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
user:toomas:rw-
group::rwx
group:tudengid:rw-
mask::rwx
other::r-x</pre>
Näeme, et nii kasutaja toomas kui grupp tudengid on lisandunud pääsupiiramisloendisse. Ning nad on saanud õigused r ja w kaustale test.
<h5>Näide 3</h5>
Mida tähendab pääsupiiramisloendis olev '''mask'''?
Maskiga on võimalik piirata ACLiga loodud kasutaja ja grupi õiguseid (omaniku õiguseid mask ei muuda). Mask määrab maksimaalsed õigused.
* Anname kasutajale jaan ja grupile tudengid nii vaatamise, muutmise kui kausta sisenemise õigused, kuid maskile määrame ainult vaatamise õigused
<pre size="3">setfacl -m u:jaan:rwx,g:tudengid:rwx test</pre>
<pre size="3">setfacl -m mask::r-- test
getfacl test
# file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rwx #effective:r--
user:toomas:rw- #effective:r--
group::rwx #effective:r--
group:tudengid:rwx #effective:r--
mask::r--
other::r-x
</pre>
Kuigi kasutaja jaan ja grupp tudengid said õigused: rwx, on maski tõttu neil ainult õigus:r. Samuti muutis mask ära varem toomasele ning omanik-grupile antud kehtivad õigused (''effective'').

<h5>Näide 4</h5>
*ACL õiguste eemaldamine
<pre size="3">setfacl -x u:[kasutaja_nimi] <kausta/faili_nimi]</pre>
*eemaldame kasutajatele jaan ja toomas ACL-iga antud õigused
<pre size="3">setfacl -x u:jaan,u:toomas test
getfacl test
# file: test
# owner: mari
# group: mari
user::rwx
group::rwx
group:tudengid:rwx
mask::rwx
other::r-x
</pre>
Näeme, et jaani ja toomast ei ole enam pääsupiiramisloendis, küll aga on alles grupp tudengid
<h5>Näide 5</h5>
ACL õiguste täielik eemaldamine
<pre size="3">setfacl -b <kausta/faili_nimi></pre>
<pre size="3">setfacl -b test
getfacl test
# file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x</pre>
Algne vaade on taastatud

<h5>Näide 6</h5>
*määrame kaustale/ failile uued õigused
<pre size="3">setfacl --set u::[õigused],g::[õigused],o::[õigused],u:[kasutaja_nimi]:[õigused] <kausta/faili_nimi></pre>
* määrame kaustale test uued õigused kasutades --set võtit. Antud võtit kasutades tuleb kindlasti määrata ka omaniku, grupi ning teiste õigused.
<pre size="3">setfacl --set u::rwx,g::rw,o::-,u:jaan:r test
getfacl test
# file: test
# owner: mari
# group: mari
user::rwx
user:jaan:r--
group::rw-
mask::rw-
other::---</pre>
<h5>Näide 7</h5>
Kui on vajalik kasutada sarnaseid õiguseid mitmel korral tasub töö lihtsustamiseks luua tekstifail, mis sisaldab ACL õiguste kirjeid.
Nt võib faili sisu olla selline
<pre size="3">user:jaan:rw-
user:toomas:rw-
group:tudengid:r--
mask::rw-
other::---
</pre>
*Failis kirjeldatud õiguste kasutamine
<pre size="3">setfacl -M <fail_kus_on_õiguste_kirjeldus> <fail_millele_määran_õigused></pre>
*määran failis minu_acl kirjeldatud õigused failidele test1, test2, test3

<pre size="3">setfacl -M minu_acl test*
getfacl test1

# file: test1
# owner: mari
# group: mari
user::rw-
user:jaan:rw-
user:toomas:rw-
group::rw-
group:tudengid:r--
mask::rw-
other::---</pre>
Sama tulemus on ka test2 ja test3 vaates.

[http://www.vanemery.com/Linux/ACL/linux-acl.html [1]]

==Faili liigutamine ja kopeerimine ==

*mv käsklus säilitab ACL-iga määratud õigused alati kui see on võimalik, kui võimalus puudub, siis kuvatakse hoiatus
*[https://wiki.itcollege.ee/index.php/Cp cp] säilitab ACL õigused, kui seda kasutatakse koos võtmega -p, kui õiguste säilitamine ei ole võimalik kuvatakse hoiatus.
[http://linux.die.net/man/5/acl [4]]

==Kokkuvõte==

ACL võimaldab paindlikumalt juurdepääsuõiguseid määrata ning lubab seda teha ka tavakasutajal.
Lihtsustab tööd nt juhul kui tehakse ühist projekti ja projekti faile hoitakse ühe kasutaja kodukaustas. Võimaldab kodukausta omanikul määrata õigused teistele projektis osalevatele kasutajatele ilma juurkasutaja poole pöördumata.

== Kasutatud kirjandus ==

# http://www.vanemery.com/Linux/ACL/linux-acl.html
#http://linux.die.net/man/1/getfacl
#http://linux.die.net/man/1/setfacl
#http://linux.die.net/man/5/acl

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Access Control List

2015-01-14T17:03:00Z

Kroasto: /* Näited */

==Autor==

2014/2015 Kadri Roasto AK21

2010 Arvi Alamaa

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Tegemist on laiendatud failiõigussüsteemiga. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) omanikule, grupile ja teistele kasutajatele. ACL võimaldab juurdepääsuõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACL-is määrata õigused nimeliselt konkreetsele kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutaja kui tavakasutaja õigustes. Alljärgneva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.
Näidetes kasutatud ACL versioon on acl 2.2.52 -1.

== Pääsupiiramisloendi kasutamine Linuxi failisüsteemides ==

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne.

Peamiselt kasutatakse kahte käsku '''getfacl''' ja '''setfacl''' koos võtmetega.

Tavakasutaja saab laiendatud failiõigustesüsteemi ACL kasutada failide puhul, mille omanik ta on. Juurkasutaja saab laiendatud failiõigustesüsteemi ACL kasutada ka siis kui ta ei ole faili omanik.
[http://www.vanemery.com/Linux/ACL/linux-acl.html [1]]

==Käsu formaat ==

<font size="4">'''getfacl''' [võti] fail ...</font>

<font size="4">'''setfacl''' [võti] { -m|-M|-x|-X ... } fail ...</font>

<h5>Võtmete kirjeldusi</h5>

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
| style="width: 150px;" |'''-h'''
|style="width: 150px;" |'''--help'''
|käsu info

|-
|'''-v'''
|'''--version'''
|versiooni info
|}

getfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-a'''
|'''--access'''
|kuvab pääsupiiramisloendi

|-
|'''-c'''
|'''--omit-header'''
|kuvab pääsupiiramisloendi kommentaarideta (kuvab pääsupiiramisloendi ilma faili, omaniku ning grupi nimeta)

|-
|'''-n'''
|'''--numeric'''
|kuvab pääsupiiramisloendis kasutajate/gruppide numbrilised ID-d

|-
|'''-R'''
|'''--recursive'''
|kuvab ka alamkataloogide ACL kirjed
|}

settfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|muudab kehtivaid ACL õiguste kirjeid failil

|-
|'''-M'''
|'''--modify-file=file'''
|muudab faili õigused vastavalt sellele, mida loeb õiguste kirjeid sisaldavast failist

|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL õiguste kirjed faililt
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|-
|'''--set'''
|
|määrab ACL õiguste kirjed failile, asendab kehtivad õigused
|}
[http://linux.die.net/man/1/getfacl [2]][http://linux.die.net/man/1/setfacl [3]]

==Näited ==

Näited on teostatud tavakasutaja õigustes, failidele, kus kasutaja on omanik. Näidetes on määratud õigused kasutades tähekombinatsioone: rwx; võib kasutada ka numbrilist õiguste määramist.

<h5>Näide 1</h5>

* faili/kausta õiguste kuvamine
<pre size="3">getfacl <faili/kausta_nimi></pre>
* Kuvame kausta nimega test õigused:
<pre size="3">getfacl test
# file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>

Esimesed kolm rida väljastavad kausta nime, omaniku ning grupi, järgnevad kolm rida näitavad kasutaja, grupi ja teiste õiguseid. See on minimaalne ACL. Hetkel ei ole kuvatud infot, mida ei saaks mõne põhikäsuga.
Järgnevates näidetes on kasutatud sama käsku, et kuvada käskude tulemusi.

*määrame konkreetsele kasutajale õigused

<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused] <faili/kausta_nimi></pre>

* määrame kasutajale jaan õiguse vaadata ja muuta kausta nimega test:

<pre size="3">setfacl -m u:jaan:rw- test
getfacl test
# file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
group::rwx
mask::rwx
other::r-x
</pre>
Näeme, et pääsupiiramisloendisse on lisandunud kasutaja jaan õigustega vaadata ja muuta kausta test.

*tulemus vaadatuna käsuga ls -l
<pre size="3">drwxrwxr-x+ 2 mari mari 4096 dets 25 14:55 test</pre>
Näeme, et kausta test õiguste lõpus on märk "+", see näitab, et kasutusel on ACL.

<h5>Näide 2</h5>

* määrame konkreetsele kasutajale ja konkreetsele grupile õigused
<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused],g:[grupi_nimi]:[õigused] <kausta/faili_nimi></pre>
* lisame kasutajale toomas ja grupile tudengid õiguse vaadata ja muuta kausta test
<pre size="3">setfacl -m u:toomas:rw-,g:tudengid:rw- test
getfacl test
# file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
user:toomas:rw-
group::rwx
group:tudengid:rw-
mask::rwx
other::r-x</pre>
Näeme, et nii kasutaja toomas kui grupp tudengid on lisandunud pääsupiiramisloendisse. Ning nad on saanud õigused r ja w kaustale test.
<h5>Näide 3</h5>
Mida tähendab pääsupiiramisloendis olev '''mask'''?
Maskiga on võimalik piirata ACLiga loodud kasutaja ja grupi õiguseid (omaniku õiguseid mask ei muuda). Mask määrab maksimaalsed õigused.
* Anname kasutajale jaan ja grupile tudengid nii vaatamise, muutmise kui kausta sisenemise õigused, kuid maskile määrame ainult vaatamise õigused
<pre size="3">setfacl -m u:jaan:rwx,g:tudengid:rwx test</pre>
<pre size="3">setfacl -m mask::r-- test
getfacl test
# file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rwx #effective:r--
user:toomas:rw- #effective:r--
group::rwx #effective:r--
group:tudengid:rwx #effective:r--
mask::r--
other::r-x
</pre>
Kuigi kasutaja jaan ja grupp tudengid said õigused: rwx, on maski tõttu neil ainult õigus:r. Samuti muutis mask ära varem toomasele ning omanik-grupile antud kehtivad õigused (''effective'').

<h5>Näide 4</h5>
*ACL õiguste eemaldamine
<pre size="3">setfacl -x u:[kasutaja_nimi] <kausta/faili_nimi]</pre>
*eemaldame kasutajatele jaan ja toomas ACL-iga antud õigused
<pre size="3">setfacl -x u:jaan,u:toomas test
getfacl test
# file: test
# owner: mari
# group: mari
user::rwx
group::rwx
group:tudengid:rwx
mask::rwx
other::r-x
</pre>
Näeme, et jaani ja toomast ei ole enam pääsupiiramisloendis, küll aga on alles grupp tudengid
<h5>Näide 5</h5>
ACL õiguste täielik eemaldamine
<pre size="3">setfacl -b <kausta/faili_nimi></pre>
<pre size="3">setfacl -b test
getfacl test
# file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x</pre>
Algne vaade on taastatud

<h5>Näide 6</h5>
*määrame kaustale/ failile uued õigused
<pre size="3">setfacl --set u::[õigused],g::[õigused],o::[õigused],u:[kasutaja_nimi]:[õigused] <kausta/faili_nimi></pre>
* määrame kaustale test uued õigused kasutades --set võtit. Antud võtit kasutades tuleb kindlasti määrata ka omaniku, grupi ning teiste õigused.
<pre size="3">setfacl --set u::rwx,g::rw,o::-,u:jaan:r test
getfacl test
# file: test
# owner: mari
# group: mari
user::rwx
user:jaan:r--
group::rw-
mask::rw-
other::---</pre>
<h5>Näide 7</h5>
Kui on vajalik kasutada sarnaseid õiguseid mitmel korral tasub töö lihtsustamiseks luua tekstifail, mis sisaldab ACL õiguste kirjeid.
Nt võib faili sisu olla selline
<pre size="3">user:jaan:rw-
user:toomas:rw-
group:tudengid:r--
mask::rw-
other::---
</pre>
*Failis kirjeldatud õiguste kasutamine
<pre size="3">setfacl -M <fail_kus_on_õiguste_kirjeldus> <fail_millele_määran_õigused></pre>
*määran failis minu_acl kirjeldatud õigused failidele test1, test2, test3

<pre size="3">setfacl -M minu_acl test*
getfacl test1

# file: test1
# owner: mari
# group: mari
user::rw-
user:jaan:rw-
user:toomas:rw-
group::rw-
group:tudengid:r--
mask::rw-
other::---</pre>
Sama tulemus on ka test2 ja test3 vaates.

[http://www.vanemery.com/Linux/ACL/linux-acl.html [1]]

==Faili liigutamine ja kopeerimine ==

*mv käsklus säilitab ACL-iga määratud õigused alati kui see on võimalik, kui võimalus puudub, siis kuvatakse hoiatus
*[https://wiki.itcollege.ee/index.php/Cp cp] säilitab ACL õigused, kui seda kasutatakse koos võtmega -p, kui õiguste säilitamine ei ole võimalik kuvatakse hoiatus.
[http://linux.die.net/man/5/acl [4]]

==Kokkuvõte==

ACL võimaldab paindlikumalt juurdepääsuõiguseid määrata ning lubab seda teha ka tavakasutajal.
Lihtsustab tööd nt juhul kui tehakse ühist projekti ja projekti faile hoitakse ühe kasutaja kodukaustas. Võimaldab kodukausta omanikul määrata õigused teistele projektis osalevatele kasutajatele ilma juurkasutaja poole pöördumata.

== Kasutatud kirjandus ==

# http://www.vanemery.com/Linux/ACL/linux-acl.html
#http://linux.die.net/man/1/getfacl
#http://linux.die.net/man/1/setfacl
#http://linux.die.net/man/5/acl

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Access Control List

2015-01-14T17:01:58Z

Kroasto: /* Näited */

==Autor==

2014/2015 Kadri Roasto AK21

2010 Arvi Alamaa

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Tegemist on laiendatud failiõigussüsteemiga. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) omanikule, grupile ja teistele kasutajatele. ACL võimaldab juurdepääsuõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACL-is määrata õigused nimeliselt konkreetsele kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutaja kui tavakasutaja õigustes. Alljärgneva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.
Näidetes kasutatud ACL versioon on acl 2.2.52 -1.

== Pääsupiiramisloendi kasutamine Linuxi failisüsteemides ==

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne.

Peamiselt kasutatakse kahte käsku '''getfacl''' ja '''setfacl''' koos võtmetega.

Tavakasutaja saab laiendatud failiõigustesüsteemi ACL kasutada failide puhul, mille omanik ta on. Juurkasutaja saab laiendatud failiõigustesüsteemi ACL kasutada ka siis kui ta ei ole faili omanik.
[http://www.vanemery.com/Linux/ACL/linux-acl.html [1]]

==Käsu formaat ==

<font size="4">'''getfacl''' [võti] fail ...</font>

<font size="4">'''setfacl''' [võti] { -m|-M|-x|-X ... } fail ...</font>

<h5>Võtmete kirjeldusi</h5>

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
| style="width: 150px;" |'''-h'''
|style="width: 150px;" |'''--help'''
|käsu info

|-
|'''-v'''
|'''--version'''
|versiooni info
|}

getfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-a'''
|'''--access'''
|kuvab pääsupiiramisloendi

|-
|'''-c'''
|'''--omit-header'''
|kuvab pääsupiiramisloendi kommentaarideta (kuvab pääsupiiramisloendi ilma faili, omaniku ning grupi nimeta)

|-
|'''-n'''
|'''--numeric'''
|kuvab pääsupiiramisloendis kasutajate/gruppide numbrilised ID-d

|-
|'''-R'''
|'''--recursive'''
|kuvab ka alamkataloogide ACL kirjed
|}

settfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|muudab kehtivaid ACL õiguste kirjeid failil

|-
|'''-M'''
|'''--modify-file=file'''
|muudab faili õigused vastavalt sellele, mida loeb õiguste kirjeid sisaldavast failist

|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL õiguste kirjed faililt
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|-
|'''--set'''
|
|määrab ACL õiguste kirjed failile, asendab kehtivad õigused
|}
[http://linux.die.net/man/1/getfacl [2]][http://linux.die.net/man/1/setfacl [3]]

==Näited ==

Näited on teostatud tavakasutaja õigustes, failidele, kus kasutaja on omanik. Näidetes on määratud õigused kasutades tähekombinatsioone: rwx; võib kasutada ka numbrilist õiguste määramist.

<h5>Näide 1</h5>

* faili/kausta õiguste kuvamine
<pre size="3">getfacl <faili/kausta_nimi></pre>
* Kuvame kausta nimega test õigused:
<font size="3">getfacl test</font>
# file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>

Esimesed kolm rida väljastavad kausta nime, omaniku ning grupi, järgnevad kolm rida näitavad kasutaja, grupi ja teiste õiguseid. See on minimaalne ACL. Hetkel ei ole kuvatud infot, mida ei saaks mõne põhikäsuga.
Järgnevates näidetes on kasutatud sama käsku, et kuvada käskude tulemusi.

*määrame konkreetsele kasutajale õigused

<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused] <faili/kausta_nimi></pre>

* määrame kasutajale jaan õiguse vaadata ja muuta kausta nimega test:

<pre size="3">setfacl -m u:jaan:rw- test
getfacl test
# file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
group::rwx
mask::rwx
other::r-x
</pre>
Näeme, et pääsupiiramisloendisse on lisandunud kasutaja jaan õigustega vaadata ja muuta kausta test.

*tulemus vaadatuna käsuga ls -l
<pre size="3">drwxrwxr-x+ 2 mari mari 4096 dets 25 14:55 test</pre>
Näeme, et kausta test õiguste lõpus on märk "+", see näitab, et kasutusel on ACL.

<h5>Näide 2</h5>

* määrame konkreetsele kasutajale ja konkreetsele grupile õigused
<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused],g:[grupi_nimi]:[õigused] <kausta/faili_nimi></pre>
* lisame kasutajale toomas ja grupile tudengid õiguse vaadata ja muuta kausta test
<pre size="3">setfacl -m u:toomas:rw-,g:tudengid:rw- test
getfacl test
# file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
user:toomas:rw-
group::rwx
group:tudengid:rw-
mask::rwx
other::r-x</pre>
Näeme, et nii kasutaja toomas kui grupp tudengid on lisandunud pääsupiiramisloendisse. Ning nad on saanud õigused r ja w kaustale test.
<h5>Näide 3</h5>
Mida tähendab pääsupiiramisloendis olev '''mask'''?
Maskiga on võimalik piirata ACLiga loodud kasutaja ja grupi õiguseid (omaniku õiguseid mask ei muuda). Mask määrab maksimaalsed õigused.
* Anname kasutajale jaan ja grupile tudengid nii vaatamise, muutmise kui kausta sisenemise õigused, kuid maskile määrame ainult vaatamise õigused
<pre size="3">setfacl -m u:jaan:rwx,g:tudengid:rwx test</pre>
<pre size="3">setfacl -m mask::r-- test
getfacl test
# file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rwx #effective:r--
user:toomas:rw- #effective:r--
group::rwx #effective:r--
group:tudengid:rwx #effective:r--
mask::r--
other::r-x
</pre>
Kuigi kasutaja jaan ja grupp tudengid said õigused: rwx, on maski tõttu neil ainult õigus:r. Samuti muutis mask ära varem toomasele ning omanik-grupile antud kehtivad õigused (''effective'').

<h5>Näide 4</h5>
*ACL õiguste eemaldamine
<pre size="3">setfacl -x u:[kasutaja_nimi] <kausta/faili_nimi]</pre>
*eemaldame kasutajatele jaan ja toomas ACL-iga antud õigused
<pre size="3">setfacl -x u:jaan,u:toomas test
getfacl test
# file: test
# owner: mari
# group: mari
user::rwx
group::rwx
group:tudengid:rwx
mask::rwx
other::r-x
</pre>
Näeme, et jaani ja toomast ei ole enam pääsupiiramisloendis, küll aga on alles grupp tudengid
<h5>Näide 5</h5>
ACL õiguste täielik eemaldamine
<pre size="3">setfacl -b <kausta/faili_nimi></pre>
<pre size="3">setfacl -b test
getfacl test
# file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x</pre>
Algne vaade on taastatud

<h5>Näide 6</h5>
*määrame kaustale/ failile uued õigused
<pre size="3">setfacl --set u::[õigused],g::[õigused],o::[õigused],u:[kasutaja_nimi]:[õigused] <kausta/faili_nimi></pre>
* määrame kaustale test uued õigused kasutades --set võtit. Antud võtit kasutades tuleb kindlasti määrata ka omaniku, grupi ning teiste õigused.
<pre size="3">setfacl --set u::rwx,g::rw,o::-,u:jaan:r test
getfacl test
# file: test
# owner: mari
# group: mari
user::rwx
user:jaan:r--
group::rw-
mask::rw-
other::---</pre>
<h5>Näide 7</h5>
Kui on vajalik kasutada sarnaseid õiguseid mitmel korral tasub töö lihtsustamiseks luua tekstifail, mis sisaldab ACL õiguste kirjeid.
Nt võib faili sisu olla selline
<pre size="3">user:jaan:rw-
user:toomas:rw-
group:tudengid:r--
mask::rw-
other::---
</pre>
*Failis kirjeldatud õiguste kasutamine
<pre size="3">setfacl -M <fail_kus_on_õiguste_kirjeldus> <fail_millele_määran_õigused></pre>
*määran failis minu_acl kirjeldatud õigused failidele test1, test2, test3

<pre size="3">setfacl -M minu_acl test*
getfacl test1

# file: test1
# owner: mari
# group: mari
user::rw-
user:jaan:rw-
user:toomas:rw-
group::rw-
group:tudengid:r--
mask::rw-
other::---</pre>
Sama tulemus on ka test2 ja test3 vaates.

[http://www.vanemery.com/Linux/ACL/linux-acl.html [1]]

==Faili liigutamine ja kopeerimine ==

*mv käsklus säilitab ACL-iga määratud õigused alati kui see on võimalik, kui võimalus puudub, siis kuvatakse hoiatus
*[https://wiki.itcollege.ee/index.php/Cp cp] säilitab ACL õigused, kui seda kasutatakse koos võtmega -p, kui õiguste säilitamine ei ole võimalik kuvatakse hoiatus.
[http://linux.die.net/man/5/acl [4]]

==Kokkuvõte==

ACL võimaldab paindlikumalt juurdepääsuõiguseid määrata ning lubab seda teha ka tavakasutajal.
Lihtsustab tööd nt juhul kui tehakse ühist projekti ja projekti faile hoitakse ühe kasutaja kodukaustas. Võimaldab kodukausta omanikul määrata õigused teistele projektis osalevatele kasutajatele ilma juurkasutaja poole pöördumata.

== Kasutatud kirjandus ==

# http://www.vanemery.com/Linux/ACL/linux-acl.html
#http://linux.die.net/man/1/getfacl
#http://linux.die.net/man/1/setfacl
#http://linux.die.net/man/5/acl

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Access Control List

2015-01-14T16:39:06Z

Kroasto: /* Faili liigutamine ja kopeerimine [http://linux.die.net/man/5/acl [4]] */

==Autor==

2014/2015 Kadri Roasto AK21

2010 Arvi Alamaa

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Tegemist on laiendatud failiõigussüsteemiga. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) omanikule, grupile ja teistele kasutajatele. ACL võimaldab juurdepääsuõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACL-is määrata õigused nimeliselt konkreetsele kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutaja kui tavakasutaja õigustes. Alljärgneva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.
Näidetes kasutatud ACL versioon on acl 2.2.52 -1.

== Pääsupiiramisloendi kasutamine Linuxi failisüsteemides ==

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne.

Peamiselt kasutatakse kahte käsku '''getfacl''' ja '''setfacl''' koos võtmetega.

Tavakasutaja saab laiendatud failiõigustesüsteemi ACL kasutada failide puhul, mille omanik ta on. Juurkasutaja saab laiendatud failiõigustesüsteemi ACL kasutada ka siis kui ta ei ole faili omanik.
[http://www.vanemery.com/Linux/ACL/linux-acl.html [1]]

==Käsu formaat ==

<font size="4">'''getfacl''' [võti] fail ...</font>

<font size="4">'''setfacl''' [võti] { -m|-M|-x|-X ... } fail ...</font>

<h5>Võtmete kirjeldusi</h5>

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
| style="width: 150px;" |'''-h'''
|style="width: 150px;" |'''--help'''
|käsu info

|-
|'''-v'''
|'''--version'''
|versiooni info
|}

getfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-a'''
|'''--access'''
|kuvab pääsupiiramisloendi

|-
|'''-c'''
|'''--omit-header'''
|kuvab pääsupiiramisloendi kommentaarideta (kuvab pääsupiiramisloendi ilma faili, omaniku ning grupi nimeta)

|-
|'''-n'''
|'''--numeric'''
|kuvab pääsupiiramisloendis kasutajate/gruppide numbrilised ID-d

|-
|'''-R'''
|'''--recursive'''
|kuvab ka alamkataloogide ACL kirjed
|}

settfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|muudab kehtivaid ACL õiguste kirjeid failil

|-
|'''-M'''
|'''--modify-file=file'''
|muudab faili õigused vastavalt sellele, mida loeb õiguste kirjeid sisaldavast failist

|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL õiguste kirjed faililt
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|-
|'''--set'''
|
|määrab ACL õiguste kirjed failile, asendab kehtivad õigused
|}
[http://linux.die.net/man/1/getfacl [2]][http://linux.die.net/man/1/setfacl [3]]

==Näited ==

Näited on teostatud tavakasutaja õigustes, failidele, kus kasutaja on omanik. Näidetes on määratud õigused kasutades tähekombinatsioone: rwx; võib kasutada ka numbrilist õiguste määramist.

<h5>Näide 1</h5>

* faili/kausta õiguste kuvamine
<pre size="3">getfacl <faili/kausta_nimi></pre>
* Kuvame kausta nimega test õigused:
<font size="3">getfacl test</font>
* tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>

Esimesed kolm rida väljastavad kausta nime, omaniku ning grupi, järgnevad kolm rida näitavad kasutaja, grupi ja teiste õiguseid. See on minimaalne ACL. Hetkel ei ole kuvatud infot, mida ei saaks mõne põhikäsuga.

*määrame konkreetsele kasutajale õigused

<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused] <faili/kausta_nimi></pre>

* määrame kasutajale jaan õiguse vaadata ja muuta kausta nimega test:

<pre size="3">setfacl -m u:jaan:rw- test</pre>
*tulemus vaadatuna käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
group::rwx
mask::rwx
other::r-x
</pre>
Näeme, et pääsupiiramisloendisse on lisandunud kasutaja jaan õigustega vaadata ja muuta kausta test.

*tulemus vaadatuna käsuga ls -l
<pre size="3">drwxrwxr-x+ 2 mari mari 4096 dets 25 14:55 test</pre>
Näeme, et kausta test õiguste lõpus on märk "+", see näitab, et kasutusel on ACL.

<h5>Näide 2</h5>

* määrame konkreetsele kasutajale ja konkreetsele grupile õigused
<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused],g:[grupi_nimi]:[õigused] <kausta/faili_nimi></pre>
* lisame kasutajale toomas ja grupile tudengid õiguse vaadata ja muuta kausta test
<pre size="3">setfacl -m u:toomas:rw-,g:tudengid:rw- test</pre>
* tulemus vaadatud käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
user:toomas:rw-
group::rwx
group:tudengid:rw-
mask::rwx
other::r-x</pre>
Näeme, et nii kasutaja toomas kui grupp tudengid on lisandunud pääsupiiramisloendisse. Ning nad on saanud õigused r ja w kaustale test.
<h5>Näide 3</h5>
Mida tähendab pääsupiiramisloendis olev '''mask'''?
Maskiga on võimalik piirata ACLiga loodud kasutaja ja grupi õiguseid (omaniku õiguseid mask ei muuda). Mask määrab maksimaalsed õigused.
* Anname kasutajale jaan ja grupile tudengid nii vaatamise, muutmise kui kausta sisenemise õigused, kuid maskile määrame ainult vaatamise õigused
<pre size="3">setfacl -m u:jaan:rwx,g:tudengid:rwx test</pre>
<pre size="3">setfacl -m mask::r-- test</pre>
*tulemus vaadatuna käsuga getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rwx #effective:r--
user:toomas:rw- #effective:r--
group::rwx #effective:r--
group:tudengid:rwx #effective:r--
mask::r--
other::r-x
</pre>
Kuigi kasutaja jaan ja grupp tudengid said õigused: rwx, on maski tõttu neil ainult õigus:r. Samuti muutis mask ära varem toomasele ning omanik-grupile antud kehtivad õigused (''effective'').

<h5>Näide 4</h5>
*ACL õiguste eemaldamine
<pre size="3">setfacl -x u:[kasutaja_nimi] <kausta/faili_nimi]</pre>
*eemaldame kasutajatele jaan ja toomas ACL-iga antud õigused
<pre size="3">setfacl -x u:jaan,u:toomas test</pre>
*tulemus vaadatuna getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
group:tudengid:rwx
mask::rwx
other::r-x
</pre>
Näeme, et jaani ja toomast ei ole enam pääsupiiramisloendis, küll aga on alles grupp tudengid
<h5>Näide 5</h5>
ACL õiguste täielik eemaldamine
<pre size="3">setfacl -b <kausta/faili_nimi></pre>
<pre size="3">setfacl -b test</pre>
*tulemus vaadatuna getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x</pre>
Algne vaade on taastatud

<h5>Näide 6</h5>
*määrame kaustale/ failile uued õigused
<pre size="3">setfacl --set u::[õigused],g::[õigused],o::[õigused],u:[kasutaja_nimi]:[õigused] <kausta/faili_nimi></pre>
* määrame kaustale test uued õigused kasutades --set võtit. Antud võtit kasutades tuleb kindlasti määrata ka omaniku, grupi ning teiste õigused.
<pre size="3">setfacl --set u::rwx,g::rw,o::-,u:jaan:r test</pre>
*tulemus vaadatuna getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:r--
group::rw-
mask::rw-
other::---</pre>
<h5>Näide 7</h5>
Kui on vajalik kasutada sarnaseid õiguseid mitmel korral tasub töö lihtsustamiseks luua tekstifail, mis sisaldab ACL õiguste kirjeid.
Nt võib faili sisu olla selline
<pre size="3">user:jaan:rw-
user:toomas:rw-
group:tudengid:r--
mask::rw-
other::---
</pre>
*Failis kirjeldatud õiguste kasutamine
<pre size="3">setfacl -M <fail_kus_on_õiguste_kirjeldus> <fail_millele_määran_õigused></pre>
*määran failis minu_acl kirjeldatud õigused failidele test1, test2, test3

<pre size="3">setfacl -M minu_acl test*</pre>
*tulemus getfacl test1

<pre size="3"># file: test1
# owner: mari
# group: mari
user::rw-
user:jaan:rw-
user:toomas:rw-
group::rw-
group:tudengid:r--
mask::rw-
other::---</pre>
Sama tulemus on ka test2 ja test3 vaates.

[http://www.vanemery.com/Linux/ACL/linux-acl.html [1]]

==Faili liigutamine ja kopeerimine ==

*mv käsklus säilitab ACL-iga määratud õigused alati kui see on võimalik, kui võimalus puudub, siis kuvatakse hoiatus
*[https://wiki.itcollege.ee/index.php/Cp cp] säilitab ACL õigused, kui seda kasutatakse koos võtmega -p, kui õiguste säilitamine ei ole võimalik kuvatakse hoiatus.
[http://linux.die.net/man/5/acl [4]]

==Kokkuvõte==

ACL võimaldab paindlikumalt juurdepääsuõiguseid määrata ning lubab seda teha ka tavakasutajal.
Lihtsustab tööd nt juhul kui tehakse ühist projekti ja projekti faile hoitakse ühe kasutaja kodukaustas. Võimaldab kodukausta omanikul määrata õigused teistele projektis osalevatele kasutajatele ilma juurkasutaja poole pöördumata.

== Kasutatud kirjandus ==

# http://www.vanemery.com/Linux/ACL/linux-acl.html
#http://linux.die.net/man/1/getfacl
#http://linux.die.net/man/1/setfacl
#http://linux.die.net/man/5/acl

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Access Control List

2015-01-14T16:35:27Z

Kroasto: /* Näited [http://www.vanemery.com/Linux/ACL/linux-acl.html [1]] */

==Autor==

2014/2015 Kadri Roasto AK21

2010 Arvi Alamaa

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Tegemist on laiendatud failiõigussüsteemiga. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) omanikule, grupile ja teistele kasutajatele. ACL võimaldab juurdepääsuõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACL-is määrata õigused nimeliselt konkreetsele kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutaja kui tavakasutaja õigustes. Alljärgneva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.
Näidetes kasutatud ACL versioon on acl 2.2.52 -1.

== Pääsupiiramisloendi kasutamine Linuxi failisüsteemides ==

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne.

Peamiselt kasutatakse kahte käsku '''getfacl''' ja '''setfacl''' koos võtmetega.

Tavakasutaja saab laiendatud failiõigustesüsteemi ACL kasutada failide puhul, mille omanik ta on. Juurkasutaja saab laiendatud failiõigustesüsteemi ACL kasutada ka siis kui ta ei ole faili omanik.
[http://www.vanemery.com/Linux/ACL/linux-acl.html [1]]

==Käsu formaat ==

<font size="4">'''getfacl''' [võti] fail ...</font>

<font size="4">'''setfacl''' [võti] { -m|-M|-x|-X ... } fail ...</font>

<h5>Võtmete kirjeldusi</h5>

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
| style="width: 150px;" |'''-h'''
|style="width: 150px;" |'''--help'''
|käsu info

|-
|'''-v'''
|'''--version'''
|versiooni info
|}

getfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-a'''
|'''--access'''
|kuvab pääsupiiramisloendi

|-
|'''-c'''
|'''--omit-header'''
|kuvab pääsupiiramisloendi kommentaarideta (kuvab pääsupiiramisloendi ilma faili, omaniku ning grupi nimeta)

|-
|'''-n'''
|'''--numeric'''
|kuvab pääsupiiramisloendis kasutajate/gruppide numbrilised ID-d

|-
|'''-R'''
|'''--recursive'''
|kuvab ka alamkataloogide ACL kirjed
|}

settfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|muudab kehtivaid ACL õiguste kirjeid failil

|-
|'''-M'''
|'''--modify-file=file'''
|muudab faili õigused vastavalt sellele, mida loeb õiguste kirjeid sisaldavast failist

|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL õiguste kirjed faililt
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|-
|'''--set'''
|
|määrab ACL õiguste kirjed failile, asendab kehtivad õigused
|}
[http://linux.die.net/man/1/getfacl [2]][http://linux.die.net/man/1/setfacl [3]]

==Näited ==

Näited on teostatud tavakasutaja õigustes, failidele, kus kasutaja on omanik. Näidetes on määratud õigused kasutades tähekombinatsioone: rwx; võib kasutada ka numbrilist õiguste määramist.

<h5>Näide 1</h5>

* faili/kausta õiguste kuvamine
<pre size="3">getfacl <faili/kausta_nimi></pre>
* Kuvame kausta nimega test õigused:
<font size="3">getfacl test</font>
* tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>

Esimesed kolm rida väljastavad kausta nime, omaniku ning grupi, järgnevad kolm rida näitavad kasutaja, grupi ja teiste õiguseid. See on minimaalne ACL. Hetkel ei ole kuvatud infot, mida ei saaks mõne põhikäsuga.

*määrame konkreetsele kasutajale õigused

<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused] <faili/kausta_nimi></pre>

* määrame kasutajale jaan õiguse vaadata ja muuta kausta nimega test:

<pre size="3">setfacl -m u:jaan:rw- test</pre>
*tulemus vaadatuna käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
group::rwx
mask::rwx
other::r-x
</pre>
Näeme, et pääsupiiramisloendisse on lisandunud kasutaja jaan õigustega vaadata ja muuta kausta test.

*tulemus vaadatuna käsuga ls -l
<pre size="3">drwxrwxr-x+ 2 mari mari 4096 dets 25 14:55 test</pre>
Näeme, et kausta test õiguste lõpus on märk "+", see näitab, et kasutusel on ACL.

<h5>Näide 2</h5>

* määrame konkreetsele kasutajale ja konkreetsele grupile õigused
<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused],g:[grupi_nimi]:[õigused] <kausta/faili_nimi></pre>
* lisame kasutajale toomas ja grupile tudengid õiguse vaadata ja muuta kausta test
<pre size="3">setfacl -m u:toomas:rw-,g:tudengid:rw- test</pre>
* tulemus vaadatud käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
user:toomas:rw-
group::rwx
group:tudengid:rw-
mask::rwx
other::r-x</pre>
Näeme, et nii kasutaja toomas kui grupp tudengid on lisandunud pääsupiiramisloendisse. Ning nad on saanud õigused r ja w kaustale test.
<h5>Näide 3</h5>
Mida tähendab pääsupiiramisloendis olev '''mask'''?
Maskiga on võimalik piirata ACLiga loodud kasutaja ja grupi õiguseid (omaniku õiguseid mask ei muuda). Mask määrab maksimaalsed õigused.
* Anname kasutajale jaan ja grupile tudengid nii vaatamise, muutmise kui kausta sisenemise õigused, kuid maskile määrame ainult vaatamise õigused
<pre size="3">setfacl -m u:jaan:rwx,g:tudengid:rwx test</pre>
<pre size="3">setfacl -m mask::r-- test</pre>
*tulemus vaadatuna käsuga getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rwx #effective:r--
user:toomas:rw- #effective:r--
group::rwx #effective:r--
group:tudengid:rwx #effective:r--
mask::r--
other::r-x
</pre>
Kuigi kasutaja jaan ja grupp tudengid said õigused: rwx, on maski tõttu neil ainult õigus:r. Samuti muutis mask ära varem toomasele ning omanik-grupile antud kehtivad õigused (''effective'').

<h5>Näide 4</h5>
*ACL õiguste eemaldamine
<pre size="3">setfacl -x u:[kasutaja_nimi] <kausta/faili_nimi]</pre>
*eemaldame kasutajatele jaan ja toomas ACL-iga antud õigused
<pre size="3">setfacl -x u:jaan,u:toomas test</pre>
*tulemus vaadatuna getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
group:tudengid:rwx
mask::rwx
other::r-x
</pre>
Näeme, et jaani ja toomast ei ole enam pääsupiiramisloendis, küll aga on alles grupp tudengid
<h5>Näide 5</h5>
ACL õiguste täielik eemaldamine
<pre size="3">setfacl -b <kausta/faili_nimi></pre>
<pre size="3">setfacl -b test</pre>
*tulemus vaadatuna getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x</pre>
Algne vaade on taastatud

<h5>Näide 6</h5>
*määrame kaustale/ failile uued õigused
<pre size="3">setfacl --set u::[õigused],g::[õigused],o::[õigused],u:[kasutaja_nimi]:[õigused] <kausta/faili_nimi></pre>
* määrame kaustale test uued õigused kasutades --set võtit. Antud võtit kasutades tuleb kindlasti määrata ka omaniku, grupi ning teiste õigused.
<pre size="3">setfacl --set u::rwx,g::rw,o::-,u:jaan:r test</pre>
*tulemus vaadatuna getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:r--
group::rw-
mask::rw-
other::---</pre>
<h5>Näide 7</h5>
Kui on vajalik kasutada sarnaseid õiguseid mitmel korral tasub töö lihtsustamiseks luua tekstifail, mis sisaldab ACL õiguste kirjeid.
Nt võib faili sisu olla selline
<pre size="3">user:jaan:rw-
user:toomas:rw-
group:tudengid:r--
mask::rw-
other::---
</pre>
*Failis kirjeldatud õiguste kasutamine
<pre size="3">setfacl -M <fail_kus_on_õiguste_kirjeldus> <fail_millele_määran_õigused></pre>
*määran failis minu_acl kirjeldatud õigused failidele test1, test2, test3

<pre size="3">setfacl -M minu_acl test*</pre>
*tulemus getfacl test1

<pre size="3"># file: test1
# owner: mari
# group: mari
user::rw-
user:jaan:rw-
user:toomas:rw-
group::rw-
group:tudengid:r--
mask::rw-
other::---</pre>
Sama tulemus on ka test2 ja test3 vaates.

[http://www.vanemery.com/Linux/ACL/linux-acl.html [1]]

==Faili liigutamine ja kopeerimine [http://linux.die.net/man/5/acl [4]] ==

*mv käsklus säilitab ACL-iga määratud õigused alati kui see on võimalik, kui võimalus puudub, siis kuvatakse hoiatus
*[https://wiki.itcollege.ee/index.php/Cp cp] säilitab ACL õigused, kui seda kasutatakse koos võtmega -p, kui õiguste säilitamine ei ole võimalik kuvatakse hoiatus.

==Kokkuvõte==

ACL võimaldab paindlikumalt juurdepääsuõiguseid määrata ning lubab seda teha ka tavakasutajal.
Lihtsustab tööd nt juhul kui tehakse ühist projekti ja projekti faile hoitakse ühe kasutaja kodukaustas. Võimaldab kodukausta omanikul määrata õigused teistele projektis osalevatele kasutajatele ilma juurkasutaja poole pöördumata.

== Kasutatud kirjandus ==

# http://www.vanemery.com/Linux/ACL/linux-acl.html
#http://linux.die.net/man/1/getfacl
#http://linux.die.net/man/1/setfacl
#http://linux.die.net/man/5/acl

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Access Control List

2015-01-14T16:34:48Z

Kroasto: /* Pääsupiiramisloendi kasutamine Linuxi failisüsteemides [http://www.vanemery.com/Linux/ACL/linux-acl.html [1]] */

==Autor==

2014/2015 Kadri Roasto AK21

2010 Arvi Alamaa

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Tegemist on laiendatud failiõigussüsteemiga. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) omanikule, grupile ja teistele kasutajatele. ACL võimaldab juurdepääsuõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACL-is määrata õigused nimeliselt konkreetsele kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutaja kui tavakasutaja õigustes. Alljärgneva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.
Näidetes kasutatud ACL versioon on acl 2.2.52 -1.

== Pääsupiiramisloendi kasutamine Linuxi failisüsteemides ==

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne.

Peamiselt kasutatakse kahte käsku '''getfacl''' ja '''setfacl''' koos võtmetega.

Tavakasutaja saab laiendatud failiõigustesüsteemi ACL kasutada failide puhul, mille omanik ta on. Juurkasutaja saab laiendatud failiõigustesüsteemi ACL kasutada ka siis kui ta ei ole faili omanik.
[http://www.vanemery.com/Linux/ACL/linux-acl.html [1]]

==Käsu formaat ==

<font size="4">'''getfacl''' [võti] fail ...</font>

<font size="4">'''setfacl''' [võti] { -m|-M|-x|-X ... } fail ...</font>

<h5>Võtmete kirjeldusi</h5>

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
| style="width: 150px;" |'''-h'''
|style="width: 150px;" |'''--help'''
|käsu info

|-
|'''-v'''
|'''--version'''
|versiooni info
|}

getfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-a'''
|'''--access'''
|kuvab pääsupiiramisloendi

|-
|'''-c'''
|'''--omit-header'''
|kuvab pääsupiiramisloendi kommentaarideta (kuvab pääsupiiramisloendi ilma faili, omaniku ning grupi nimeta)

|-
|'''-n'''
|'''--numeric'''
|kuvab pääsupiiramisloendis kasutajate/gruppide numbrilised ID-d

|-
|'''-R'''
|'''--recursive'''
|kuvab ka alamkataloogide ACL kirjed
|}

settfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|muudab kehtivaid ACL õiguste kirjeid failil

|-
|'''-M'''
|'''--modify-file=file'''
|muudab faili õigused vastavalt sellele, mida loeb õiguste kirjeid sisaldavast failist

|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL õiguste kirjed faililt
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|-
|'''--set'''
|
|määrab ACL õiguste kirjed failile, asendab kehtivad õigused
|}
[http://linux.die.net/man/1/getfacl [2]][http://linux.die.net/man/1/setfacl [3]]

==Näited [http://www.vanemery.com/Linux/ACL/linux-acl.html [1]] ==

Näited on teostatud tavakasutaja õigustes, failidele, kus kasutaja on omanik. Näidetes on määratud õigused kasutades tähekombinatsioone: rwx; võib kasutada ka numbrilist õiguste määramist.

<h5>Näide 1</h5>

* faili/kausta õiguste kuvamine
<pre size="3">getfacl <faili/kausta_nimi></pre>
* Kuvame kausta nimega test õigused:
<font size="3">getfacl test</font>
* tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>

Esimesed kolm rida väljastavad kausta nime, omaniku ning grupi, järgnevad kolm rida näitavad kasutaja, grupi ja teiste õiguseid. See on minimaalne ACL. Hetkel ei ole kuvatud infot, mida ei saaks mõne põhikäsuga.

*määrame konkreetsele kasutajale õigused

<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused] <faili/kausta_nimi></pre>

* määrame kasutajale jaan õiguse vaadata ja muuta kausta nimega test:

<pre size="3">setfacl -m u:jaan:rw- test</pre>
*tulemus vaadatuna käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
group::rwx
mask::rwx
other::r-x
</pre>
Näeme, et pääsupiiramisloendisse on lisandunud kasutaja jaan õigustega vaadata ja muuta kausta test.

*tulemus vaadatuna käsuga ls -l
<pre size="3">drwxrwxr-x+ 2 mari mari 4096 dets 25 14:55 test</pre>
Näeme, et kausta test õiguste lõpus on märk "+", see näitab, et kasutusel on ACL.

<h5>Näide 2</h5>

* määrame konkreetsele kasutajale ja konkreetsele grupile õigused
<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused],g:[grupi_nimi]:[õigused] <kausta/faili_nimi></pre>
* lisame kasutajale toomas ja grupile tudengid õiguse vaadata ja muuta kausta test
<pre size="3">setfacl -m u:toomas:rw-,g:tudengid:rw- test</pre>
* tulemus vaadatud käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
user:toomas:rw-
group::rwx
group:tudengid:rw-
mask::rwx
other::r-x</pre>
Näeme, et nii kasutaja toomas kui grupp tudengid on lisandunud pääsupiiramisloendisse. Ning nad on saanud õigused r ja w kaustale test.
<h5>Näide 3</h5>
Mida tähendab pääsupiiramisloendis olev '''mask'''?
Maskiga on võimalik piirata ACLiga loodud kasutaja ja grupi õiguseid (omaniku õiguseid mask ei muuda). Mask määrab maksimaalsed õigused.
* Anname kasutajale jaan ja grupile tudengid nii vaatamise, muutmise kui kausta sisenemise õigused, kuid maskile määrame ainult vaatamise õigused
<pre size="3">setfacl -m u:jaan:rwx,g:tudengid:rwx test</pre>
<pre size="3">setfacl -m mask::r-- test</pre>
*tulemus vaadatuna käsuga getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rwx #effective:r--
user:toomas:rw- #effective:r--
group::rwx #effective:r--
group:tudengid:rwx #effective:r--
mask::r--
other::r-x
</pre>
Kuigi kasutaja jaan ja grupp tudengid said õigused: rwx, on maski tõttu neil ainult õigus:r. Samuti muutis mask ära varem toomasele ning omanik-grupile antud kehtivad õigused (''effective'').

<h5>Näide 4</h5>
*ACL õiguste eemaldamine
<pre size="3">setfacl -x u:[kasutaja_nimi] <kausta/faili_nimi]</pre>
*eemaldame kasutajatele jaan ja toomas ACL-iga antud õigused
<pre size="3">setfacl -x u:jaan,u:toomas test</pre>
*tulemus vaadatuna getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
group:tudengid:rwx
mask::rwx
other::r-x
</pre>
Näeme, et jaani ja toomast ei ole enam pääsupiiramisloendis, küll aga on alles grupp tudengid
<h5>Näide 5</h5>
ACL õiguste täielik eemaldamine
<pre size="3">setfacl -b <kausta/faili_nimi></pre>
<pre size="3">setfacl -b test</pre>
*tulemus vaadatuna getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x</pre>
Algne vaade on taastatud

<h5>Näide 6</h5>
*määrame kaustale/ failile uued õigused
<pre size="3">setfacl --set u::[õigused],g::[õigused],o::[õigused],u:[kasutaja_nimi]:[õigused] <kausta/faili_nimi></pre>
* määrame kaustale test uued õigused kasutades --set võtit. Antud võtit kasutades tuleb kindlasti määrata ka omaniku, grupi ning teiste õigused.
<pre size="3">setfacl --set u::rwx,g::rw,o::-,u:jaan:r test</pre>
*tulemus vaadatuna getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:r--
group::rw-
mask::rw-
other::---</pre>
<h5>Näide 7</h5>
Kui on vajalik kasutada sarnaseid õiguseid mitmel korral tasub töö lihtsustamiseks luua tekstifail, mis sisaldab ACL õiguste kirjeid.
Nt võib faili sisu olla selline
<pre size="3">user:jaan:rw-
user:toomas:rw-
group:tudengid:r--
mask::rw-
other::---
</pre>
*Failis kirjeldatud õiguste kasutamine
<pre size="3">setfacl -M <fail_kus_on_õiguste_kirjeldus> <fail_millele_määran_õigused></pre>
*määran failis minu_acl kirjeldatud õigused failidele test1, test2, test3

<pre size="3">setfacl -M minu_acl test*</pre>
*tulemus getfacl test1

<pre size="3"># file: test1
# owner: mari
# group: mari
user::rw-
user:jaan:rw-
user:toomas:rw-
group::rw-
group:tudengid:r--
mask::rw-
other::---</pre>
Sama tulemus on ka test2 ja test3 vaates.

==Faili liigutamine ja kopeerimine [http://linux.die.net/man/5/acl [4]] ==

*mv käsklus säilitab ACL-iga määratud õigused alati kui see on võimalik, kui võimalus puudub, siis kuvatakse hoiatus
*[https://wiki.itcollege.ee/index.php/Cp cp] säilitab ACL õigused, kui seda kasutatakse koos võtmega -p, kui õiguste säilitamine ei ole võimalik kuvatakse hoiatus.

==Kokkuvõte==

ACL võimaldab paindlikumalt juurdepääsuõiguseid määrata ning lubab seda teha ka tavakasutajal.
Lihtsustab tööd nt juhul kui tehakse ühist projekti ja projekti faile hoitakse ühe kasutaja kodukaustas. Võimaldab kodukausta omanikul määrata õigused teistele projektis osalevatele kasutajatele ilma juurkasutaja poole pöördumata.

== Kasutatud kirjandus ==

# http://www.vanemery.com/Linux/ACL/linux-acl.html
#http://linux.die.net/man/1/getfacl
#http://linux.die.net/man/1/setfacl
#http://linux.die.net/man/5/acl

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Access Control List

2015-01-14T16:34:11Z

Kroasto: /* Käsu formaat [http://linux.die.net/man/1/getfacl [2]][http://linux.die.net/man/1/setfacl [3]] */

==Autor==

2014/2015 Kadri Roasto AK21

2010 Arvi Alamaa

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Tegemist on laiendatud failiõigussüsteemiga. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) omanikule, grupile ja teistele kasutajatele. ACL võimaldab juurdepääsuõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACL-is määrata õigused nimeliselt konkreetsele kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutaja kui tavakasutaja õigustes. Alljärgneva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.
Näidetes kasutatud ACL versioon on acl 2.2.52 -1.

== Pääsupiiramisloendi kasutamine Linuxi failisüsteemides [http://www.vanemery.com/Linux/ACL/linux-acl.html [1]]==

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne.

Peamiselt kasutatakse kahte käsku '''getfacl''' ja '''setfacl''' koos võtmetega.

Tavakasutaja saab laiendatud failiõigustesüsteemi ACL kasutada failide puhul, mille omanik ta on. Juurkasutaja saab laiendatud failiõigustesüsteemi ACL kasutada ka siis kui ta ei ole faili omanik.

==Käsu formaat ==

<font size="4">'''getfacl''' [võti] fail ...</font>

<font size="4">'''setfacl''' [võti] { -m|-M|-x|-X ... } fail ...</font>

<h5>Võtmete kirjeldusi</h5>

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
| style="width: 150px;" |'''-h'''
|style="width: 150px;" |'''--help'''
|käsu info

|-
|'''-v'''
|'''--version'''
|versiooni info
|}

getfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-a'''
|'''--access'''
|kuvab pääsupiiramisloendi

|-
|'''-c'''
|'''--omit-header'''
|kuvab pääsupiiramisloendi kommentaarideta (kuvab pääsupiiramisloendi ilma faili, omaniku ning grupi nimeta)

|-
|'''-n'''
|'''--numeric'''
|kuvab pääsupiiramisloendis kasutajate/gruppide numbrilised ID-d

|-
|'''-R'''
|'''--recursive'''
|kuvab ka alamkataloogide ACL kirjed
|}

settfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|muudab kehtivaid ACL õiguste kirjeid failil

|-
|'''-M'''
|'''--modify-file=file'''
|muudab faili õigused vastavalt sellele, mida loeb õiguste kirjeid sisaldavast failist

|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL õiguste kirjed faililt
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|-
|'''--set'''
|
|määrab ACL õiguste kirjed failile, asendab kehtivad õigused
|}
[http://linux.die.net/man/1/getfacl [2]][http://linux.die.net/man/1/setfacl [3]]

==Näited [http://www.vanemery.com/Linux/ACL/linux-acl.html [1]] ==

Näited on teostatud tavakasutaja õigustes, failidele, kus kasutaja on omanik. Näidetes on määratud õigused kasutades tähekombinatsioone: rwx; võib kasutada ka numbrilist õiguste määramist.

<h5>Näide 1</h5>

* faili/kausta õiguste kuvamine
<pre size="3">getfacl <faili/kausta_nimi></pre>
* Kuvame kausta nimega test õigused:
<font size="3">getfacl test</font>
* tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>

Esimesed kolm rida väljastavad kausta nime, omaniku ning grupi, järgnevad kolm rida näitavad kasutaja, grupi ja teiste õiguseid. See on minimaalne ACL. Hetkel ei ole kuvatud infot, mida ei saaks mõne põhikäsuga.

*määrame konkreetsele kasutajale õigused

<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused] <faili/kausta_nimi></pre>

* määrame kasutajale jaan õiguse vaadata ja muuta kausta nimega test:

<pre size="3">setfacl -m u:jaan:rw- test</pre>
*tulemus vaadatuna käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
group::rwx
mask::rwx
other::r-x
</pre>
Näeme, et pääsupiiramisloendisse on lisandunud kasutaja jaan õigustega vaadata ja muuta kausta test.

*tulemus vaadatuna käsuga ls -l
<pre size="3">drwxrwxr-x+ 2 mari mari 4096 dets 25 14:55 test</pre>
Näeme, et kausta test õiguste lõpus on märk "+", see näitab, et kasutusel on ACL.

<h5>Näide 2</h5>

* määrame konkreetsele kasutajale ja konkreetsele grupile õigused
<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused],g:[grupi_nimi]:[õigused] <kausta/faili_nimi></pre>
* lisame kasutajale toomas ja grupile tudengid õiguse vaadata ja muuta kausta test
<pre size="3">setfacl -m u:toomas:rw-,g:tudengid:rw- test</pre>
* tulemus vaadatud käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
user:toomas:rw-
group::rwx
group:tudengid:rw-
mask::rwx
other::r-x</pre>
Näeme, et nii kasutaja toomas kui grupp tudengid on lisandunud pääsupiiramisloendisse. Ning nad on saanud õigused r ja w kaustale test.
<h5>Näide 3</h5>
Mida tähendab pääsupiiramisloendis olev '''mask'''?
Maskiga on võimalik piirata ACLiga loodud kasutaja ja grupi õiguseid (omaniku õiguseid mask ei muuda). Mask määrab maksimaalsed õigused.
* Anname kasutajale jaan ja grupile tudengid nii vaatamise, muutmise kui kausta sisenemise õigused, kuid maskile määrame ainult vaatamise õigused
<pre size="3">setfacl -m u:jaan:rwx,g:tudengid:rwx test</pre>
<pre size="3">setfacl -m mask::r-- test</pre>
*tulemus vaadatuna käsuga getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rwx #effective:r--
user:toomas:rw- #effective:r--
group::rwx #effective:r--
group:tudengid:rwx #effective:r--
mask::r--
other::r-x
</pre>
Kuigi kasutaja jaan ja grupp tudengid said õigused: rwx, on maski tõttu neil ainult õigus:r. Samuti muutis mask ära varem toomasele ning omanik-grupile antud kehtivad õigused (''effective'').

<h5>Näide 4</h5>
*ACL õiguste eemaldamine
<pre size="3">setfacl -x u:[kasutaja_nimi] <kausta/faili_nimi]</pre>
*eemaldame kasutajatele jaan ja toomas ACL-iga antud õigused
<pre size="3">setfacl -x u:jaan,u:toomas test</pre>
*tulemus vaadatuna getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
group:tudengid:rwx
mask::rwx
other::r-x
</pre>
Näeme, et jaani ja toomast ei ole enam pääsupiiramisloendis, küll aga on alles grupp tudengid
<h5>Näide 5</h5>
ACL õiguste täielik eemaldamine
<pre size="3">setfacl -b <kausta/faili_nimi></pre>
<pre size="3">setfacl -b test</pre>
*tulemus vaadatuna getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x</pre>
Algne vaade on taastatud

<h5>Näide 6</h5>
*määrame kaustale/ failile uued õigused
<pre size="3">setfacl --set u::[õigused],g::[õigused],o::[õigused],u:[kasutaja_nimi]:[õigused] <kausta/faili_nimi></pre>
* määrame kaustale test uued õigused kasutades --set võtit. Antud võtit kasutades tuleb kindlasti määrata ka omaniku, grupi ning teiste õigused.
<pre size="3">setfacl --set u::rwx,g::rw,o::-,u:jaan:r test</pre>
*tulemus vaadatuna getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:r--
group::rw-
mask::rw-
other::---</pre>
<h5>Näide 7</h5>
Kui on vajalik kasutada sarnaseid õiguseid mitmel korral tasub töö lihtsustamiseks luua tekstifail, mis sisaldab ACL õiguste kirjeid.
Nt võib faili sisu olla selline
<pre size="3">user:jaan:rw-
user:toomas:rw-
group:tudengid:r--
mask::rw-
other::---
</pre>
*Failis kirjeldatud õiguste kasutamine
<pre size="3">setfacl -M <fail_kus_on_õiguste_kirjeldus> <fail_millele_määran_õigused></pre>
*määran failis minu_acl kirjeldatud õigused failidele test1, test2, test3

<pre size="3">setfacl -M minu_acl test*</pre>
*tulemus getfacl test1

<pre size="3"># file: test1
# owner: mari
# group: mari
user::rw-
user:jaan:rw-
user:toomas:rw-
group::rw-
group:tudengid:r--
mask::rw-
other::---</pre>
Sama tulemus on ka test2 ja test3 vaates.

==Faili liigutamine ja kopeerimine [http://linux.die.net/man/5/acl [4]] ==

*mv käsklus säilitab ACL-iga määratud õigused alati kui see on võimalik, kui võimalus puudub, siis kuvatakse hoiatus
*[https://wiki.itcollege.ee/index.php/Cp cp] säilitab ACL õigused, kui seda kasutatakse koos võtmega -p, kui õiguste säilitamine ei ole võimalik kuvatakse hoiatus.

==Kokkuvõte==

ACL võimaldab paindlikumalt juurdepääsuõiguseid määrata ning lubab seda teha ka tavakasutajal.
Lihtsustab tööd nt juhul kui tehakse ühist projekti ja projekti faile hoitakse ühe kasutaja kodukaustas. Võimaldab kodukausta omanikul määrata õigused teistele projektis osalevatele kasutajatele ilma juurkasutaja poole pöördumata.

== Kasutatud kirjandus ==

# http://www.vanemery.com/Linux/ACL/linux-acl.html
#http://linux.die.net/man/1/getfacl
#http://linux.die.net/man/1/setfacl
#http://linux.die.net/man/5/acl

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Access Control List

2014-12-28T14:34:13Z

Kroasto: /* mv ja cp [http://linux.die.net/man/5/acl [4]] */

==Autor==

2014/2015 Kadri Roasto AK21

2010 Arvi Alamaa

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Tegemist on laiendatud failiõigussüsteemiga. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) omanikule, grupile ja teistele kasutajatele. ACL võimaldab juurdepääsuõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACL-is määrata õigused nimeliselt konkreetsele kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutaja kui tavakasutaja õigustes. Alljärgneva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.
Näidetes kasutatud ACL versioon on acl 2.2.52 -1.

== Pääsupiiramisloendi kasutamine Linuxi failisüsteemides [http://www.vanemery.com/Linux/ACL/linux-acl.html [1]]==

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne.

Peamiselt kasutatakse kahte käsku '''getfacl''' ja '''setfacl''' koos võtmetega.

Tavakasutaja saab laiendatud failiõigustesüsteemi ACL kasutada failide puhul, mille omanik ta on. Juurkasutaja saab laiendatud failiõigustesüsteemi ACL kasutada ka siis kui ta ei ole faili omanik.

==Käsu formaat [http://linux.die.net/man/1/getfacl [2]][http://linux.die.net/man/1/setfacl [3]]==

<font size="4">'''getfacl''' [võti] fail ...</font>

<font size="4">'''setfacl''' [võti] { -m|-M|-x|-X ... } fail ...</font>

<h5>Võtmete kirjeldusi</h5>

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
| style="width: 150px;" |'''-h'''
|style="width: 150px;" |'''--help'''
|käsu info

|-
|'''-v'''
|'''--version'''
|versiooni info
|}

getfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-a'''
|'''--access'''
|kuvab pääsupiiramisloendi

|-
|'''-c'''
|'''--omit-header'''
|kuvab pääsupiiramisloendi kommentaarideta (kuvab pääsupiiramisloendi ilma faili, omaniku ning grupi nimeta)

|-
|'''-n'''
|'''--numeric'''
|kuvab pääsupiiramisloendis kasutajate/gruppide numbrilised ID-d

|-
|'''-R'''
|'''--recursive'''
|kuvab ka alamkataloogide ACL kirjed
|}

settfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|muudab kehtivaid ACL õiguste kirjeid failil

|-
|'''-M'''
|'''--modify-file=file'''
|muudab faili õigused vastavalt sellele, mida loeb õiguste kirjeid sisaldavast failist

|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL õiguste kirjed faililt
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|-
|'''--set'''
|
|määrab ACL õiguste kirjed failile, asendab kehtivad õigused
|}

==Näited [http://www.vanemery.com/Linux/ACL/linux-acl.html [1]] ==

Näited on teostatud tavakasutaja õigustes, failidele, kus kasutaja on omanik. Näidetes on määratud õigused kasutades tähekombinatsioone: rwx; võib kasutada ka numbrilist õiguste määramist.

<h5>Näide 1</h5>

* faili/kausta õiguste kuvamine
<pre size="3">getfacl <faili/kausta_nimi></pre>
* Kuvame kausta nimega test õigused:
<font size="3">getfacl test</font>
* tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>

Esimesed kolm rida väljastavad kausta nime, omaniku ning grupi, järgnevad kolm rida näitavad kasutaja, grupi ja teiste õiguseid. See on minimaalne ACL. Hetkel ei ole kuvatud infot, mida ei saaks mõne põhikäsuga.

*määrame konkreetsele kasutajale õigused

<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused] <faili/kausta_nimi></pre>

* määrame kasutajale jaan õiguse vaadata ja muuta kausta nimega test:

<pre size="3">setfacl -m u:jaan:rw- test</pre>
*tulemus vaadatuna käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
group::rwx
mask::rwx
other::r-x
</pre>
Näeme, et pääsupiiramisloendisse on lisandunud kasutaja jaan õigustega vaadata ja muuta kausta test.

*tulemus vaadatuna käsuga ls -l
<pre size="3">drwxrwxr-x+ 2 mari mari 4096 dets 25 14:55 test</pre>
Näeme, et kausta test õiguste lõpus on märk "+", see näitab, et kasutusel on ACL.

<h5>Näide 2</h5>

* määrame konkreetsele kasutajale ja konkreetsele grupile õigused
<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused],g:[grupi_nimi]:[õigused] <kausta/faili_nimi></pre>
* lisame kasutajale toomas ja grupile tudengid õiguse vaadata ja muuta kausta test
<pre size="3">setfacl -m u:toomas:rw-,g:tudengid:rw- test</pre>
* tulemus vaadatud käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
user:toomas:rw-
group::rwx
group:tudengid:rw-
mask::rwx
other::r-x</pre>
Näeme, et nii kasutaja toomas kui grupp tudengid on lisandunud pääsupiiramisloendisse. Ning nad on saanud õigused r ja w kaustale test.
<h5>Näide 3</h5>
Mida tähendab pääsupiiramisloendis olev '''mask'''?
Maskiga on võimalik piirata ACLiga loodud kasutaja ja grupi õiguseid (omaniku õiguseid mask ei muuda). Mask määrab maksimaalsed õigused.
* Anname kasutajale jaan ja grupile tudengid nii vaatamise, muutmise kui kausta sisenemise õigused, kuid maskile määrame ainult vaatamise õigused
<pre size="3">setfacl -m u:jaan:rwx,g:tudengid:rwx test</pre>
<pre size="3">setfacl -m mask::r-- test</pre>
*tulemus vaadatuna käsuga getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rwx #effective:r--
user:toomas:rw- #effective:r--
group::rwx #effective:r--
group:tudengid:rwx #effective:r--
mask::r--
other::r-x
</pre>
Kuigi kasutaja jaan ja grupp tudengid said õigused: rwx, on maski tõttu neil ainult õigus:r. Samuti muutis mask ära varem toomasele ning omanik-grupile antud kehtivad õigused (''effective'').

<h5>Näide 4</h5>
*ACL õiguste eemaldamine
<pre size="3">setfacl -x u:[kasutaja_nimi] <kausta/faili_nimi]</pre>
*eemaldame kasutajatele jaan ja toomas ACL-iga antud õigused
<pre size="3">setfacl -x u:jaan,u:toomas test</pre>
*tulemus vaadatuna getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
group:tudengid:rwx
mask::rwx
other::r-x
</pre>
Näeme, et jaani ja toomast ei ole enam pääsupiiramisloendis, küll aga on alles grupp tudengid
<h5>Näide 5</h5>
ACL õiguste täielik eemaldamine
<pre size="3">setfacl -b <kausta/faili_nimi></pre>
<pre size="3">setfacl -b test</pre>
*tulemus vaadatuna getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x</pre>
Algne vaade on taastatud

<h5>Näide 6</h5>
*määrame kaustale/ failile uued õigused
<pre size="3">setfacl --set u::[õigused],g::[õigused],o::[õigused],u:[kasutaja_nimi]:[õigused] <kausta/faili_nimi></pre>
* määrame kaustale test uued õigused kasutades --set võtit. Antud võtit kasutades tuleb kindlasti määrata ka omaniku, grupi ning teiste õigused.
<pre size="3">setfacl --set u::rwx,g::rw,o::-,u:jaan:r test</pre>
*tulemus vaadatuna getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:r--
group::rw-
mask::rw-
other::---</pre>
<h5>Näide 7</h5>
Kui on vajalik kasutada sarnaseid õiguseid mitmel korral tasub töö lihtsustamiseks luua tekstifail, mis sisaldab ACL õiguste kirjeid.
Nt võib faili sisu olla selline
<pre size="3">user:jaan:rw-
user:toomas:rw-
group:tudengid:r--
mask::rw-
other::---
</pre>
*Failis kirjeldatud õiguste kasutamine
<pre size="3">setfacl -M <fail_kus_on_õiguste_kirjeldus> <fail_millele_määran_õigused></pre>
*määran failis minu_acl kirjeldatud õigused failidele test1, test2, test3

<pre size="3">setfacl -M minu_acl test*</pre>
*tulemus getfacl test1

<pre size="3"># file: test1
# owner: mari
# group: mari
user::rw-
user:jaan:rw-
user:toomas:rw-
group::rw-
group:tudengid:r--
mask::rw-
other::---</pre>
Sama tulemus on ka test2 ja test3 vaates.

==Faili liigutamine ja kopeerimine [http://linux.die.net/man/5/acl [4]] ==

*mv käsklus säilitab ACL-iga määratud õigused alati kui see on võimalik, kui võimalus puudub, siis kuvatakse hoiatus
*[https://wiki.itcollege.ee/index.php/Cp cp] säilitab ACL õigused, kui seda kasutatakse koos võtmega -p, kui õiguste säilitamine ei ole võimalik kuvatakse hoiatus.

==Kokkuvõte==

ACL võimaldab paindlikumalt juurdepääsuõiguseid määrata ning lubab seda teha ka tavakasutajal.
Lihtsustab tööd nt juhul kui tehakse ühist projekti ja projekti faile hoitakse ühe kasutaja kodukaustas. Võimaldab kodukausta omanikul määrata õigused teistele projektis osalevatele kasutajatele ilma juurkasutaja poole pöördumata.

== Kasutatud kirjandus ==

# http://www.vanemery.com/Linux/ACL/linux-acl.html
#http://linux.die.net/man/1/getfacl
#http://linux.die.net/man/1/setfacl
#http://linux.die.net/man/5/acl

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Access Control List

2014-12-28T14:32:09Z

Kroasto: /* Näited [http://www.vanemery.com/Linux/ACL/linux-acl.html [1]] */

==Autor==

2014/2015 Kadri Roasto AK21

2010 Arvi Alamaa

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Tegemist on laiendatud failiõigussüsteemiga. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) omanikule, grupile ja teistele kasutajatele. ACL võimaldab juurdepääsuõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACL-is määrata õigused nimeliselt konkreetsele kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutaja kui tavakasutaja õigustes. Alljärgneva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.
Näidetes kasutatud ACL versioon on acl 2.2.52 -1.

== Pääsupiiramisloendi kasutamine Linuxi failisüsteemides [http://www.vanemery.com/Linux/ACL/linux-acl.html [1]]==

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne.

Peamiselt kasutatakse kahte käsku '''getfacl''' ja '''setfacl''' koos võtmetega.

Tavakasutaja saab laiendatud failiõigustesüsteemi ACL kasutada failide puhul, mille omanik ta on. Juurkasutaja saab laiendatud failiõigustesüsteemi ACL kasutada ka siis kui ta ei ole faili omanik.

==Käsu formaat [http://linux.die.net/man/1/getfacl [2]][http://linux.die.net/man/1/setfacl [3]]==

<font size="4">'''getfacl''' [võti] fail ...</font>

<font size="4">'''setfacl''' [võti] { -m|-M|-x|-X ... } fail ...</font>

<h5>Võtmete kirjeldusi</h5>

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
| style="width: 150px;" |'''-h'''
|style="width: 150px;" |'''--help'''
|käsu info

|-
|'''-v'''
|'''--version'''
|versiooni info
|}

getfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-a'''
|'''--access'''
|kuvab pääsupiiramisloendi

|-
|'''-c'''
|'''--omit-header'''
|kuvab pääsupiiramisloendi kommentaarideta (kuvab pääsupiiramisloendi ilma faili, omaniku ning grupi nimeta)

|-
|'''-n'''
|'''--numeric'''
|kuvab pääsupiiramisloendis kasutajate/gruppide numbrilised ID-d

|-
|'''-R'''
|'''--recursive'''
|kuvab ka alamkataloogide ACL kirjed
|}

settfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|muudab kehtivaid ACL õiguste kirjeid failil

|-
|'''-M'''
|'''--modify-file=file'''
|muudab faili õigused vastavalt sellele, mida loeb õiguste kirjeid sisaldavast failist

|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL õiguste kirjed faililt
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|-
|'''--set'''
|
|määrab ACL õiguste kirjed failile, asendab kehtivad õigused
|}

==Näited [http://www.vanemery.com/Linux/ACL/linux-acl.html [1]] ==

Näited on teostatud tavakasutaja õigustes, failidele, kus kasutaja on omanik. Näidetes on määratud õigused kasutades tähekombinatsioone: rwx; võib kasutada ka numbrilist õiguste määramist.

<h5>Näide 1</h5>

* faili/kausta õiguste kuvamine
<pre size="3">getfacl <faili/kausta_nimi></pre>
* Kuvame kausta nimega test õigused:
<font size="3">getfacl test</font>
* tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>

Esimesed kolm rida väljastavad kausta nime, omaniku ning grupi, järgnevad kolm rida näitavad kasutaja, grupi ja teiste õiguseid. See on minimaalne ACL. Hetkel ei ole kuvatud infot, mida ei saaks mõne põhikäsuga.

*määrame konkreetsele kasutajale õigused

<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused] <faili/kausta_nimi></pre>

* määrame kasutajale jaan õiguse vaadata ja muuta kausta nimega test:

<pre size="3">setfacl -m u:jaan:rw- test</pre>
*tulemus vaadatuna käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
group::rwx
mask::rwx
other::r-x
</pre>
Näeme, et pääsupiiramisloendisse on lisandunud kasutaja jaan õigustega vaadata ja muuta kausta test.

*tulemus vaadatuna käsuga ls -l
<pre size="3">drwxrwxr-x+ 2 mari mari 4096 dets 25 14:55 test</pre>
Näeme, et kausta test õiguste lõpus on märk "+", see näitab, et kasutusel on ACL.

<h5>Näide 2</h5>

* määrame konkreetsele kasutajale ja konkreetsele grupile õigused
<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused],g:[grupi_nimi]:[õigused] <kausta/faili_nimi></pre>
* lisame kasutajale toomas ja grupile tudengid õiguse vaadata ja muuta kausta test
<pre size="3">setfacl -m u:toomas:rw-,g:tudengid:rw- test</pre>
* tulemus vaadatud käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
user:toomas:rw-
group::rwx
group:tudengid:rw-
mask::rwx
other::r-x</pre>
Näeme, et nii kasutaja toomas kui grupp tudengid on lisandunud pääsupiiramisloendisse. Ning nad on saanud õigused r ja w kaustale test.
<h5>Näide 3</h5>
Mida tähendab pääsupiiramisloendis olev '''mask'''?
Maskiga on võimalik piirata ACLiga loodud kasutaja ja grupi õiguseid (omaniku õiguseid mask ei muuda). Mask määrab maksimaalsed õigused.
* Anname kasutajale jaan ja grupile tudengid nii vaatamise, muutmise kui kausta sisenemise õigused, kuid maskile määrame ainult vaatamise õigused
<pre size="3">setfacl -m u:jaan:rwx,g:tudengid:rwx test</pre>
<pre size="3">setfacl -m mask::r-- test</pre>
*tulemus vaadatuna käsuga getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rwx #effective:r--
user:toomas:rw- #effective:r--
group::rwx #effective:r--
group:tudengid:rwx #effective:r--
mask::r--
other::r-x
</pre>
Kuigi kasutaja jaan ja grupp tudengid said õigused: rwx, on maski tõttu neil ainult õigus:r. Samuti muutis mask ära varem toomasele ning omanik-grupile antud kehtivad õigused (''effective'').

<h5>Näide 4</h5>
*ACL õiguste eemaldamine
<pre size="3">setfacl -x u:[kasutaja_nimi] <kausta/faili_nimi]</pre>
*eemaldame kasutajatele jaan ja toomas ACL-iga antud õigused
<pre size="3">setfacl -x u:jaan,u:toomas test</pre>
*tulemus vaadatuna getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
group:tudengid:rwx
mask::rwx
other::r-x
</pre>
Näeme, et jaani ja toomast ei ole enam pääsupiiramisloendis, küll aga on alles grupp tudengid
<h5>Näide 5</h5>
ACL õiguste täielik eemaldamine
<pre size="3">setfacl -b <kausta/faili_nimi></pre>
<pre size="3">setfacl -b test</pre>
*tulemus vaadatuna getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x</pre>
Algne vaade on taastatud

<h5>Näide 6</h5>
*määrame kaustale/ failile uued õigused
<pre size="3">setfacl --set u::[õigused],g::[õigused],o::[õigused],u:[kasutaja_nimi]:[õigused] <kausta/faili_nimi></pre>
* määrame kaustale test uued õigused kasutades --set võtit. Antud võtit kasutades tuleb kindlasti määrata ka omaniku, grupi ning teiste õigused.
<pre size="3">setfacl --set u::rwx,g::rw,o::-,u:jaan:r test</pre>
*tulemus vaadatuna getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:r--
group::rw-
mask::rw-
other::---</pre>
<h5>Näide 7</h5>
Kui on vajalik kasutada sarnaseid õiguseid mitmel korral tasub töö lihtsustamiseks luua tekstifail, mis sisaldab ACL õiguste kirjeid.
Nt võib faili sisu olla selline
<pre size="3">user:jaan:rw-
user:toomas:rw-
group:tudengid:r--
mask::rw-
other::---
</pre>
*Failis kirjeldatud õiguste kasutamine
<pre size="3">setfacl -M <fail_kus_on_õiguste_kirjeldus> <fail_millele_määran_õigused></pre>
*määran failis minu_acl kirjeldatud õigused failidele test1, test2, test3

<pre size="3">setfacl -M minu_acl test*</pre>
*tulemus getfacl test1

<pre size="3"># file: test1
# owner: mari
# group: mari
user::rw-
user:jaan:rw-
user:toomas:rw-
group::rw-
group:tudengid:r--
mask::rw-
other::---</pre>
Sama tulemus on ka test2 ja test3 vaates.

==mv ja cp [http://linux.die.net/man/5/acl [4]] ==

*mv käsklus säilitab ACL-iga määratud õigused alati kui see on võimalik, kui võimalus puudub, siis kuvatakse hoiatus
*cp säilitab ACL õigused, kui seda kasutatakse koos võtmega -p, kui õiguste säilitamine ei ole võimalik kuvatakse hoiatus.

==Kokkuvõte==

ACL võimaldab paindlikumalt juurdepääsuõiguseid määrata ning lubab seda teha ka tavakasutajal.
Lihtsustab tööd nt juhul kui tehakse ühist projekti ja projekti faile hoitakse ühe kasutaja kodukaustas. Võimaldab kodukausta omanikul määrata õigused teistele projektis osalevatele kasutajatele ilma juurkasutaja poole pöördumata.

== Kasutatud kirjandus ==

# http://www.vanemery.com/Linux/ACL/linux-acl.html
#http://linux.die.net/man/1/getfacl
#http://linux.die.net/man/1/setfacl
#http://linux.die.net/man/5/acl

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Access Control List

2014-12-28T14:26:14Z

Kroasto: /* Käsu formaat [http://linux.die.net/man/1/getfacl [2]][http://linux.die.net/man/1/setfacl [3]] */

==Autor==

2014/2015 Kadri Roasto AK21

2010 Arvi Alamaa

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Tegemist on laiendatud failiõigussüsteemiga. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) omanikule, grupile ja teistele kasutajatele. ACL võimaldab juurdepääsuõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACL-is määrata õigused nimeliselt konkreetsele kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutaja kui tavakasutaja õigustes. Alljärgneva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.
Näidetes kasutatud ACL versioon on acl 2.2.52 -1.

== Pääsupiiramisloendi kasutamine Linuxi failisüsteemides [http://www.vanemery.com/Linux/ACL/linux-acl.html [1]]==

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne.

Peamiselt kasutatakse kahte käsku '''getfacl''' ja '''setfacl''' koos võtmetega.

Tavakasutaja saab laiendatud failiõigustesüsteemi ACL kasutada failide puhul, mille omanik ta on. Juurkasutaja saab laiendatud failiõigustesüsteemi ACL kasutada ka siis kui ta ei ole faili omanik.

==Käsu formaat [http://linux.die.net/man/1/getfacl [2]][http://linux.die.net/man/1/setfacl [3]]==

<font size="4">'''getfacl''' [võti] fail ...</font>

<font size="4">'''setfacl''' [võti] { -m|-M|-x|-X ... } fail ...</font>

<h5>Võtmete kirjeldusi</h5>

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
| style="width: 150px;" |'''-h'''
|style="width: 150px;" |'''--help'''
|käsu info

|-
|'''-v'''
|'''--version'''
|versiooni info
|}

getfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-a'''
|'''--access'''
|kuvab pääsupiiramisloendi

|-
|'''-c'''
|'''--omit-header'''
|kuvab pääsupiiramisloendi kommentaarideta (kuvab pääsupiiramisloendi ilma faili, omaniku ning grupi nimeta)

|-
|'''-n'''
|'''--numeric'''
|kuvab pääsupiiramisloendis kasutajate/gruppide numbrilised ID-d

|-
|'''-R'''
|'''--recursive'''
|kuvab ka alamkataloogide ACL kirjed
|}

settfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|muudab kehtivaid ACL õiguste kirjeid failil

|-
|'''-M'''
|'''--modify-file=file'''
|muudab faili õigused vastavalt sellele, mida loeb õiguste kirjeid sisaldavast failist

|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL õiguste kirjed faililt
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|-
|'''--set'''
|
|määrab ACL õiguste kirjed failile, asendab kehtivad õigused
|}

==Näited [http://www.vanemery.com/Linux/ACL/linux-acl.html [1]] ==

Näited on teostatud tavakasutaja õigustes, failidele, kus kasutaja on omanik. Näidetes on määratud õigused kasutades tähekombinatsioone: rwx; võib kasutada ka numbrilist õiguste määramist.

<h5>Näide 1</h5>

* faili/kausta õiguste kuvamine
<pre size="3">getfacl <faili/kausta_nimi></pre>
* Kuvame kausta nimega test õigused:
<font size="3">getfacl test</font>
* tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>

Esimesed kolm rida väljastavad kausta nime, omaniku ning grupi, järgnevad kolm rida näitavad kasutaja, grupi ja teiste õiguseid. See on minimaalne ACL. Hetkel ei ole kuvatud infot, mida ei saaks mõne põhikäsuga.

*määrame konkreetsele kasutajale õigused

<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused] <faili/kausta_nimi></pre>

* määrame kasutajale jaan õiguse vaadata ja muuta kausta nimega test:

<pre size="3">setfacl -m u:jaan:rw- test</pre>
*tulemus vaadatuna käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
group::rwx
mask::rwx
other::r-x
</pre>
Näeme, et pääsupiiramisloendisse on lisandunud kasutaja jaan õigustega vaadata ja muuta kausta test.

*tulemus vaadatuna käsuga ls -l
<pre size="3">drwxrwxr-x+ 2 mari mari 4096 dets 25 14:55 test</pre>
Näeme, et kausta test õiguste lõpus on märk "+", see näitab, et kasutusel on ACL.

<h5>Näide 2</h5>

* määrame konkreetsele kasutajale ja konkreetsele grupile õigused
<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused],g:[grupi_nimi]:[õigused] <kausta/faili_nimi></pre>
* lisame kasutajale toomas ja grupile tudengid õiguse vaadata ja muuta kausta test
<pre size="3">setfacl -m u:toomas:rw-,g:tudengid:rw- test</pre>
* tulemus vaadatud käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
user:toomas:rw-
group::rwx
group:tudengid:rw-
mask::rwx
other::r-x</pre>
Näeme, et nii kasutaja toomas kui grupp tudengid on lisandunud pääsupiiramisloendisse. Ning nad on saanud õigused r ja w kaustale test.
<h5>Näide 3</h5>
Mida tähendab pääsupiiramisloendis olev '''mask'''?
Maskiga on võimalik piirata ACLiga loodud kasutaja ja grupi õiguseid (omaniku õiguseid mask ei muuda). Mask määrab maksimaalsed õigused.
* Anname kasutajale jaan ja grupile tudengid nii vaatamise, muutmise kui kausta sisenemise õigused, kuid maskile määrame ainult vaatamise õigused
<pre size="3">setfacl -m u:jaan:rwx,g:tudengid:rwx test</pre>
<pre size="3">setfacl -m mask::r-- test</pre>
*tulemus vaadatuna käsuga getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rwx #effective:r--
user:toomas:rw- #effective:r--
group::rwx #effective:r--
group:tudengid:rwx #effective:r--
mask::r--
other::r-x
</pre>
Kuigi kasutaja jaan ja grupp tudengid said õigused: rwx, on maski tõttu neil ainult õigus:r. Samuti muutis mask ära varem toomasele ning omanik-grupile antud kehtivad õigused (''effecitve'').

<h5>Näide 4</h5>
*ACL õiguste eemaldamine
<pre size="3">setfacl -x u:[kasutaja_nimi] <kausta/faili_nimi]</pre>
*eemaldame kasutajatele jaan ja toomas ACL-iga antud õigused
<pre size="3">setfacl -x u:jaan,u:toomas test</pre>
*tulemus vaadatuna getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
group:tudengid:rwx
mask::rwx
other::r-x
</pre>
Näeme, et jaani ja toomast ei ole enam pääsupiiramisloendis, küll aga on alles grupp tudengid
<h5>Näide 5</h5>
ACL õiguste täielik eemaldamine
<pre size="3">setfacl -b <kausta/faili_nimi></pre>
<pre size="3">setfacl -b test</pre>
*tulemus vaadatuna getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
Algne vaade on taastatud
</pre>
<h5>Näide 6</h5>
*määrame kaustale/ failile uued õigused
<pre size="3">setfacl --set u::[õigused],g::[õigused],o::[õigused],u:[kasutaja_nimi]:[õigused] <kausta/faili_nimi></pre>
* määrame kaustale test uued õigused kasutades --set võtit. Antud võtit kasutades tuleb kindlasti määrata ka omaniku, grupi ning teiste õigused.
<pre size="3">setfacl --set u::rwx,g::rw,o::-,u:jaan:r test</pre>
*tulemus vaadatuna getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:r--
group::rw-
mask::rw-
other::---</pre>
<h5>Näide 7</h5>
Kui on vajalik kasutada sarnaseid õiguseid mitmel korral tasub töö lihtsustamiseks luua tekstifail, mis sisaldab ACL õiguste kirjeid.
Nt võib faili sisu olla selline
<pre size="3">user:jaan:rw-
user:toomas:rw-
group:tudengid:r--
mask::rw-
other::---
</pre>
*Failis kirjeldatud õiguste kasutamine
<pre size="3">setfacl -M <fail_kus_on_õiguste_kirjeldus> <fail_millele_määran_õigused></pre>
*määran failis minu_acl kirjeldatud õigused failidele test1, test2, test3

<pre size="3">setfacl -M minu_acl test*</pre>
*tulemus getfacl test1

<pre size="3"># file: test1
# owner: mari
# group: mari
user::rw-
user:jaan:rw-
user:toomas:rw-
group::rw-
group:tudengid:r--
mask::rw-
other::---</pre>
Sama tulemus on ka test2 ja test3 vaates.

==mv ja cp [http://linux.die.net/man/5/acl [4]] ==

*mv käsklus säilitab ACL-iga määratud õigused alati kui see on võimalik, kui võimalus puudub, siis kuvatakse hoiatus
*cp säilitab ACL õigused, kui seda kasutatakse koos võtmega -p, kui õiguste säilitamine ei ole võimalik kuvatakse hoiatus.

==Kokkuvõte==

ACL võimaldab paindlikumalt juurdepääsuõiguseid määrata ning lubab seda teha ka tavakasutajal.
Lihtsustab tööd nt juhul kui tehakse ühist projekti ja projekti faile hoitakse ühe kasutaja kodukaustas. Võimaldab kodukausta omanikul määrata õigused teistele projektis osalevatele kasutajatele ilma juurkasutaja poole pöördumata.

== Kasutatud kirjandus ==

# http://www.vanemery.com/Linux/ACL/linux-acl.html
#http://linux.die.net/man/1/getfacl
#http://linux.die.net/man/1/setfacl
#http://linux.die.net/man/5/acl

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Access Control List

2014-12-28T14:20:27Z

Kroasto: /* Pääsupiiramisloendi kasutamine Linuxi failisüsteemides [http://www.vanemery.com/Linux/ACL/linux-acl.html [1]] */

==Autor==

2014/2015 Kadri Roasto AK21

2010 Arvi Alamaa

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Tegemist on laiendatud failiõigussüsteemiga. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) omanikule, grupile ja teistele kasutajatele. ACL võimaldab juurdepääsuõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACL-is määrata õigused nimeliselt konkreetsele kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutaja kui tavakasutaja õigustes. Alljärgneva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.
Näidetes kasutatud ACL versioon on acl 2.2.52 -1.

== Pääsupiiramisloendi kasutamine Linuxi failisüsteemides [http://www.vanemery.com/Linux/ACL/linux-acl.html [1]]==

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne.

Peamiselt kasutatakse kahte käsku '''getfacl''' ja '''setfacl''' koos võtmetega.

Tavakasutaja saab laiendatud failiõigustesüsteemi ACL kasutada failide puhul, mille omanik ta on. Juurkasutaja saab laiendatud failiõigustesüsteemi ACL kasutada ka siis kui ta ei ole faili omanik.

==Käsu formaat [http://linux.die.net/man/1/getfacl [2]][http://linux.die.net/man/1/setfacl [3]]==

<font size="4">'''getfacl''' [võti] fail ...</font>

<font size="4">'''setfacl''' [võti] { -m|-M|-x|-X ... } fail ...</font>

<h5>Võtmete kirjeldusi</h5>

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
| style="width: 150px;" |'''-h'''
|style="width: 150px;" |'''--help'''
|käsu info

|-
|'''-v'''
|'''--version'''
|versiooni info
|}

getfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-a'''
|'''--access'''
|kuvab pääsupiiramisloendi

|-
|'''-c'''
|'''--omit-header'''
|kuvab pääsupiiramisloendi kommentaarideta (kuvab pääsupiiramisloendi ilma faili, omaniku ning grupi nimeta)

|-
|'''-n'''
|'''--numeric'''
|kuvab pääsupiiramisloendis kasutajate/gruppide numbrilised ID-d

|-
|'''-R'''
|'''--recursive'''
|kuvab ka alamkataloogide ACL kirjed
|}

settfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|muudab kehtivaid ACL õiguste kirjeid failil

|-
|'''-M'''
|'''--modify-file=file'''
|loeb ACL õiguste kirjed failist ning muudab faili õigused vastavalt loetule

|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL õiguste kirjed faililt
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|-
|'''--set'''
|
|määrab ACL õiguste kirjed failile, asendab kehtivad õigused
|}

==Näited [http://www.vanemery.com/Linux/ACL/linux-acl.html [1]] ==

Näited on teostatud tavakasutaja õigustes, failidele, kus kasutaja on omanik. Näidetes on määratud õigused kasutades tähekombinatsioone: rwx; võib kasutada ka numbrilist õiguste määramist.

<h5>Näide 1</h5>

* faili/kausta õiguste kuvamine
<pre size="3">getfacl <faili/kausta_nimi></pre>
* Kuvame kausta nimega test õigused:
<font size="3">getfacl test</font>
* tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>

Esimesed kolm rida väljastavad kausta nime, omaniku ning grupi, järgnevad kolm rida näitavad kasutaja, grupi ja teiste õiguseid. See on minimaalne ACL. Hetkel ei ole kuvatud infot, mida ei saaks mõne põhikäsuga.

*määrame konkreetsele kasutajale õigused

<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused] <faili/kausta_nimi></pre>

* määrame kasutajale jaan õiguse vaadata ja muuta kausta nimega test:

<pre size="3">setfacl -m u:jaan:rw- test</pre>
*tulemus vaadatuna käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
group::rwx
mask::rwx
other::r-x
</pre>
Näeme, et pääsupiiramisloendisse on lisandunud kasutaja jaan õigustega vaadata ja muuta kausta test.

*tulemus vaadatuna käsuga ls -l
<pre size="3">drwxrwxr-x+ 2 mari mari 4096 dets 25 14:55 test</pre>
Näeme, et kausta test õiguste lõpus on märk "+", see näitab, et kasutusel on ACL.

<h5>Näide 2</h5>

* määrame konkreetsele kasutajale ja konkreetsele grupile õigused
<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused],g:[grupi_nimi]:[õigused] <kausta/faili_nimi></pre>
* lisame kasutajale toomas ja grupile tudengid õiguse vaadata ja muuta kausta test
<pre size="3">setfacl -m u:toomas:rw-,g:tudengid:rw- test</pre>
* tulemus vaadatud käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
user:toomas:rw-
group::rwx
group:tudengid:rw-
mask::rwx
other::r-x</pre>
Näeme, et nii kasutaja toomas kui grupp tudengid on lisandunud pääsupiiramisloendisse. Ning nad on saanud õigused r ja w kaustale test.
<h5>Näide 3</h5>
Mida tähendab pääsupiiramisloendis olev '''mask'''?
Maskiga on võimalik piirata ACLiga loodud kasutaja ja grupi õiguseid (omaniku õiguseid mask ei muuda). Mask määrab maksimaalsed õigused.
* Anname kasutajale jaan ja grupile tudengid nii vaatamise, muutmise kui kausta sisenemise õigused, kuid maskile määrame ainult vaatamise õigused
<pre size="3">setfacl -m u:jaan:rwx,g:tudengid:rwx test</pre>
<pre size="3">setfacl -m mask::r-- test</pre>
*tulemus vaadatuna käsuga getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rwx #effective:r--
user:toomas:rw- #effective:r--
group::rwx #effective:r--
group:tudengid:rwx #effective:r--
mask::r--
other::r-x
</pre>
Kuigi kasutaja jaan ja grupp tudengid said õigused: rwx, on maski tõttu neil ainult õigus:r. Samuti muutis mask ära varem toomasele ning omanik-grupile antud kehtivad õigused (''effecitve'').

<h5>Näide 4</h5>
*ACL õiguste eemaldamine
<pre size="3">setfacl -x u:[kasutaja_nimi] <kausta/faili_nimi]</pre>
*eemaldame kasutajatele jaan ja toomas ACL-iga antud õigused
<pre size="3">setfacl -x u:jaan,u:toomas test</pre>
*tulemus vaadatuna getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
group:tudengid:rwx
mask::rwx
other::r-x
</pre>
Näeme, et jaani ja toomast ei ole enam pääsupiiramisloendis, küll aga on alles grupp tudengid
<h5>Näide 5</h5>
ACL õiguste täielik eemaldamine
<pre size="3">setfacl -b <kausta/faili_nimi></pre>
<pre size="3">setfacl -b test</pre>
*tulemus vaadatuna getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
Algne vaade on taastatud
</pre>
<h5>Näide 6</h5>
*määrame kaustale/ failile uued õigused
<pre size="3">setfacl --set u::[õigused],g::[õigused],o::[õigused],u:[kasutaja_nimi]:[õigused] <kausta/faili_nimi></pre>
* määrame kaustale test uued õigused kasutades --set võtit. Antud võtit kasutades tuleb kindlasti määrata ka omaniku, grupi ning teiste õigused.
<pre size="3">setfacl --set u::rwx,g::rw,o::-,u:jaan:r test</pre>
*tulemus vaadatuna getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:r--
group::rw-
mask::rw-
other::---</pre>
<h5>Näide 7</h5>
Kui on vajalik kasutada sarnaseid õiguseid mitmel korral tasub töö lihtsustamiseks luua tekstifail, mis sisaldab ACL õiguste kirjeid.
Nt võib faili sisu olla selline
<pre size="3">user:jaan:rw-
user:toomas:rw-
group:tudengid:r--
mask::rw-
other::---
</pre>
*Failis kirjeldatud õiguste kasutamine
<pre size="3">setfacl -M <fail_kus_on_õiguste_kirjeldus> <fail_millele_määran_õigused></pre>
*määran failis minu_acl kirjeldatud õigused failidele test1, test2, test3

<pre size="3">setfacl -M minu_acl test*</pre>
*tulemus getfacl test1

<pre size="3"># file: test1
# owner: mari
# group: mari
user::rw-
user:jaan:rw-
user:toomas:rw-
group::rw-
group:tudengid:r--
mask::rw-
other::---</pre>
Sama tulemus on ka test2 ja test3 vaates.

==mv ja cp [http://linux.die.net/man/5/acl [4]] ==

*mv käsklus säilitab ACL-iga määratud õigused alati kui see on võimalik, kui võimalus puudub, siis kuvatakse hoiatus
*cp säilitab ACL õigused, kui seda kasutatakse koos võtmega -p, kui õiguste säilitamine ei ole võimalik kuvatakse hoiatus.

==Kokkuvõte==

ACL võimaldab paindlikumalt juurdepääsuõiguseid määrata ning lubab seda teha ka tavakasutajal.
Lihtsustab tööd nt juhul kui tehakse ühist projekti ja projekti faile hoitakse ühe kasutaja kodukaustas. Võimaldab kodukausta omanikul määrata õigused teistele projektis osalevatele kasutajatele ilma juurkasutaja poole pöördumata.

== Kasutatud kirjandus ==

# http://www.vanemery.com/Linux/ACL/linux-acl.html
#http://linux.die.net/man/1/getfacl
#http://linux.die.net/man/1/setfacl
#http://linux.die.net/man/5/acl

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Access Control List

2014-12-28T14:19:34Z

Kroasto: /* Sissejuhatus */

==Autor==

2014/2015 Kadri Roasto AK21

2010 Arvi Alamaa

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Tegemist on laiendatud failiõigussüsteemiga. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) omanikule, grupile ja teistele kasutajatele. ACL võimaldab juurdepääsuõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACL-is määrata õigused nimeliselt konkreetsele kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutaja kui tavakasutaja õigustes. Alljärgneva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.
Näidetes kasutatud ACL versioon on acl 2.2.52 -1.

== Pääsupiiramisloendi kasutamine Linuxi failisüsteemides [http://www.vanemery.com/Linux/ACL/linux-acl.html [1]]==

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne.

Peamiselt kasutatakse kahte käsku '''getfacl''' ja '''setfacl''' koos võtmetega.

Tavakasutaja saab laiendatud failiõigustesüsteemi ACL kasutada failide puhul, millele ta on omanik. Juurkasutaja saab laiendatud failiõigustesüsteemi ACL kasutada ka siis kui ta ei ole faili omanik.

==Käsu formaat [http://linux.die.net/man/1/getfacl [2]][http://linux.die.net/man/1/setfacl [3]]==

<font size="4">'''getfacl''' [võti] fail ...</font>

<font size="4">'''setfacl''' [võti] { -m|-M|-x|-X ... } fail ...</font>

<h5>Võtmete kirjeldusi</h5>

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
| style="width: 150px;" |'''-h'''
|style="width: 150px;" |'''--help'''
|käsu info

|-
|'''-v'''
|'''--version'''
|versiooni info
|}

getfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-a'''
|'''--access'''
|kuvab pääsupiiramisloendi

|-
|'''-c'''
|'''--omit-header'''
|kuvab pääsupiiramisloendi kommentaarideta (kuvab pääsupiiramisloendi ilma faili, omaniku ning grupi nimeta)

|-
|'''-n'''
|'''--numeric'''
|kuvab pääsupiiramisloendis kasutajate/gruppide numbrilised ID-d

|-
|'''-R'''
|'''--recursive'''
|kuvab ka alamkataloogide ACL kirjed
|}

settfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|muudab kehtivaid ACL õiguste kirjeid failil

|-
|'''-M'''
|'''--modify-file=file'''
|loeb ACL õiguste kirjed failist ning muudab faili õigused vastavalt loetule

|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL õiguste kirjed faililt
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|-
|'''--set'''
|
|määrab ACL õiguste kirjed failile, asendab kehtivad õigused
|}

==Näited [http://www.vanemery.com/Linux/ACL/linux-acl.html [1]] ==

Näited on teostatud tavakasutaja õigustes, failidele, kus kasutaja on omanik. Näidetes on määratud õigused kasutades tähekombinatsioone: rwx; võib kasutada ka numbrilist õiguste määramist.

<h5>Näide 1</h5>

* faili/kausta õiguste kuvamine
<pre size="3">getfacl <faili/kausta_nimi></pre>
* Kuvame kausta nimega test õigused:
<font size="3">getfacl test</font>
* tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>

Esimesed kolm rida väljastavad kausta nime, omaniku ning grupi, järgnevad kolm rida näitavad kasutaja, grupi ja teiste õiguseid. See on minimaalne ACL. Hetkel ei ole kuvatud infot, mida ei saaks mõne põhikäsuga.

*määrame konkreetsele kasutajale õigused

<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused] <faili/kausta_nimi></pre>

* määrame kasutajale jaan õiguse vaadata ja muuta kausta nimega test:

<pre size="3">setfacl -m u:jaan:rw- test</pre>
*tulemus vaadatuna käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
group::rwx
mask::rwx
other::r-x
</pre>
Näeme, et pääsupiiramisloendisse on lisandunud kasutaja jaan õigustega vaadata ja muuta kausta test.

*tulemus vaadatuna käsuga ls -l
<pre size="3">drwxrwxr-x+ 2 mari mari 4096 dets 25 14:55 test</pre>
Näeme, et kausta test õiguste lõpus on märk "+", see näitab, et kasutusel on ACL.

<h5>Näide 2</h5>

* määrame konkreetsele kasutajale ja konkreetsele grupile õigused
<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused],g:[grupi_nimi]:[õigused] <kausta/faili_nimi></pre>
* lisame kasutajale toomas ja grupile tudengid õiguse vaadata ja muuta kausta test
<pre size="3">setfacl -m u:toomas:rw-,g:tudengid:rw- test</pre>
* tulemus vaadatud käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
user:toomas:rw-
group::rwx
group:tudengid:rw-
mask::rwx
other::r-x</pre>
Näeme, et nii kasutaja toomas kui grupp tudengid on lisandunud pääsupiiramisloendisse. Ning nad on saanud õigused r ja w kaustale test.
<h5>Näide 3</h5>
Mida tähendab pääsupiiramisloendis olev '''mask'''?
Maskiga on võimalik piirata ACLiga loodud kasutaja ja grupi õiguseid (omaniku õiguseid mask ei muuda). Mask määrab maksimaalsed õigused.
* Anname kasutajale jaan ja grupile tudengid nii vaatamise, muutmise kui kausta sisenemise õigused, kuid maskile määrame ainult vaatamise õigused
<pre size="3">setfacl -m u:jaan:rwx,g:tudengid:rwx test</pre>
<pre size="3">setfacl -m mask::r-- test</pre>
*tulemus vaadatuna käsuga getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rwx #effective:r--
user:toomas:rw- #effective:r--
group::rwx #effective:r--
group:tudengid:rwx #effective:r--
mask::r--
other::r-x
</pre>
Kuigi kasutaja jaan ja grupp tudengid said õigused: rwx, on maski tõttu neil ainult õigus:r. Samuti muutis mask ära varem toomasele ning omanik-grupile antud kehtivad õigused (''effecitve'').

<h5>Näide 4</h5>
*ACL õiguste eemaldamine
<pre size="3">setfacl -x u:[kasutaja_nimi] <kausta/faili_nimi]</pre>
*eemaldame kasutajatele jaan ja toomas ACL-iga antud õigused
<pre size="3">setfacl -x u:jaan,u:toomas test</pre>
*tulemus vaadatuna getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
group:tudengid:rwx
mask::rwx
other::r-x
</pre>
Näeme, et jaani ja toomast ei ole enam pääsupiiramisloendis, küll aga on alles grupp tudengid
<h5>Näide 5</h5>
ACL õiguste täielik eemaldamine
<pre size="3">setfacl -b <kausta/faili_nimi></pre>
<pre size="3">setfacl -b test</pre>
*tulemus vaadatuna getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
Algne vaade on taastatud
</pre>
<h5>Näide 6</h5>
*määrame kaustale/ failile uued õigused
<pre size="3">setfacl --set u::[õigused],g::[õigused],o::[õigused],u:[kasutaja_nimi]:[õigused] <kausta/faili_nimi></pre>
* määrame kaustale test uued õigused kasutades --set võtit. Antud võtit kasutades tuleb kindlasti määrata ka omaniku, grupi ning teiste õigused.
<pre size="3">setfacl --set u::rwx,g::rw,o::-,u:jaan:r test</pre>
*tulemus vaadatuna getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:r--
group::rw-
mask::rw-
other::---</pre>
<h5>Näide 7</h5>
Kui on vajalik kasutada sarnaseid õiguseid mitmel korral tasub töö lihtsustamiseks luua tekstifail, mis sisaldab ACL õiguste kirjeid.
Nt võib faili sisu olla selline
<pre size="3">user:jaan:rw-
user:toomas:rw-
group:tudengid:r--
mask::rw-
other::---
</pre>
*Failis kirjeldatud õiguste kasutamine
<pre size="3">setfacl -M <fail_kus_on_õiguste_kirjeldus> <fail_millele_määran_õigused></pre>
*määran failis minu_acl kirjeldatud õigused failidele test1, test2, test3

<pre size="3">setfacl -M minu_acl test*</pre>
*tulemus getfacl test1

<pre size="3"># file: test1
# owner: mari
# group: mari
user::rw-
user:jaan:rw-
user:toomas:rw-
group::rw-
group:tudengid:r--
mask::rw-
other::---</pre>
Sama tulemus on ka test2 ja test3 vaates.

==mv ja cp [http://linux.die.net/man/5/acl [4]] ==

*mv käsklus säilitab ACL-iga määratud õigused alati kui see on võimalik, kui võimalus puudub, siis kuvatakse hoiatus
*cp säilitab ACL õigused, kui seda kasutatakse koos võtmega -p, kui õiguste säilitamine ei ole võimalik kuvatakse hoiatus.

==Kokkuvõte==

ACL võimaldab paindlikumalt juurdepääsuõiguseid määrata ning lubab seda teha ka tavakasutajal.
Lihtsustab tööd nt juhul kui tehakse ühist projekti ja projekti faile hoitakse ühe kasutaja kodukaustas. Võimaldab kodukausta omanikul määrata õigused teistele projektis osalevatele kasutajatele ilma juurkasutaja poole pöördumata.

== Kasutatud kirjandus ==

# http://www.vanemery.com/Linux/ACL/linux-acl.html
#http://linux.die.net/man/1/getfacl
#http://linux.die.net/man/1/setfacl
#http://linux.die.net/man/5/acl

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Access Control List

2014-12-25T17:16:54Z

Kroasto: /* Kokkuvõte */

==Autor==

2014/2015 Kadri Roasto AK21

2010 Arvi Alamaa

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Tegemist on laiendatud failiõigussüsteemiga. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) omanikule, grupile ja teistele kasutajatele. ACL võimaldab juurdepääsuõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACL-is määrata õigused nimeliselt kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutaja kui tavakasutaja õigustes. Alljärgneva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.
Näidetes kasutatud ACL versioon on acl 2.2.52 -1.

== Pääsupiiramisloendi kasutamine Linuxi failisüsteemides [http://www.vanemery.com/Linux/ACL/linux-acl.html [1]]==

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne.

Peamiselt kasutatakse kahte käsku '''getfacl''' ja '''setfacl''' koos võtmetega.

Tavakasutaja saab laiendatud failiõigustesüsteemi ACL kasutada failide puhul, millele ta on omanik. Juurkasutaja saab laiendatud failiõigustesüsteemi ACL kasutada ka siis kui ta ei ole faili omanik.

==Käsu formaat [http://linux.die.net/man/1/getfacl [2]][http://linux.die.net/man/1/setfacl [3]]==

<font size="4">'''getfacl''' [võti] fail ...</font>

<font size="4">'''setfacl''' [võti] { -m|-M|-x|-X ... } fail ...</font>

<h5>Võtmete kirjeldusi</h5>

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
| style="width: 150px;" |'''-h'''
|style="width: 150px;" |'''--help'''
|käsu info

|-
|'''-v'''
|'''--version'''
|versiooni info
|}

getfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-a'''
|'''--access'''
|kuvab pääsupiiramisloendi

|-
|'''-c'''
|'''--omit-header'''
|kuvab pääsupiiramisloendi kommentaarideta (kuvab pääsupiiramisloendi ilma faili, omaniku ning grupi nimeta)

|-
|'''-n'''
|'''--numeric'''
|kuvab pääsupiiramisloendis kasutajate/gruppide numbrilised ID-d

|-
|'''-R'''
|'''--recursive'''
|kuvab ka alamkataloogide ACL kirjed
|}

settfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|muudab kehtivaid ACL õiguste kirjeid failil

|-
|'''-M'''
|'''--modify-file=file'''
|loeb ACL õiguste kirjed failist ning muudab faili õigused vastavalt loetule

|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL õiguste kirjed faililt
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|-
|'''--set'''
|
|määrab ACL õiguste kirjed failile, asendab kehtivad õigused
|}

==Näited [http://www.vanemery.com/Linux/ACL/linux-acl.html [1]] ==

Näited on teostatud tavakasutaja õigustes, failidele, kus kasutaja on omanik. Näidetes on määratud õigused kasutades tähekombinatsioone: rwx; võib kasutada ka numbrilist õiguste määramist.

<h5>Näide 1</h5>

* faili/kausta õiguste kuvamine
<pre size="3">getfacl <faili/kausta_nimi></pre>
* Kuvame kausta nimega test õigused:
<font size="3">getfacl test</font>
* tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>

Esimesed kolm rida väljastavad kausta nime, omaniku ning grupi, järgnevad kolm rida näitavad kasutaja, grupi ja teiste õiguseid. See on minimaalne ACL. Hetkel ei ole kuvatud infot, mida ei saaks mõne põhikäsuga.

*määrame konkreetsele kasutajale õigused

<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused] <faili/kausta_nimi></pre>

* määrame kasutajale jaan õiguse vaadata ja muuta kausta nimega test:

<pre size="3">setfacl -m u:jaan:rw- test</pre>
*tulemus vaadatuna käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
group::rwx
mask::rwx
other::r-x
</pre>
Näeme, et pääsupiiramisloendisse on lisandunud kasutaja jaan õigustega vaadata ja muuta kausta test.

*tulemus vaadatuna käsuga ls -l
<pre size="3">drwxrwxr-x+ 2 mari mari 4096 dets 25 14:55 test</pre>
Näeme, et kausta test õiguste lõpus on märk "+", see näitab, et kasutusel on ACL.

<h5>Näide 2</h5>

* määrame konkreetsele kasutajale ja konkreetsele grupile õigused
<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused],g:[grupi_nimi]:[õigused] <kausta/faili_nimi></pre>
* lisame kasutajale toomas ja grupile tudengid õiguse vaadata ja muuta kausta test
<pre size="3">setfacl -m u:toomas:rw-,g:tudengid:rw- test</pre>
* tulemus vaadatud käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
user:toomas:rw-
group::rwx
group:tudengid:rw-
mask::rwx
other::r-x</pre>
Näeme, et nii kasutaja toomas kui grupp tudengid on lisandunud pääsupiiramisloendisse. Ning nad on saanud õigused r ja w kaustale test.
<h5>Näide 3</h5>
Mida tähendab pääsupiiramisloendis olev '''mask'''?
Maskiga on võimalik piirata ACLiga loodud kasutaja ja grupi õiguseid (omaniku õiguseid mask ei muuda). Mask määrab maksimaalsed õigused.
* Anname kasutajale jaan ja grupile tudengid nii vaatamise, muutmise kui kausta sisenemise õigused, kuid maskile määrame ainult vaatamise õigused
<pre size="3">setfacl -m u:jaan:rwx,g:tudengid:rwx test</pre>
<pre size="3">setfacl -m mask::r-- test</pre>
*tulemus vaadatuna käsuga getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rwx #effective:r--
user:toomas:rw- #effective:r--
group::rwx #effective:r--
group:tudengid:rwx #effective:r--
mask::r--
other::r-x
</pre>
Kuigi kasutaja jaan ja grupp tudengid said õigused: rwx, on maski tõttu neil ainult õigus:r. Samuti muutis mask ära varem toomasele ning omanik-grupile antud kehtivad õigused (''effecitve'').

<h5>Näide 4</h5>
*ACL õiguste eemaldamine
<pre size="3">setfacl -x u:[kasutaja_nimi] <kausta/faili_nimi]</pre>
*eemaldame kasutajatele jaan ja toomas ACL-iga antud õigused
<pre size="3">setfacl -x u:jaan,u:toomas test</pre>
*tulemus vaadatuna getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
group:tudengid:rwx
mask::rwx
other::r-x
</pre>
Näeme, et jaani ja toomast ei ole enam pääsupiiramisloendis, küll aga on alles grupp tudengid
<h5>Näide 5</h5>
ACL õiguste täielik eemaldamine
<pre size="3">setfacl -b <kausta/faili_nimi></pre>
<pre size="3">setfacl -b test</pre>
*tulemus vaadatuna getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
Algne vaade on taastatud
</pre>
<h5>Näide 6</h5>
*määrame kaustale/ failile uued õigused
<pre size="3">setfacl --set u::[õigused],g::[õigused],o::[õigused],u:[kasutaja_nimi]:[õigused] <kausta/faili_nimi></pre>
* määrame kaustale test uued õigused kasutades --set võtit. Antud võtit kasutades tuleb kindlasti määrata ka omaniku, grupi ning teiste õigused.
<pre size="3">setfacl --set u::rwx,g::rw,o::-,u:jaan:r test</pre>
*tulemus vaadatuna getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:r--
group::rw-
mask::rw-
other::---</pre>
<h5>Näide 7</h5>
Kui on vajalik kasutada sarnaseid õiguseid mitmel korral tasub töö lihtsustamiseks luua tekstifail, mis sisaldab ACL õiguste kirjeid.
Nt võib faili sisu olla selline
<pre size="3">user:jaan:rw-
user:toomas:rw-
group:tudengid:r--
mask::rw-
other::---
</pre>
*Failis kirjeldatud õiguste kasutamine
<pre size="3">setfacl -M <fail_kus_on_õiguste_kirjeldus> <fail_millele_määran_õigused></pre>
*määran failis minu_acl kirjeldatud õigused failidele test1, test2, test3

<pre size="3">setfacl -M minu_acl test*</pre>
*tulemus getfacl test1

<pre size="3"># file: test1
# owner: mari
# group: mari
user::rw-
user:jaan:rw-
user:toomas:rw-
group::rw-
group:tudengid:r--
mask::rw-
other::---</pre>
Sama tulemus on ka test2 ja test3 vaates.

==mv ja cp [http://linux.die.net/man/5/acl [4]] ==

*mv käsklus säilitab ACL-iga määratud õigused alati kui see on võimalik, kui võimalus puudub, siis kuvatakse hoiatus
*cp säilitab ACL õigused, kui seda kasutatakse koos võtmega -p, kui õiguste säilitamine ei ole võimalik kuvatakse hoiatus.

==Kokkuvõte==

ACL võimaldab paindlikumalt juurdepääsuõiguseid määrata ning lubab seda teha ka tavakasutajal.
Lihtsustab tööd nt juhul kui tehakse ühist projekti ja projekti faile hoitakse ühe kasutaja kodukaustas. Võimaldab kodukausta omanikul määrata õigused teistele projektis osalevatele kasutajatele ilma juurkasutaja poole pöördumata.

== Kasutatud kirjandus ==

# http://www.vanemery.com/Linux/ACL/linux-acl.html
#http://linux.die.net/man/1/getfacl
#http://linux.die.net/man/1/setfacl
#http://linux.die.net/man/5/acl

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Access Control List

2014-12-25T17:12:53Z

Kroasto: /* mv ja cp */

==Autor==

2014/2015 Kadri Roasto AK21

2010 Arvi Alamaa

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Tegemist on laiendatud failiõigussüsteemiga. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) omanikule, grupile ja teistele kasutajatele. ACL võimaldab juurdepääsuõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACL-is määrata õigused nimeliselt kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutaja kui tavakasutaja õigustes. Alljärgneva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.
Näidetes kasutatud ACL versioon on acl 2.2.52 -1.

== Pääsupiiramisloendi kasutamine Linuxi failisüsteemides [http://www.vanemery.com/Linux/ACL/linux-acl.html [1]]==

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne.

Peamiselt kasutatakse kahte käsku '''getfacl''' ja '''setfacl''' koos võtmetega.

Tavakasutaja saab laiendatud failiõigustesüsteemi ACL kasutada failide puhul, millele ta on omanik. Juurkasutaja saab laiendatud failiõigustesüsteemi ACL kasutada ka siis kui ta ei ole faili omanik.

==Käsu formaat [http://linux.die.net/man/1/getfacl [2]][http://linux.die.net/man/1/setfacl [3]]==

<font size="4">'''getfacl''' [võti] fail ...</font>

<font size="4">'''setfacl''' [võti] { -m|-M|-x|-X ... } fail ...</font>

<h5>Võtmete kirjeldusi</h5>

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
| style="width: 150px;" |'''-h'''
|style="width: 150px;" |'''--help'''
|käsu info

|-
|'''-v'''
|'''--version'''
|versiooni info
|}

getfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-a'''
|'''--access'''
|kuvab pääsupiiramisloendi

|-
|'''-c'''
|'''--omit-header'''
|kuvab pääsupiiramisloendi kommentaarideta (kuvab pääsupiiramisloendi ilma faili, omaniku ning grupi nimeta)

|-
|'''-n'''
|'''--numeric'''
|kuvab pääsupiiramisloendis kasutajate/gruppide numbrilised ID-d

|-
|'''-R'''
|'''--recursive'''
|kuvab ka alamkataloogide ACL kirjed
|}

settfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|muudab kehtivaid ACL õiguste kirjeid failil

|-
|'''-M'''
|'''--modify-file=file'''
|loeb ACL õiguste kirjed failist ning muudab faili õigused vastavalt loetule

|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL õiguste kirjed faililt
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|-
|'''--set'''
|
|määrab ACL õiguste kirjed failile, asendab kehtivad õigused
|}

==Näited [http://www.vanemery.com/Linux/ACL/linux-acl.html [1]] ==

Näited on teostatud tavakasutaja õigustes, failidele, kus kasutaja on omanik. Näidetes on määratud õigused kasutades tähekombinatsioone: rwx; võib kasutada ka numbrilist õiguste määramist.

<h5>Näide 1</h5>

* faili/kausta õiguste kuvamine
<pre size="3">getfacl <faili/kausta_nimi></pre>
* Kuvame kausta nimega test õigused:
<font size="3">getfacl test</font>
* tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>

Esimesed kolm rida väljastavad kausta nime, omaniku ning grupi, järgnevad kolm rida näitavad kasutaja, grupi ja teiste õiguseid. See on minimaalne ACL. Hetkel ei ole kuvatud infot, mida ei saaks mõne põhikäsuga.

*määrame konkreetsele kasutajale õigused

<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused] <faili/kausta_nimi></pre>

* määrame kasutajale jaan õiguse vaadata ja muuta kausta nimega test:

<pre size="3">setfacl -m u:jaan:rw- test</pre>
*tulemus vaadatuna käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
group::rwx
mask::rwx
other::r-x
</pre>
Näeme, et pääsupiiramisloendisse on lisandunud kasutaja jaan õigustega vaadata ja muuta kausta test.

*tulemus vaadatuna käsuga ls -l
<pre size="3">drwxrwxr-x+ 2 mari mari 4096 dets 25 14:55 test</pre>
Näeme, et kausta test õiguste lõpus on märk "+", see näitab, et kasutusel on ACL.

<h5>Näide 2</h5>

* määrame konkreetsele kasutajale ja konkreetsele grupile õigused
<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused],g:[grupi_nimi]:[õigused] <kausta/faili_nimi></pre>
* lisame kasutajale toomas ja grupile tudengid õiguse vaadata ja muuta kausta test
<pre size="3">setfacl -m u:toomas:rw-,g:tudengid:rw- test</pre>
* tulemus vaadatud käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
user:toomas:rw-
group::rwx
group:tudengid:rw-
mask::rwx
other::r-x</pre>
Näeme, et nii kasutaja toomas kui grupp tudengid on lisandunud pääsupiiramisloendisse. Ning nad on saanud õigused r ja w kaustale test.
<h5>Näide 3</h5>
Mida tähendab pääsupiiramisloendis olev '''mask'''?
Maskiga on võimalik piirata ACLiga loodud kasutaja ja grupi õiguseid (omaniku õiguseid mask ei muuda). Mask määrab maksimaalsed õigused.
* Anname kasutajale jaan ja grupile tudengid nii vaatamise, muutmise kui kausta sisenemise õigused, kuid maskile määrame ainult vaatamise õigused
<pre size="3">setfacl -m u:jaan:rwx,g:tudengid:rwx test</pre>
<pre size="3">setfacl -m mask::r-- test</pre>
*tulemus vaadatuna käsuga getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rwx #effective:r--
user:toomas:rw- #effective:r--
group::rwx #effective:r--
group:tudengid:rwx #effective:r--
mask::r--
other::r-x
</pre>
Kuigi kasutaja jaan ja grupp tudengid said õigused: rwx, on maski tõttu neil ainult õigus:r. Samuti muutis mask ära varem toomasele ning omanik-grupile antud kehtivad õigused (''effecitve'').

<h5>Näide 4</h5>
*ACL õiguste eemaldamine
<pre size="3">setfacl -x u:[kasutaja_nimi] <kausta/faili_nimi]</pre>
*eemaldame kasutajatele jaan ja toomas ACL-iga antud õigused
<pre size="3">setfacl -x u:jaan,u:toomas test</pre>
*tulemus vaadatuna getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
group:tudengid:rwx
mask::rwx
other::r-x
</pre>
Näeme, et jaani ja toomast ei ole enam pääsupiiramisloendis, küll aga on alles grupp tudengid
<h5>Näide 5</h5>
ACL õiguste täielik eemaldamine
<pre size="3">setfacl -b <kausta/faili_nimi></pre>
<pre size="3">setfacl -b test</pre>
*tulemus vaadatuna getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
Algne vaade on taastatud
</pre>
<h5>Näide 6</h5>
*määrame kaustale/ failile uued õigused
<pre size="3">setfacl --set u::[õigused],g::[õigused],o::[õigused],u:[kasutaja_nimi]:[õigused] <kausta/faili_nimi></pre>
* määrame kaustale test uued õigused kasutades --set võtit. Antud võtit kasutades tuleb kindlasti määrata ka omaniku, grupi ning teiste õigused.
<pre size="3">setfacl --set u::rwx,g::rw,o::-,u:jaan:r test</pre>
*tulemus vaadatuna getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:r--
group::rw-
mask::rw-
other::---</pre>
<h5>Näide 7</h5>
Kui on vajalik kasutada sarnaseid õiguseid mitmel korral tasub töö lihtsustamiseks luua tekstifail, mis sisaldab ACL õiguste kirjeid.
Nt võib faili sisu olla selline
<pre size="3">user:jaan:rw-
user:toomas:rw-
group:tudengid:r--
mask::rw-
other::---
</pre>
*Failis kirjeldatud õiguste kasutamine
<pre size="3">setfacl -M <fail_kus_on_õiguste_kirjeldus> <fail_millele_määran_õigused></pre>
*määran failis minu_acl kirjeldatud õigused failidele test1, test2, test3

<pre size="3">setfacl -M minu_acl test*</pre>
*tulemus getfacl test1

<pre size="3"># file: test1
# owner: mari
# group: mari
user::rw-
user:jaan:rw-
user:toomas:rw-
group::rw-
group:tudengid:r--
mask::rw-
other::---</pre>
Sama tulemus on ka test2 ja test3 vaates.

==mv ja cp [http://linux.die.net/man/5/acl [4]] ==

*mv käsklus säilitab ACL-iga määratud õigused alati kui see on võimalik, kui võimalus puudub, siis kuvatakse hoiatus
*cp säilitab ACL õigused, kui seda kasutatakse koos võtmega -p, kui õiguste säilitamine ei ole võimalik kuvatakse hoiatus.

==Kokkuvõte==

ACL võimaldab paindlikumalt juurdepääsuõiguseid määrata ning lubab seda teha ka tavakasutajal.

== Kasutatud kirjandus ==

# http://www.vanemery.com/Linux/ACL/linux-acl.html
#http://linux.die.net/man/1/getfacl
#http://linux.die.net/man/1/setfacl
#http://linux.die.net/man/5/acl

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Access Control List

2014-12-25T17:08:44Z

Kroasto: /* Näited [www.vanemery.com/Linux/ACL/linux-acl.html [1]] */

==Autor==

2014/2015 Kadri Roasto AK21

2010 Arvi Alamaa

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Tegemist on laiendatud failiõigussüsteemiga. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) omanikule, grupile ja teistele kasutajatele. ACL võimaldab juurdepääsuõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACL-is määrata õigused nimeliselt kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutaja kui tavakasutaja õigustes. Alljärgneva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.
Näidetes kasutatud ACL versioon on acl 2.2.52 -1.

== Pääsupiiramisloendi kasutamine Linuxi failisüsteemides [http://www.vanemery.com/Linux/ACL/linux-acl.html [1]]==

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne.

Peamiselt kasutatakse kahte käsku '''getfacl''' ja '''setfacl''' koos võtmetega.

Tavakasutaja saab laiendatud failiõigustesüsteemi ACL kasutada failide puhul, millele ta on omanik. Juurkasutaja saab laiendatud failiõigustesüsteemi ACL kasutada ka siis kui ta ei ole faili omanik.

==Käsu formaat [http://linux.die.net/man/1/getfacl [2]][http://linux.die.net/man/1/setfacl [3]]==

<font size="4">'''getfacl''' [võti] fail ...</font>

<font size="4">'''setfacl''' [võti] { -m|-M|-x|-X ... } fail ...</font>

<h5>Võtmete kirjeldusi</h5>

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
| style="width: 150px;" |'''-h'''
|style="width: 150px;" |'''--help'''
|käsu info

|-
|'''-v'''
|'''--version'''
|versiooni info
|}

getfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-a'''
|'''--access'''
|kuvab pääsupiiramisloendi

|-
|'''-c'''
|'''--omit-header'''
|kuvab pääsupiiramisloendi kommentaarideta (kuvab pääsupiiramisloendi ilma faili, omaniku ning grupi nimeta)

|-
|'''-n'''
|'''--numeric'''
|kuvab pääsupiiramisloendis kasutajate/gruppide numbrilised ID-d

|-
|'''-R'''
|'''--recursive'''
|kuvab ka alamkataloogide ACL kirjed
|}

settfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|muudab kehtivaid ACL õiguste kirjeid failil

|-
|'''-M'''
|'''--modify-file=file'''
|loeb ACL õiguste kirjed failist ning muudab faili õigused vastavalt loetule

|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL õiguste kirjed faililt
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|-
|'''--set'''
|
|määrab ACL õiguste kirjed failile, asendab kehtivad õigused
|}

==Näited [http://www.vanemery.com/Linux/ACL/linux-acl.html [1]] ==

Näited on teostatud tavakasutaja õigustes, failidele, kus kasutaja on omanik. Näidetes on määratud õigused kasutades tähekombinatsioone: rwx; võib kasutada ka numbrilist õiguste määramist.

<h5>Näide 1</h5>

* faili/kausta õiguste kuvamine
<pre size="3">getfacl <faili/kausta_nimi></pre>
* Kuvame kausta nimega test õigused:
<font size="3">getfacl test</font>
* tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>

Esimesed kolm rida väljastavad kausta nime, omaniku ning grupi, järgnevad kolm rida näitavad kasutaja, grupi ja teiste õiguseid. See on minimaalne ACL. Hetkel ei ole kuvatud infot, mida ei saaks mõne põhikäsuga.

*määrame konkreetsele kasutajale õigused

<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused] <faili/kausta_nimi></pre>

* määrame kasutajale jaan õiguse vaadata ja muuta kausta nimega test:

<pre size="3">setfacl -m u:jaan:rw- test</pre>
*tulemus vaadatuna käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
group::rwx
mask::rwx
other::r-x
</pre>
Näeme, et pääsupiiramisloendisse on lisandunud kasutaja jaan õigustega vaadata ja muuta kausta test.

*tulemus vaadatuna käsuga ls -l
<pre size="3">drwxrwxr-x+ 2 mari mari 4096 dets 25 14:55 test</pre>
Näeme, et kausta test õiguste lõpus on märk "+", see näitab, et kasutusel on ACL.

<h5>Näide 2</h5>

* määrame konkreetsele kasutajale ja konkreetsele grupile õigused
<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused],g:[grupi_nimi]:[õigused] <kausta/faili_nimi></pre>
* lisame kasutajale toomas ja grupile tudengid õiguse vaadata ja muuta kausta test
<pre size="3">setfacl -m u:toomas:rw-,g:tudengid:rw- test</pre>
* tulemus vaadatud käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
user:toomas:rw-
group::rwx
group:tudengid:rw-
mask::rwx
other::r-x</pre>
Näeme, et nii kasutaja toomas kui grupp tudengid on lisandunud pääsupiiramisloendisse. Ning nad on saanud õigused r ja w kaustale test.
<h5>Näide 3</h5>
Mida tähendab pääsupiiramisloendis olev '''mask'''?
Maskiga on võimalik piirata ACLiga loodud kasutaja ja grupi õiguseid (omaniku õiguseid mask ei muuda). Mask määrab maksimaalsed õigused.
* Anname kasutajale jaan ja grupile tudengid nii vaatamise, muutmise kui kausta sisenemise õigused, kuid maskile määrame ainult vaatamise õigused
<pre size="3">setfacl -m u:jaan:rwx,g:tudengid:rwx test</pre>
<pre size="3">setfacl -m mask::r-- test</pre>
*tulemus vaadatuna käsuga getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rwx #effective:r--
user:toomas:rw- #effective:r--
group::rwx #effective:r--
group:tudengid:rwx #effective:r--
mask::r--
other::r-x
</pre>
Kuigi kasutaja jaan ja grupp tudengid said õigused: rwx, on maski tõttu neil ainult õigus:r. Samuti muutis mask ära varem toomasele ning omanik-grupile antud kehtivad õigused (''effecitve'').

<h5>Näide 4</h5>
*ACL õiguste eemaldamine
<pre size="3">setfacl -x u:[kasutaja_nimi] <kausta/faili_nimi]</pre>
*eemaldame kasutajatele jaan ja toomas ACL-iga antud õigused
<pre size="3">setfacl -x u:jaan,u:toomas test</pre>
*tulemus vaadatuna getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
group:tudengid:rwx
mask::rwx
other::r-x
</pre>
Näeme, et jaani ja toomast ei ole enam pääsupiiramisloendis, küll aga on alles grupp tudengid
<h5>Näide 5</h5>
ACL õiguste täielik eemaldamine
<pre size="3">setfacl -b <kausta/faili_nimi></pre>
<pre size="3">setfacl -b test</pre>
*tulemus vaadatuna getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
Algne vaade on taastatud
</pre>
<h5>Näide 6</h5>
*määrame kaustale/ failile uued õigused
<pre size="3">setfacl --set u::[õigused],g::[õigused],o::[õigused],u:[kasutaja_nimi]:[õigused] <kausta/faili_nimi></pre>
* määrame kaustale test uued õigused kasutades --set võtit. Antud võtit kasutades tuleb kindlasti määrata ka omaniku, grupi ning teiste õigused.
<pre size="3">setfacl --set u::rwx,g::rw,o::-,u:jaan:r test</pre>
*tulemus vaadatuna getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:r--
group::rw-
mask::rw-
other::---</pre>
<h5>Näide 7</h5>
Kui on vajalik kasutada sarnaseid õiguseid mitmel korral tasub töö lihtsustamiseks luua tekstifail, mis sisaldab ACL õiguste kirjeid.
Nt võib faili sisu olla selline
<pre size="3">user:jaan:rw-
user:toomas:rw-
group:tudengid:r--
mask::rw-
other::---
</pre>
*Failis kirjeldatud õiguste kasutamine
<pre size="3">setfacl -M <fail_kus_on_õiguste_kirjeldus> <fail_millele_määran_õigused></pre>
*määran failis minu_acl kirjeldatud õigused failidele test1, test2, test3

<pre size="3">setfacl -M minu_acl test*</pre>
*tulemus getfacl test1

<pre size="3"># file: test1
# owner: mari
# group: mari
user::rw-
user:jaan:rw-
user:toomas:rw-
group::rw-
group:tudengid:r--
mask::rw-
other::---</pre>
Sama tulemus on ka test2 ja test3 vaates.

==mv ja cp==

*mv käsklus säilitab ACLiga määratud õigused alati kui see on võimalik, kui võimalus puudub, siis kuvatakse hoiatus
*cp säilitab ACL õigused, kui seda kasutatakse koos võtmega -p või -a

==Kokkuvõte==

ACL võimaldab paindlikumalt juurdepääsuõiguseid määrata ning lubab seda teha ka tavakasutajal.

== Kasutatud kirjandus ==

# http://www.vanemery.com/Linux/ACL/linux-acl.html
#http://linux.die.net/man/1/getfacl
#http://linux.die.net/man/1/setfacl
#http://linux.die.net/man/5/acl

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Access Control List

2014-12-25T17:08:05Z

Kroasto: /* Näited [www.vanemery.com/Linux/ACL/linux-acl.html] [1] */

==Autor==

2014/2015 Kadri Roasto AK21

2010 Arvi Alamaa

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Tegemist on laiendatud failiõigussüsteemiga. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) omanikule, grupile ja teistele kasutajatele. ACL võimaldab juurdepääsuõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACL-is määrata õigused nimeliselt kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutaja kui tavakasutaja õigustes. Alljärgneva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.
Näidetes kasutatud ACL versioon on acl 2.2.52 -1.

== Pääsupiiramisloendi kasutamine Linuxi failisüsteemides [http://www.vanemery.com/Linux/ACL/linux-acl.html [1]]==

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne.

Peamiselt kasutatakse kahte käsku '''getfacl''' ja '''setfacl''' koos võtmetega.

Tavakasutaja saab laiendatud failiõigustesüsteemi ACL kasutada failide puhul, millele ta on omanik. Juurkasutaja saab laiendatud failiõigustesüsteemi ACL kasutada ka siis kui ta ei ole faili omanik.

==Käsu formaat [http://linux.die.net/man/1/getfacl [2]][http://linux.die.net/man/1/setfacl [3]]==

<font size="4">'''getfacl''' [võti] fail ...</font>

<font size="4">'''setfacl''' [võti] { -m|-M|-x|-X ... } fail ...</font>

<h5>Võtmete kirjeldusi</h5>

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
| style="width: 150px;" |'''-h'''
|style="width: 150px;" |'''--help'''
|käsu info

|-
|'''-v'''
|'''--version'''
|versiooni info
|}

getfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-a'''
|'''--access'''
|kuvab pääsupiiramisloendi

|-
|'''-c'''
|'''--omit-header'''
|kuvab pääsupiiramisloendi kommentaarideta (kuvab pääsupiiramisloendi ilma faili, omaniku ning grupi nimeta)

|-
|'''-n'''
|'''--numeric'''
|kuvab pääsupiiramisloendis kasutajate/gruppide numbrilised ID-d

|-
|'''-R'''
|'''--recursive'''
|kuvab ka alamkataloogide ACL kirjed
|}

settfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|muudab kehtivaid ACL õiguste kirjeid failil

|-
|'''-M'''
|'''--modify-file=file'''
|loeb ACL õiguste kirjed failist ning muudab faili õigused vastavalt loetule

|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL õiguste kirjed faililt
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|-
|'''--set'''
|
|määrab ACL õiguste kirjed failile, asendab kehtivad õigused
|}

==Näited [www.vanemery.com/Linux/ACL/linux-acl.html [1]] ==

Näited on teostatud tavakasutaja õigustes, failidele, kus kasutaja on omanik. Näidetes on määratud õigused kasutades tähekombinatsioone: rwx; võib kasutada ka numbrilist õiguste määramist.

<h5>Näide 1</h5>

* faili/kausta õiguste kuvamine
<pre size="3">getfacl <faili/kausta_nimi></pre>
* Kuvame kausta nimega test õigused:
<font size="3">getfacl test</font>
* tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>

Esimesed kolm rida väljastavad kausta nime, omaniku ning grupi, järgnevad kolm rida näitavad kasutaja, grupi ja teiste õiguseid. See on minimaalne ACL. Hetkel ei ole kuvatud infot, mida ei saaks mõne põhikäsuga.

*määrame konkreetsele kasutajale õigused

<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused] <faili/kausta_nimi></pre>

* määrame kasutajale jaan õiguse vaadata ja muuta kausta nimega test:

<pre size="3">setfacl -m u:jaan:rw- test</pre>
*tulemus vaadatuna käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
group::rwx
mask::rwx
other::r-x
</pre>
Näeme, et pääsupiiramisloendisse on lisandunud kasutaja jaan õigustega vaadata ja muuta kausta test.

*tulemus vaadatuna käsuga ls -l
<pre size="3">drwxrwxr-x+ 2 mari mari 4096 dets 25 14:55 test</pre>
Näeme, et kausta test õiguste lõpus on märk "+", see näitab, et kasutusel on ACL.

<h5>Näide 2</h5>

* määrame konkreetsele kasutajale ja konkreetsele grupile õigused
<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused],g:[grupi_nimi]:[õigused] <kausta/faili_nimi></pre>
* lisame kasutajale toomas ja grupile tudengid õiguse vaadata ja muuta kausta test
<pre size="3">setfacl -m u:toomas:rw-,g:tudengid:rw- test</pre>
* tulemus vaadatud käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
user:toomas:rw-
group::rwx
group:tudengid:rw-
mask::rwx
other::r-x</pre>
Näeme, et nii kasutaja toomas kui grupp tudengid on lisandunud pääsupiiramisloendisse. Ning nad on saanud õigused r ja w kaustale test.
<h5>Näide 3</h5>
Mida tähendab pääsupiiramisloendis olev '''mask'''?
Maskiga on võimalik piirata ACLiga loodud kasutaja ja grupi õiguseid (omaniku õiguseid mask ei muuda). Mask määrab maksimaalsed õigused.
* Anname kasutajale jaan ja grupile tudengid nii vaatamise, muutmise kui kausta sisenemise õigused, kuid maskile määrame ainult vaatamise õigused
<pre size="3">setfacl -m u:jaan:rwx,g:tudengid:rwx test</pre>
<pre size="3">setfacl -m mask::r-- test</pre>
*tulemus vaadatuna käsuga getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rwx #effective:r--
user:toomas:rw- #effective:r--
group::rwx #effective:r--
group:tudengid:rwx #effective:r--
mask::r--
other::r-x
</pre>
Kuigi kasutaja jaan ja grupp tudengid said õigused: rwx, on maski tõttu neil ainult õigus:r. Samuti muutis mask ära varem toomasele ning omanik-grupile antud kehtivad õigused (''effecitve'').

<h5>Näide 4</h5>
*ACL õiguste eemaldamine
<pre size="3">setfacl -x u:[kasutaja_nimi] <kausta/faili_nimi]</pre>
*eemaldame kasutajatele jaan ja toomas ACL-iga antud õigused
<pre size="3">setfacl -x u:jaan,u:toomas test</pre>
*tulemus vaadatuna getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
group:tudengid:rwx
mask::rwx
other::r-x
</pre>
Näeme, et jaani ja toomast ei ole enam pääsupiiramisloendis, küll aga on alles grupp tudengid
<h5>Näide 5</h5>
ACL õiguste täielik eemaldamine
<pre size="3">setfacl -b <kausta/faili_nimi></pre>
<pre size="3">setfacl -b test</pre>
*tulemus vaadatuna getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
Algne vaade on taastatud
</pre>
<h5>Näide 6</h5>
*määrame kaustale/ failile uued õigused
<pre size="3">setfacl --set u::[õigused],g::[õigused],o::[õigused],u:[kasutaja_nimi]:[õigused] <kausta/faili_nimi></pre>
* määrame kaustale test uued õigused kasutades --set võtit. Antud võtit kasutades tuleb kindlasti määrata ka omaniku, grupi ning teiste õigused.
<pre size="3">setfacl --set u::rwx,g::rw,o::-,u:jaan:r test</pre>
*tulemus vaadatuna getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:r--
group::rw-
mask::rw-
other::---</pre>
<h5>Näide 7</h5>
Kui on vajalik kasutada sarnaseid õiguseid mitmel korral tasub töö lihtsustamiseks luua tekstifail, mis sisaldab ACL õiguste kirjeid.
Nt võib faili sisu olla selline
<pre size="3">user:jaan:rw-
user:toomas:rw-
group:tudengid:r--
mask::rw-
other::---
</pre>
*Failis kirjeldatud õiguste kasutamine
<pre size="3">setfacl -M <fail_kus_on_õiguste_kirjeldus> <fail_millele_määran_õigused></pre>
*määran failis minu_acl kirjeldatud õigused failidele test1, test2, test3

<pre size="3">setfacl -M minu_acl test*</pre>
*tulemus getfacl test1

<pre size="3"># file: test1
# owner: mari
# group: mari
user::rw-
user:jaan:rw-
user:toomas:rw-
group::rw-
group:tudengid:r--
mask::rw-
other::---</pre>
Sama tulemus on ka test2 ja test3 vaates.

==mv ja cp==

*mv käsklus säilitab ACLiga määratud õigused alati kui see on võimalik, kui võimalus puudub, siis kuvatakse hoiatus
*cp säilitab ACL õigused, kui seda kasutatakse koos võtmega -p või -a

==Kokkuvõte==

ACL võimaldab paindlikumalt juurdepääsuõiguseid määrata ning lubab seda teha ka tavakasutajal.

== Kasutatud kirjandus ==

# http://www.vanemery.com/Linux/ACL/linux-acl.html
#http://linux.die.net/man/1/getfacl
#http://linux.die.net/man/1/setfacl
#http://linux.die.net/man/5/acl

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Access Control List

2014-12-25T16:48:05Z

Kroasto: /* Pääsupiiramisloendi kasutamine Linuxi failisüsteemides [http://www.vanemery.com/Linux/ACL/linux-acl.html [1]] */

==Autor==

2014/2015 Kadri Roasto AK21

2010 Arvi Alamaa

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Tegemist on laiendatud failiõigussüsteemiga. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) omanikule, grupile ja teistele kasutajatele. ACL võimaldab juurdepääsuõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACL-is määrata õigused nimeliselt kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutaja kui tavakasutaja õigustes. Alljärgneva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.
Näidetes kasutatud ACL versioon on acl 2.2.52 -1.

== Pääsupiiramisloendi kasutamine Linuxi failisüsteemides [http://www.vanemery.com/Linux/ACL/linux-acl.html [1]]==

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne.

Peamiselt kasutatakse kahte käsku '''getfacl''' ja '''setfacl''' koos võtmetega.

Tavakasutaja saab laiendatud failiõigustesüsteemi ACL kasutada failide puhul, millele ta on omanik. Juurkasutaja saab laiendatud failiõigustesüsteemi ACL kasutada ka siis kui ta ei ole faili omanik.

==Käsu formaat [http://linux.die.net/man/1/getfacl [2]][http://linux.die.net/man/1/setfacl [3]]==

<font size="4">'''getfacl''' [võti] fail ...</font>

<font size="4">'''setfacl''' [võti] { -m|-M|-x|-X ... } fail ...</font>

<h5>Võtmete kirjeldusi</h5>

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
| style="width: 150px;" |'''-h'''
|style="width: 150px;" |'''--help'''
|käsu info

|-
|'''-v'''
|'''--version'''
|versiooni info
|}

getfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-a'''
|'''--access'''
|kuvab pääsupiiramisloendi

|-
|'''-c'''
|'''--omit-header'''
|kuvab pääsupiiramisloendi kommentaarideta (kuvab pääsupiiramisloendi ilma faili, omaniku ning grupi nimeta)

|-
|'''-n'''
|'''--numeric'''
|kuvab pääsupiiramisloendis kasutajate/gruppide numbrilised ID-d

|-
|'''-R'''
|'''--recursive'''
|kuvab ka alamkataloogide ACL kirjed
|}

settfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|muudab kehtivaid ACL õiguste kirjeid failil

|-
|'''-M'''
|'''--modify-file=file'''
|loeb ACL õiguste kirjed failist ning muudab faili õigused vastavalt loetule

|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL õiguste kirjed faililt
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|-
|'''--set'''
|
|määrab ACL õiguste kirjed failile, asendab kehtivad õigused
|}

==Näited [www.vanemery.com/Linux/ACL/linux-acl.html] [1]==

Näited on teostatud tavakasutaja õigustes. Näidetes on määratud õigused kasutades tähekombinatsioone: rwx; võib kasutada ka numbrilist õiguste määramist.

<h5>Näide 1</h5>

* faili/kausta õiguste kuvamine
<pre size="3">getfacl <faili/kausta_nimi></pre>
* Kuvame kausta nimega test õigused:
<font size="3">getfacl test</font>
* tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>

Esimesed kolm rida väljastavad kausta nime, omaniku ning grupi, järgenvad kolm rida näitavad kasutaja, grupi ja teiste õiguseid. See on minimaalne ACL. Hetkel ei ole kuvatud infot, mida ei saaks mõne põhikäsuga.

* lisame kasutajale jaan õiguse vaadata ja muuta kausta test:

<pre size="3">setfacl -m u:jaan:rw- test</pre>
*tulemus vaadatuna käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
group::rwx
mask::rwx
other::r-x
</pre>
Näeme, et pääsupiiramisloendisse on lisandunud kasutaja jaan õigustega vaadata ja muuta kausta test.

*tulemus vaadatuna käsuga ls -l
<pre size="3">drwxrwxr-x+ 2 mari mari 4096 dets 25 14:55 test</pre>
Näeme, et kausta test õiguste lõpus on märk "+", see näitab, et kasutusel on ACL.

<h5>Näide 2</h5>

* lisa kasutajale ja lisa grupile õiguste andmine
<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused],g:[grupi_nimi]:[õigused] [kausta/faili nimi]</pre>
* lisame kasutajale toomas ja grupile tudengid õiguse vaadata ja muuta kausta test
<pre size="3">setfacl -m u:toomas:rw-,g:tudengid:rw- test</pre>
* tulemus vaadatud käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
user:toomas:rw-
group::rwx
group:tudengid:rw-
mask::rwx
other::r-x</pre>
Näeme, et nii kasutaja toomas kui grupp tudengid on lisandunud pääsupiiramisloendisse. Ning nad on saanud õigused r ja w kaustale test.
<h5>Näide 3</h5>
Mida tähendab pääsupiiramisloendis olev '''mask'''?
Maskiga on võimalik piirata ACLiga loodud kasutaja ja grupi õiguseid (omaniku õiguseid mask ei muuda). Mask määrab maksimaalsed õigused.
* Anname kasutajale jaan ja grupile tudengid nii vaatamise, muutmise kui käivitamsie õigused, kuid maskile määrame ainult vaatamise õigused
<pre size="3">setfacl -m u:jaan:rwx,g:marjuline:rwx test</pre>
<pre size="3">setfacl -m mask::r-- test</pre>
*tulemus vaadatuna käsuga getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rwx #effective:r--
user:toomas:rw- #effective:r--
group::rwx #effective:r--
group:tudengid:rwx #effective:r--
mask::r--
other::r-x
</pre>
Kuigi jaan sai õigused: rwx, on maski tõttu tal ainult õigus:r.
''effective'' näitab kehtivaid õiguseid

<h5>Näide 4</h5>
*ACL õiguste eemaldamine
<pre size="3">setfacl -x u:[kasutaja_nimi] [kausta/ faili nimi]</pre>
*eemaldame jaani ja toomase ACLiga antud õigused
<pre size="3">setfacl -x u:jaan,u:toomas test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
group:tudengid:rwx
mask::rwx
other::r-x
</pre>
Näeme, et jaani ja toomast ei ole enam pääsupiiramisloendis,küll aga on alles grupp tudengid
<h5>Näide 5</h5>
ACL õiguste täielik eemaldamine
<pre size="3">setfacl -b [kausta faili nimi]</pre>
<pre size="3">setfacl -b test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>
<h5>Näide 6</h5>
*määrame kaustale/ failile uued õigused
<pre size="3">setfacl --set u::[õigused],g::[õigused],o::[õigused],u:[kasutaja_nimi]:[õigused] [kasuta/ faili_nimi]</pre>
* määrame kaustale test uued õigused kasutades --set võtit. Antud võtit kasutades tuleb kindalsti määrata ka omaniku, grupi ning teiste õigused.
<pre size="3">setfacl --set u::rwx,g::rw,o::-,u:jaan:r test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:r--
group::rw-
mask::rw-
other::---</pre>
<h5>Näide 7</h5>
Kui on vajalik kasutada sarnaseid õiguseid mitmel korral tasub töö lihtsustamiseks luua tekstifail, mis sisaldab ACL õiguseid.
Nt võib faili sisu olla selline
<pre size="3">user:jaan:rw-
user:toomas:rw-
group:tudengid:r--
mask::rw-
other::---
</pre>
*Failis kirjeldatud õiguste kasutamine
<pre size="3">setfacl -M [fail_kus_on_õigustekirjeldus] [fail_millele_määran_õigused]</pre>
*määran failis minu_acl kirjeldatud õigused failidele test1, test2, test3

<pre size="3">setfacl -M minu_acl test*</pre>
*tulemus getfacl test1

<pre size="3"># file: test1
# owner: mari
# group: mari
user::rw-
user:jaan:rw-
user:toomas:rw-
group::rw-
group:tudengid:r--
mask::rw-
other::---</pre>

==mv ja cp==

*mv käsklus säilitab ACLiga määratud õigused alati kui see on võimalik, kui võimalus puudub, siis kuvatakse hoiatus
*cp säilitab ACL õigused, kui seda kasutatakse koos võtmega -p või -a

==Kokkuvõte==

ACL võimaldab paindlikumalt juurdepääsuõiguseid määrata ning lubab seda teha ka tavakasutajal.

== Kasutatud kirjandus ==

# http://www.vanemery.com/Linux/ACL/linux-acl.html
#http://linux.die.net/man/1/getfacl
#http://linux.die.net/man/1/setfacl
#http://linux.die.net/man/5/acl

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Access Control List

2014-12-25T16:47:36Z

Kroasto: /* Pääsupiiramisloendi kasutamine Linuxi failisüsteemides [http://www.vanemery.com/Linux/ACL/linux-acl.html [1]] */

==Autor==

2014/2015 Kadri Roasto AK21

2010 Arvi Alamaa

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Tegemist on laiendatud failiõigussüsteemiga. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) omanikule, grupile ja teistele kasutajatele. ACL võimaldab juurdepääsuõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACL-is määrata õigused nimeliselt kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutaja kui tavakasutaja õigustes. Alljärgneva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.
Näidetes kasutatud ACL versioon on acl 2.2.52 -1.

== Pääsupiiramisloendi kasutamine Linuxi failisüsteemides [http://www.vanemery.com/Linux/ACL/linux-acl.html [1]]==

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne.

Peamiselt kasutatakse kahte käsku '''getfacl''' ja '''setfacl''' koos võtmetega.

Tavakasutaja saab laiendatud failiõigustesüsteemi kasutada failide puhul, millele ta on omanik. Juurkasutaja saab laiendatud failiõigustesüsteemi kasutada ka siis kui ta ei ole faili omanik.

==Käsu formaat [http://linux.die.net/man/1/getfacl [2]][http://linux.die.net/man/1/setfacl [3]]==

<font size="4">'''getfacl''' [võti] fail ...</font>

<font size="4">'''setfacl''' [võti] { -m|-M|-x|-X ... } fail ...</font>

<h5>Võtmete kirjeldusi</h5>

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
| style="width: 150px;" |'''-h'''
|style="width: 150px;" |'''--help'''
|käsu info

|-
|'''-v'''
|'''--version'''
|versiooni info
|}

getfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-a'''
|'''--access'''
|kuvab pääsupiiramisloendi

|-
|'''-c'''
|'''--omit-header'''
|kuvab pääsupiiramisloendi kommentaarideta (kuvab pääsupiiramisloendi ilma faili, omaniku ning grupi nimeta)

|-
|'''-n'''
|'''--numeric'''
|kuvab pääsupiiramisloendis kasutajate/gruppide numbrilised ID-d

|-
|'''-R'''
|'''--recursive'''
|kuvab ka alamkataloogide ACL kirjed
|}

settfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|muudab kehtivaid ACL õiguste kirjeid failil

|-
|'''-M'''
|'''--modify-file=file'''
|loeb ACL õiguste kirjed failist ning muudab faili õigused vastavalt loetule

|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL õiguste kirjed faililt
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|-
|'''--set'''
|
|määrab ACL õiguste kirjed failile, asendab kehtivad õigused
|}

==Näited [www.vanemery.com/Linux/ACL/linux-acl.html] [1]==

Näited on teostatud tavakasutaja õigustes. Näidetes on määratud õigused kasutades tähekombinatsioone: rwx; võib kasutada ka numbrilist õiguste määramist.

<h5>Näide 1</h5>

* faili/kausta õiguste kuvamine
<pre size="3">getfacl <faili/kausta_nimi></pre>
* Kuvame kausta nimega test õigused:
<font size="3">getfacl test</font>
* tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>

Esimesed kolm rida väljastavad kausta nime, omaniku ning grupi, järgenvad kolm rida näitavad kasutaja, grupi ja teiste õiguseid. See on minimaalne ACL. Hetkel ei ole kuvatud infot, mida ei saaks mõne põhikäsuga.

* lisame kasutajale jaan õiguse vaadata ja muuta kausta test:

<pre size="3">setfacl -m u:jaan:rw- test</pre>
*tulemus vaadatuna käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
group::rwx
mask::rwx
other::r-x
</pre>
Näeme, et pääsupiiramisloendisse on lisandunud kasutaja jaan õigustega vaadata ja muuta kausta test.

*tulemus vaadatuna käsuga ls -l
<pre size="3">drwxrwxr-x+ 2 mari mari 4096 dets 25 14:55 test</pre>
Näeme, et kausta test õiguste lõpus on märk "+", see näitab, et kasutusel on ACL.

<h5>Näide 2</h5>

* lisa kasutajale ja lisa grupile õiguste andmine
<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused],g:[grupi_nimi]:[õigused] [kausta/faili nimi]</pre>
* lisame kasutajale toomas ja grupile tudengid õiguse vaadata ja muuta kausta test
<pre size="3">setfacl -m u:toomas:rw-,g:tudengid:rw- test</pre>
* tulemus vaadatud käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
user:toomas:rw-
group::rwx
group:tudengid:rw-
mask::rwx
other::r-x</pre>
Näeme, et nii kasutaja toomas kui grupp tudengid on lisandunud pääsupiiramisloendisse. Ning nad on saanud õigused r ja w kaustale test.
<h5>Näide 3</h5>
Mida tähendab pääsupiiramisloendis olev '''mask'''?
Maskiga on võimalik piirata ACLiga loodud kasutaja ja grupi õiguseid (omaniku õiguseid mask ei muuda). Mask määrab maksimaalsed õigused.
* Anname kasutajale jaan ja grupile tudengid nii vaatamise, muutmise kui käivitamsie õigused, kuid maskile määrame ainult vaatamise õigused
<pre size="3">setfacl -m u:jaan:rwx,g:marjuline:rwx test</pre>
<pre size="3">setfacl -m mask::r-- test</pre>
*tulemus vaadatuna käsuga getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rwx #effective:r--
user:toomas:rw- #effective:r--
group::rwx #effective:r--
group:tudengid:rwx #effective:r--
mask::r--
other::r-x
</pre>
Kuigi jaan sai õigused: rwx, on maski tõttu tal ainult õigus:r.
''effective'' näitab kehtivaid õiguseid

<h5>Näide 4</h5>
*ACL õiguste eemaldamine
<pre size="3">setfacl -x u:[kasutaja_nimi] [kausta/ faili nimi]</pre>
*eemaldame jaani ja toomase ACLiga antud õigused
<pre size="3">setfacl -x u:jaan,u:toomas test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
group:tudengid:rwx
mask::rwx
other::r-x
</pre>
Näeme, et jaani ja toomast ei ole enam pääsupiiramisloendis,küll aga on alles grupp tudengid
<h5>Näide 5</h5>
ACL õiguste täielik eemaldamine
<pre size="3">setfacl -b [kausta faili nimi]</pre>
<pre size="3">setfacl -b test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>
<h5>Näide 6</h5>
*määrame kaustale/ failile uued õigused
<pre size="3">setfacl --set u::[õigused],g::[õigused],o::[õigused],u:[kasutaja_nimi]:[õigused] [kasuta/ faili_nimi]</pre>
* määrame kaustale test uued õigused kasutades --set võtit. Antud võtit kasutades tuleb kindalsti määrata ka omaniku, grupi ning teiste õigused.
<pre size="3">setfacl --set u::rwx,g::rw,o::-,u:jaan:r test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:r--
group::rw-
mask::rw-
other::---</pre>
<h5>Näide 7</h5>
Kui on vajalik kasutada sarnaseid õiguseid mitmel korral tasub töö lihtsustamiseks luua tekstifail, mis sisaldab ACL õiguseid.
Nt võib faili sisu olla selline
<pre size="3">user:jaan:rw-
user:toomas:rw-
group:tudengid:r--
mask::rw-
other::---
</pre>
*Failis kirjeldatud õiguste kasutamine
<pre size="3">setfacl -M [fail_kus_on_õigustekirjeldus] [fail_millele_määran_õigused]</pre>
*määran failis minu_acl kirjeldatud õigused failidele test1, test2, test3

<pre size="3">setfacl -M minu_acl test*</pre>
*tulemus getfacl test1

<pre size="3"># file: test1
# owner: mari
# group: mari
user::rw-
user:jaan:rw-
user:toomas:rw-
group::rw-
group:tudengid:r--
mask::rw-
other::---</pre>

==mv ja cp==

*mv käsklus säilitab ACLiga määratud õigused alati kui see on võimalik, kui võimalus puudub, siis kuvatakse hoiatus
*cp säilitab ACL õigused, kui seda kasutatakse koos võtmega -p või -a

==Kokkuvõte==

ACL võimaldab paindlikumalt juurdepääsuõiguseid määrata ning lubab seda teha ka tavakasutajal.

== Kasutatud kirjandus ==

# http://www.vanemery.com/Linux/ACL/linux-acl.html
#http://linux.die.net/man/1/getfacl
#http://linux.die.net/man/1/setfacl
#http://linux.die.net/man/5/acl

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Access Control List

2014-12-25T16:45:00Z

Kroasto: /* Näited */

==Autor==

2014/2015 Kadri Roasto AK21

2010 Arvi Alamaa

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Tegemist on laiendatud failiõigussüsteemiga. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) omanikule, grupile ja teistele kasutajatele. ACL võimaldab juurdepääsuõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACL-is määrata õigused nimeliselt kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutaja kui tavakasutaja õigustes. Alljärgneva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.
Näidetes kasutatud ACL versioon on acl 2.2.52 -1.

== Pääsupiiramisloendi kasutamine Linuxi failisüsteemides [http://www.vanemery.com/Linux/ACL/linux-acl.html [1]]==

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne.

Peamiselt kasutatakse kahte käsku '''getfacl''' ja '''setfacl''' koos võtmetega.

==Käsu formaat [http://linux.die.net/man/1/getfacl [2]][http://linux.die.net/man/1/setfacl [3]]==

<font size="4">'''getfacl''' [võti] fail ...</font>

<font size="4">'''setfacl''' [võti] { -m|-M|-x|-X ... } fail ...</font>

<h5>Võtmete kirjeldusi</h5>

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
| style="width: 150px;" |'''-h'''
|style="width: 150px;" |'''--help'''
|käsu info

|-
|'''-v'''
|'''--version'''
|versiooni info
|}

getfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-a'''
|'''--access'''
|kuvab pääsupiiramisloendi

|-
|'''-c'''
|'''--omit-header'''
|kuvab pääsupiiramisloendi kommentaarideta (kuvab pääsupiiramisloendi ilma faili, omaniku ning grupi nimeta)

|-
|'''-n'''
|'''--numeric'''
|kuvab pääsupiiramisloendis kasutajate/gruppide numbrilised ID-d

|-
|'''-R'''
|'''--recursive'''
|kuvab ka alamkataloogide ACL kirjed
|}

settfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|muudab kehtivaid ACL õiguste kirjeid failil

|-
|'''-M'''
|'''--modify-file=file'''
|loeb ACL õiguste kirjed failist ning muudab faili õigused vastavalt loetule

|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL õiguste kirjed faililt
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|-
|'''--set'''
|
|määrab ACL õiguste kirjed failile, asendab kehtivad õigused
|}

==Näited [www.vanemery.com/Linux/ACL/linux-acl.html] [1]==

Näited on teostatud tavakasutaja õigustes. Näidetes on määratud õigused kasutades tähekombinatsioone: rwx; võib kasutada ka numbrilist õiguste määramist.

<h5>Näide 1</h5>

* faili/kausta õiguste kuvamine
<pre size="3">getfacl <faili/kausta_nimi></pre>
* Kuvame kausta nimega test õigused:
<font size="3">getfacl test</font>
* tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>

Esimesed kolm rida väljastavad kausta nime, omaniku ning grupi, järgenvad kolm rida näitavad kasutaja, grupi ja teiste õiguseid. See on minimaalne ACL. Hetkel ei ole kuvatud infot, mida ei saaks mõne põhikäsuga.

* lisame kasutajale jaan õiguse vaadata ja muuta kausta test:

<pre size="3">setfacl -m u:jaan:rw- test</pre>
*tulemus vaadatuna käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
group::rwx
mask::rwx
other::r-x
</pre>
Näeme, et pääsupiiramisloendisse on lisandunud kasutaja jaan õigustega vaadata ja muuta kausta test.

*tulemus vaadatuna käsuga ls -l
<pre size="3">drwxrwxr-x+ 2 mari mari 4096 dets 25 14:55 test</pre>
Näeme, et kausta test õiguste lõpus on märk "+", see näitab, et kasutusel on ACL.

<h5>Näide 2</h5>

* lisa kasutajale ja lisa grupile õiguste andmine
<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused],g:[grupi_nimi]:[õigused] [kausta/faili nimi]</pre>
* lisame kasutajale toomas ja grupile tudengid õiguse vaadata ja muuta kausta test
<pre size="3">setfacl -m u:toomas:rw-,g:tudengid:rw- test</pre>
* tulemus vaadatud käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
user:toomas:rw-
group::rwx
group:tudengid:rw-
mask::rwx
other::r-x</pre>
Näeme, et nii kasutaja toomas kui grupp tudengid on lisandunud pääsupiiramisloendisse. Ning nad on saanud õigused r ja w kaustale test.
<h5>Näide 3</h5>
Mida tähendab pääsupiiramisloendis olev '''mask'''?
Maskiga on võimalik piirata ACLiga loodud kasutaja ja grupi õiguseid (omaniku õiguseid mask ei muuda). Mask määrab maksimaalsed õigused.
* Anname kasutajale jaan ja grupile tudengid nii vaatamise, muutmise kui käivitamsie õigused, kuid maskile määrame ainult vaatamise õigused
<pre size="3">setfacl -m u:jaan:rwx,g:marjuline:rwx test</pre>
<pre size="3">setfacl -m mask::r-- test</pre>
*tulemus vaadatuna käsuga getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rwx #effective:r--
user:toomas:rw- #effective:r--
group::rwx #effective:r--
group:tudengid:rwx #effective:r--
mask::r--
other::r-x
</pre>
Kuigi jaan sai õigused: rwx, on maski tõttu tal ainult õigus:r.
''effective'' näitab kehtivaid õiguseid

<h5>Näide 4</h5>
*ACL õiguste eemaldamine
<pre size="3">setfacl -x u:[kasutaja_nimi] [kausta/ faili nimi]</pre>
*eemaldame jaani ja toomase ACLiga antud õigused
<pre size="3">setfacl -x u:jaan,u:toomas test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
group:tudengid:rwx
mask::rwx
other::r-x
</pre>
Näeme, et jaani ja toomast ei ole enam pääsupiiramisloendis,küll aga on alles grupp tudengid
<h5>Näide 5</h5>
ACL õiguste täielik eemaldamine
<pre size="3">setfacl -b [kausta faili nimi]</pre>
<pre size="3">setfacl -b test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>
<h5>Näide 6</h5>
*määrame kaustale/ failile uued õigused
<pre size="3">setfacl --set u::[õigused],g::[õigused],o::[õigused],u:[kasutaja_nimi]:[õigused] [kasuta/ faili_nimi]</pre>
* määrame kaustale test uued õigused kasutades --set võtit. Antud võtit kasutades tuleb kindalsti määrata ka omaniku, grupi ning teiste õigused.
<pre size="3">setfacl --set u::rwx,g::rw,o::-,u:jaan:r test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:r--
group::rw-
mask::rw-
other::---</pre>
<h5>Näide 7</h5>
Kui on vajalik kasutada sarnaseid õiguseid mitmel korral tasub töö lihtsustamiseks luua tekstifail, mis sisaldab ACL õiguseid.
Nt võib faili sisu olla selline
<pre size="3">user:jaan:rw-
user:toomas:rw-
group:tudengid:r--
mask::rw-
other::---
</pre>
*Failis kirjeldatud õiguste kasutamine
<pre size="3">setfacl -M [fail_kus_on_õigustekirjeldus] [fail_millele_määran_õigused]</pre>
*määran failis minu_acl kirjeldatud õigused failidele test1, test2, test3

<pre size="3">setfacl -M minu_acl test*</pre>
*tulemus getfacl test1

<pre size="3"># file: test1
# owner: mari
# group: mari
user::rw-
user:jaan:rw-
user:toomas:rw-
group::rw-
group:tudengid:r--
mask::rw-
other::---</pre>

==mv ja cp==

*mv käsklus säilitab ACLiga määratud õigused alati kui see on võimalik, kui võimalus puudub, siis kuvatakse hoiatus
*cp säilitab ACL õigused, kui seda kasutatakse koos võtmega -p või -a

==Kokkuvõte==

ACL võimaldab paindlikumalt juurdepääsuõiguseid määrata ning lubab seda teha ka tavakasutajal.

== Kasutatud kirjandus ==

# http://www.vanemery.com/Linux/ACL/linux-acl.html
#http://linux.die.net/man/1/getfacl
#http://linux.die.net/man/1/setfacl
#http://linux.die.net/man/5/acl

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Access Control List

2014-12-25T16:35:26Z

Kroasto: /* Käsu formaat [http://linux.die.net/man/1/getfacl [2]][http://linux.die.net/man/1/setfacl [3]] */

==Autor==

2014/2015 Kadri Roasto AK21

2010 Arvi Alamaa

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Tegemist on laiendatud failiõigussüsteemiga. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) omanikule, grupile ja teistele kasutajatele. ACL võimaldab juurdepääsuõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACL-is määrata õigused nimeliselt kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutaja kui tavakasutaja õigustes. Alljärgneva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.
Näidetes kasutatud ACL versioon on acl 2.2.52 -1.

== Pääsupiiramisloendi kasutamine Linuxi failisüsteemides [http://www.vanemery.com/Linux/ACL/linux-acl.html [1]]==

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne.

Peamiselt kasutatakse kahte käsku '''getfacl''' ja '''setfacl''' koos võtmetega.

==Käsu formaat [http://linux.die.net/man/1/getfacl [2]][http://linux.die.net/man/1/setfacl [3]]==

<font size="4">'''getfacl''' [võti] fail ...</font>

<font size="4">'''setfacl''' [võti] { -m|-M|-x|-X ... } fail ...</font>

<h5>Võtmete kirjeldusi</h5>

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
| style="width: 150px;" |'''-h'''
|style="width: 150px;" |'''--help'''
|käsu info

|-
|'''-v'''
|'''--version'''
|versiooni info
|}

getfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-a'''
|'''--access'''
|kuvab pääsupiiramisloendi

|-
|'''-c'''
|'''--omit-header'''
|kuvab pääsupiiramisloendi kommentaarideta (kuvab pääsupiiramisloendi ilma faili, omaniku ning grupi nimeta)

|-
|'''-n'''
|'''--numeric'''
|kuvab pääsupiiramisloendis kasutajate/gruppide numbrilised ID-d

|-
|'''-R'''
|'''--recursive'''
|kuvab ka alamkataloogide ACL kirjed
|}

settfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|muudab kehtivaid ACL õiguste kirjeid failil

|-
|'''-M'''
|'''--modify-file=file'''
|loeb ACL õiguste kirjed failist ning muudab faili õigused vastavalt loetule

|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL õiguste kirjed faililt
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|-
|'''--set'''
|
|määrab ACL õiguste kirjed failile, asendab kehtivad õigused
|}

==Näited==

Näited on teostatud tavakasutaja õigustes. Näidetes on määratud õigused kasutades tähekombinatsioone: rwx; võib kasutada ka numbrilist õiguste määramist.

<h5>Näide 1</h5>

* faili/kausta õiguste kuvamine
<pre size="3">getfacl <faili/kausta_nimi></pre>
* Kuvame kausta nimega test õigused:
<font size="3">getfacl test</font>
* tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>

Esimesed kolm rida väljastavad kausta nime, omaniku ning grupi, järgenvad kolm rida näitavad kasutaja, grupi ja teiste õiguseid. See on minimaalne ACL. Hetkel ei ole kuvatud infot, mida ei saaks mõne põhikäsuga.

* lisame kasutajale jaan õiguse vaadata ja muuta kausta test:

<pre size="3">setfacl -m u:jaan:rw- test</pre>
*tulemus vaadatuna käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
group::rwx
mask::rwx
other::r-x
</pre>
Näeme, et pääsupiiramisloendisse on lisandunud kasutaja jaan õigustega vaadata ja muuta kausta test.

*tulemus vaadatuna käsuga ls -l
<pre size="3">drwxrwxr-x+ 2 mari mari 4096 dets 25 14:55 test</pre>
Näeme, et kausta test õiguste lõpus on märk "+", see näitab, et kasutusel on ACL.

<h5>Näide 2</h5>

* lisa kasutajale ja lisa grupile õiguste andmine
<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused],g:[grupi_nimi]:[õigused] [kausta/faili nimi]</pre>
* lisame kasutajale toomas ja grupile tudengid õiguse vaadata ja muuta kausta test
<pre size="3">setfacl -m u:toomas:rw-,g:tudengid:rw- test</pre>
* tulemus vaadatud käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
user:toomas:rw-
group::rwx
group:tudengid:rw-
mask::rwx
other::r-x</pre>
Näeme, et nii kasutaja toomas kui grupp tudengid on lisandunud pääsupiiramisloendisse. Ning nad on saanud õigused r ja w kaustale test.
<h5>Näide 3</h5>
Mida tähendab pääsupiiramisloendis olev '''mask'''?
Maskiga on võimalik piirata ACLiga loodud kasutaja ja grupi õiguseid (omaniku õiguseid mask ei muuda). Mask määrab maksimaalsed õigused.
* Anname kasutajale jaan ja grupile tudengid nii vaatamise, muutmise kui käivitamsie õigused, kuid maskile määrame ainult vaatamise õigused
<pre size="3">setfacl -m u:jaan:rwx,g:marjuline:rwx test</pre>
<pre size="3">setfacl -m mask::r-- test</pre>
*tulemus vaadatuna käsuga getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rwx #effective:r--
user:toomas:rw- #effective:r--
group::rwx #effective:r--
group:tudengid:rwx #effective:r--
mask::r--
other::r-x
</pre>
Kuigi jaan sai õigused: rwx, on maski tõttu tal ainult õigus:r.
''effective'' näitab kehtivaid õiguseid

<h5>Näide 4</h5>
*ACL õiguste eemaldamine
<pre size="3">setfacl -x u:[kasutaja_nimi] [kausta/ faili nimi]</pre>
*eemaldame jaani ja toomase ACLiga antud õigused
<pre size="3">setfacl -x u:jaan,u:toomas test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
group:tudengid:rwx
mask::rwx
other::r-x
</pre>
Näeme, et jaani ja toomast ei ole enam pääsupiiramisloendis,küll aga on alles grupp tudengid
<h5>Näide 5</h5>
ACL õiguste täielik eemaldamine
<pre size="3">setfacl -b [kausta faili nimi]</pre>
<pre size="3">setfacl -b test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>
<h5>Näide 6</h5>
*määrame kaustale/ failile uued õigused
<pre size="3">setfacl --set u::[õigused],g::[õigused],o::[õigused],u:[kasutaja_nimi]:[õigused] [kasuta/ faili_nimi]</pre>
* määrame kaustale test uued õigused kasutades --set võtit. Antud võtit kasutades tuleb kindalsti määrata ka omaniku, grupi ning teiste õigused.
<pre size="3">setfacl --set u::rwx,g::rw,o::-,u:jaan:r test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:r--
group::rw-
mask::rw-
other::---</pre>
<h5>Näide 7</h5>
Kui on vajalik kasutada sarnaseid õiguseid mitmel korral tasub töö lihtsustamiseks luua tekstifail, mis sisaldab ACL õiguseid.
Nt võib faili sisu olla selline
<pre size="3">user:jaan:rw-
user:toomas:rw-
group:tudengid:r--
mask::rw-
other::---
</pre>
*Failis kirjeldatud õiguste kasutamine
<pre size="3">setfacl -M [fail_kus_on_õigustekirjeldus] [fail_millele_määran_õigused]</pre>
*määran failis minu_acl kirjeldatud õigused failidele test1, test2, test3

<pre size="3">setfacl -M minu_acl test*</pre>
*tulemus getfacl test1

<pre size="3"># file: test1
# owner: mari
# group: mari
user::rw-
user:jaan:rw-
user:toomas:rw-
group::rw-
group:tudengid:r--
mask::rw-
other::---</pre>

==mv ja cp==

*mv käsklus säilitab ACLiga määratud õigused alati kui see on võimalik, kui võimalus puudub, siis kuvatakse hoiatus
*cp säilitab ACL õigused, kui seda kasutatakse koos võtmega -p või -a

==Kokkuvõte==

ACL võimaldab paindlikumalt juurdepääsuõiguseid määrata ning lubab seda teha ka tavakasutajal.

== Kasutatud kirjandus ==

# http://www.vanemery.com/Linux/ACL/linux-acl.html
#http://linux.die.net/man/1/getfacl
#http://linux.die.net/man/1/setfacl
#http://linux.die.net/man/5/acl

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Access Control List

2014-12-25T16:26:05Z

Kroasto: /* Käsu formaat [http://linux.die.net/man/1/getfacl [1]][http://linux.die.net/man/1/setfacl [2]] */

==Autor==

2014/2015 Kadri Roasto AK21

2010 Arvi Alamaa

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Tegemist on laiendatud failiõigussüsteemiga. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) omanikule, grupile ja teistele kasutajatele. ACL võimaldab juurdepääsuõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACL-is määrata õigused nimeliselt kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutaja kui tavakasutaja õigustes. Alljärgneva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.
Näidetes kasutatud ACL versioon on acl 2.2.52 -1.

== Pääsupiiramisloendi kasutamine Linuxi failisüsteemides [http://www.vanemery.com/Linux/ACL/linux-acl.html [1]]==

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne.

Peamiselt kasutatakse kahte käsku '''getfacl''' ja '''setfacl''' koos võtmetega.

==Käsu formaat [http://linux.die.net/man/1/getfacl [2]][http://linux.die.net/man/1/setfacl [3]]==

<font size="4">'''getfacl''' [võti] fail ...</font>

<font size="4">'''setfacl''' [võti] { -m|-M|-x|-X ... } fail ...</font>

<h5>Võtmete kirjeldusi</h5>

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
| style="width: 150px;" |'''-h'''
|style="width: 150px;" |'''--help'''
|käsu info

|-
|'''-v'''
|'''--version'''
|versiooni info
|}

getfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-a'''
|'''--access'''
|kuvab pääsukontrolli nimekirja

|-
|'''-c'''
|'''--omit-header'''
|pääsukontrolli nimekirja kuvamine kommentaarideta (kuvab pääsukontrollinimekirja ilma faili, omaniku ning grupi nimeta)

|-
|'''-n'''
|'''--numeric'''
|kuvab kasutajate/gruppide numbrilised ID-d

|-
|'''-R'''
|'''--recursive'''
|kuvab ka alamkataloogide ACL õigused
|}

settfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|muudab kehtivat faili ACLi

|-
|'''-M'''
|'''--modify-file=file'''
|loeb ACLi kirjet failist ning muudab vastavalt loetule

|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL kirjed faililt
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|-
|'''--set'''
|
|määrab ACLi failile, asendab kehtivad õigused
|}

==Näited==

Näited on teostatud tavakasutaja õigustes. Näidetes on määratud õigused kasutades tähekombinatsioone: rwx; võib kasutada ka numbrilist õiguste määramist.

<h5>Näide 1</h5>

* faili/kausta õiguste kuvamine
<pre size="3">getfacl <faili/kausta_nimi></pre>
* Kuvame kausta nimega test õigused:
<font size="3">getfacl test</font>
* tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>

Esimesed kolm rida väljastavad kausta nime, omaniku ning grupi, järgenvad kolm rida näitavad kasutaja, grupi ja teiste õiguseid. See on minimaalne ACL. Hetkel ei ole kuvatud infot, mida ei saaks mõne põhikäsuga.

* lisame kasutajale jaan õiguse vaadata ja muuta kausta test:

<pre size="3">setfacl -m u:jaan:rw- test</pre>
*tulemus vaadatuna käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
group::rwx
mask::rwx
other::r-x
</pre>
Näeme, et pääsupiiramisloendisse on lisandunud kasutaja jaan õigustega vaadata ja muuta kausta test.

*tulemus vaadatuna käsuga ls -l
<pre size="3">drwxrwxr-x+ 2 mari mari 4096 dets 25 14:55 test</pre>
Näeme, et kausta test õiguste lõpus on märk "+", see näitab, et kasutusel on ACL.

<h5>Näide 2</h5>

* lisa kasutajale ja lisa grupile õiguste andmine
<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused],g:[grupi_nimi]:[õigused] [kausta/faili nimi]</pre>
* lisame kasutajale toomas ja grupile tudengid õiguse vaadata ja muuta kausta test
<pre size="3">setfacl -m u:toomas:rw-,g:tudengid:rw- test</pre>
* tulemus vaadatud käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
user:toomas:rw-
group::rwx
group:tudengid:rw-
mask::rwx
other::r-x</pre>
Näeme, et nii kasutaja toomas kui grupp tudengid on lisandunud pääsupiiramisloendisse. Ning nad on saanud õigused r ja w kaustale test.
<h5>Näide 3</h5>
Mida tähendab pääsupiiramisloendis olev '''mask'''?
Maskiga on võimalik piirata ACLiga loodud kasutaja ja grupi õiguseid (omaniku õiguseid mask ei muuda). Mask määrab maksimaalsed õigused.
* Anname kasutajale jaan ja grupile tudengid nii vaatamise, muutmise kui käivitamsie õigused, kuid maskile määrame ainult vaatamise õigused
<pre size="3">setfacl -m u:jaan:rwx,g:marjuline:rwx test</pre>
<pre size="3">setfacl -m mask::r-- test</pre>
*tulemus vaadatuna käsuga getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rwx #effective:r--
user:toomas:rw- #effective:r--
group::rwx #effective:r--
group:tudengid:rwx #effective:r--
mask::r--
other::r-x
</pre>
Kuigi jaan sai õigused: rwx, on maski tõttu tal ainult õigus:r.
''effective'' näitab kehtivaid õiguseid

<h5>Näide 4</h5>
*ACL õiguste eemaldamine
<pre size="3">setfacl -x u:[kasutaja_nimi] [kausta/ faili nimi]</pre>
*eemaldame jaani ja toomase ACLiga antud õigused
<pre size="3">setfacl -x u:jaan,u:toomas test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
group:tudengid:rwx
mask::rwx
other::r-x
</pre>
Näeme, et jaani ja toomast ei ole enam pääsupiiramisloendis,küll aga on alles grupp tudengid
<h5>Näide 5</h5>
ACL õiguste täielik eemaldamine
<pre size="3">setfacl -b [kausta faili nimi]</pre>
<pre size="3">setfacl -b test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>
<h5>Näide 6</h5>
*määrame kaustale/ failile uued õigused
<pre size="3">setfacl --set u::[õigused],g::[õigused],o::[õigused],u:[kasutaja_nimi]:[õigused] [kasuta/ faili_nimi]</pre>
* määrame kaustale test uued õigused kasutades --set võtit. Antud võtit kasutades tuleb kindalsti määrata ka omaniku, grupi ning teiste õigused.
<pre size="3">setfacl --set u::rwx,g::rw,o::-,u:jaan:r test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:r--
group::rw-
mask::rw-
other::---</pre>
<h5>Näide 7</h5>
Kui on vajalik kasutada sarnaseid õiguseid mitmel korral tasub töö lihtsustamiseks luua tekstifail, mis sisaldab ACL õiguseid.
Nt võib faili sisu olla selline
<pre size="3">user:jaan:rw-
user:toomas:rw-
group:tudengid:r--
mask::rw-
other::---
</pre>
*Failis kirjeldatud õiguste kasutamine
<pre size="3">setfacl -M [fail_kus_on_õigustekirjeldus] [fail_millele_määran_õigused]</pre>
*määran failis minu_acl kirjeldatud õigused failidele test1, test2, test3

<pre size="3">setfacl -M minu_acl test*</pre>
*tulemus getfacl test1

<pre size="3"># file: test1
# owner: mari
# group: mari
user::rw-
user:jaan:rw-
user:toomas:rw-
group::rw-
group:tudengid:r--
mask::rw-
other::---</pre>

==mv ja cp==

*mv käsklus säilitab ACLiga määratud õigused alati kui see on võimalik, kui võimalus puudub, siis kuvatakse hoiatus
*cp säilitab ACL õigused, kui seda kasutatakse koos võtmega -p või -a

==Kokkuvõte==

ACL võimaldab paindlikumalt juurdepääsuõiguseid määrata ning lubab seda teha ka tavakasutajal.

== Kasutatud kirjandus ==

# http://www.vanemery.com/Linux/ACL/linux-acl.html
#http://linux.die.net/man/1/getfacl
#http://linux.die.net/man/1/setfacl
#http://linux.die.net/man/5/acl

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Access Control List

2014-12-25T16:25:49Z

Kroasto: /* Pääsupiiramisloendi kasutamine Linuxi failisüsteemides [http://www.vanemery.com/Linux/ACL/linux-acl.html [4]] */

==Autor==

2014/2015 Kadri Roasto AK21

2010 Arvi Alamaa

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Tegemist on laiendatud failiõigussüsteemiga. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) omanikule, grupile ja teistele kasutajatele. ACL võimaldab juurdepääsuõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACL-is määrata õigused nimeliselt kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutaja kui tavakasutaja õigustes. Alljärgneva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.
Näidetes kasutatud ACL versioon on acl 2.2.52 -1.

== Pääsupiiramisloendi kasutamine Linuxi failisüsteemides [http://www.vanemery.com/Linux/ACL/linux-acl.html [1]]==

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne.

Peamiselt kasutatakse kahte käsku '''getfacl''' ja '''setfacl''' koos võtmetega.

==Käsu formaat [http://linux.die.net/man/1/getfacl [1]][http://linux.die.net/man/1/setfacl [2]]==

<font size="4">'''getfacl''' [võti] fail ...</font>

<font size="4">'''setfacl''' [võti] { -m|-M|-x|-X ... } fail ...</font>

<h5>Võtmete kirjeldusi</h5>

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
| style="width: 150px;" |'''-h'''
|style="width: 150px;" |'''--help'''
|käsu info

|-
|'''-v'''
|'''--version'''
|versiooni info
|}

getfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-a'''
|'''--access'''
|kuvab pääsukontrolli nimekirja

|-
|'''-c'''
|'''--omit-header'''
|pääsukontrolli nimekirja kuvamine kommentaarideta (kuvab pääsukontrollinimekirja ilma faili, omaniku ning grupi nimeta)

|-
|'''-n'''
|'''--numeric'''
|kuvab kasutajate/gruppide numbrilised ID-d

|-
|'''-R'''
|'''--recursive'''
|kuvab ka alamkataloogide ACL õigused
|}

settfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|muudab kehtivat faili ACLi

|-
|'''-M'''
|'''--modify-file=file'''
|loeb ACLi kirjet failist ning muudab vastavalt loetule

|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL kirjed faililt
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|-
|'''--set'''
|
|määrab ACLi failile, asendab kehtivad õigused
|}

==Näited==

Näited on teostatud tavakasutaja õigustes. Näidetes on määratud õigused kasutades tähekombinatsioone: rwx; võib kasutada ka numbrilist õiguste määramist.

<h5>Näide 1</h5>

* faili/kausta õiguste kuvamine
<pre size="3">getfacl <faili/kausta_nimi></pre>
* Kuvame kausta nimega test õigused:
<font size="3">getfacl test</font>
* tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>

Esimesed kolm rida väljastavad kausta nime, omaniku ning grupi, järgenvad kolm rida näitavad kasutaja, grupi ja teiste õiguseid. See on minimaalne ACL. Hetkel ei ole kuvatud infot, mida ei saaks mõne põhikäsuga.

* lisame kasutajale jaan õiguse vaadata ja muuta kausta test:

<pre size="3">setfacl -m u:jaan:rw- test</pre>
*tulemus vaadatuna käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
group::rwx
mask::rwx
other::r-x
</pre>
Näeme, et pääsupiiramisloendisse on lisandunud kasutaja jaan õigustega vaadata ja muuta kausta test.

*tulemus vaadatuna käsuga ls -l
<pre size="3">drwxrwxr-x+ 2 mari mari 4096 dets 25 14:55 test</pre>
Näeme, et kausta test õiguste lõpus on märk "+", see näitab, et kasutusel on ACL.

<h5>Näide 2</h5>

* lisa kasutajale ja lisa grupile õiguste andmine
<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused],g:[grupi_nimi]:[õigused] [kausta/faili nimi]</pre>
* lisame kasutajale toomas ja grupile tudengid õiguse vaadata ja muuta kausta test
<pre size="3">setfacl -m u:toomas:rw-,g:tudengid:rw- test</pre>
* tulemus vaadatud käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
user:toomas:rw-
group::rwx
group:tudengid:rw-
mask::rwx
other::r-x</pre>
Näeme, et nii kasutaja toomas kui grupp tudengid on lisandunud pääsupiiramisloendisse. Ning nad on saanud õigused r ja w kaustale test.
<h5>Näide 3</h5>
Mida tähendab pääsupiiramisloendis olev '''mask'''?
Maskiga on võimalik piirata ACLiga loodud kasutaja ja grupi õiguseid (omaniku õiguseid mask ei muuda). Mask määrab maksimaalsed õigused.
* Anname kasutajale jaan ja grupile tudengid nii vaatamise, muutmise kui käivitamsie õigused, kuid maskile määrame ainult vaatamise õigused
<pre size="3">setfacl -m u:jaan:rwx,g:marjuline:rwx test</pre>
<pre size="3">setfacl -m mask::r-- test</pre>
*tulemus vaadatuna käsuga getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rwx #effective:r--
user:toomas:rw- #effective:r--
group::rwx #effective:r--
group:tudengid:rwx #effective:r--
mask::r--
other::r-x
</pre>
Kuigi jaan sai õigused: rwx, on maski tõttu tal ainult õigus:r.
''effective'' näitab kehtivaid õiguseid

<h5>Näide 4</h5>
*ACL õiguste eemaldamine
<pre size="3">setfacl -x u:[kasutaja_nimi] [kausta/ faili nimi]</pre>
*eemaldame jaani ja toomase ACLiga antud õigused
<pre size="3">setfacl -x u:jaan,u:toomas test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
group:tudengid:rwx
mask::rwx
other::r-x
</pre>
Näeme, et jaani ja toomast ei ole enam pääsupiiramisloendis,küll aga on alles grupp tudengid
<h5>Näide 5</h5>
ACL õiguste täielik eemaldamine
<pre size="3">setfacl -b [kausta faili nimi]</pre>
<pre size="3">setfacl -b test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>
<h5>Näide 6</h5>
*määrame kaustale/ failile uued õigused
<pre size="3">setfacl --set u::[õigused],g::[õigused],o::[õigused],u:[kasutaja_nimi]:[õigused] [kasuta/ faili_nimi]</pre>
* määrame kaustale test uued õigused kasutades --set võtit. Antud võtit kasutades tuleb kindalsti määrata ka omaniku, grupi ning teiste õigused.
<pre size="3">setfacl --set u::rwx,g::rw,o::-,u:jaan:r test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:r--
group::rw-
mask::rw-
other::---</pre>
<h5>Näide 7</h5>
Kui on vajalik kasutada sarnaseid õiguseid mitmel korral tasub töö lihtsustamiseks luua tekstifail, mis sisaldab ACL õiguseid.
Nt võib faili sisu olla selline
<pre size="3">user:jaan:rw-
user:toomas:rw-
group:tudengid:r--
mask::rw-
other::---
</pre>
*Failis kirjeldatud õiguste kasutamine
<pre size="3">setfacl -M [fail_kus_on_õigustekirjeldus] [fail_millele_määran_õigused]</pre>
*määran failis minu_acl kirjeldatud õigused failidele test1, test2, test3

<pre size="3">setfacl -M minu_acl test*</pre>
*tulemus getfacl test1

<pre size="3"># file: test1
# owner: mari
# group: mari
user::rw-
user:jaan:rw-
user:toomas:rw-
group::rw-
group:tudengid:r--
mask::rw-
other::---</pre>

==mv ja cp==

*mv käsklus säilitab ACLiga määratud õigused alati kui see on võimalik, kui võimalus puudub, siis kuvatakse hoiatus
*cp säilitab ACL õigused, kui seda kasutatakse koos võtmega -p või -a

==Kokkuvõte==

ACL võimaldab paindlikumalt juurdepääsuõiguseid määrata ning lubab seda teha ka tavakasutajal.

== Kasutatud kirjandus ==

# http://www.vanemery.com/Linux/ACL/linux-acl.html
#http://linux.die.net/man/1/getfacl
#http://linux.die.net/man/1/setfacl
#http://linux.die.net/man/5/acl

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Access Control List

2014-12-25T16:25:29Z

Kroasto: /* Kasutatud kirjandus */

==Autor==

2014/2015 Kadri Roasto AK21

2010 Arvi Alamaa

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Tegemist on laiendatud failiõigussüsteemiga. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) omanikule, grupile ja teistele kasutajatele. ACL võimaldab juurdepääsuõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACL-is määrata õigused nimeliselt kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutaja kui tavakasutaja õigustes. Alljärgneva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.
Näidetes kasutatud ACL versioon on acl 2.2.52 -1.

== Pääsupiiramisloendi kasutamine Linuxi failisüsteemides [http://www.vanemery.com/Linux/ACL/linux-acl.html [4]]==

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne.

Peamiselt kasutatakse kahte käsku '''getfacl''' ja '''setfacl''' koos võtmetega.

==Käsu formaat [http://linux.die.net/man/1/getfacl [1]][http://linux.die.net/man/1/setfacl [2]]==

<font size="4">'''getfacl''' [võti] fail ...</font>

<font size="4">'''setfacl''' [võti] { -m|-M|-x|-X ... } fail ...</font>

<h5>Võtmete kirjeldusi</h5>

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
| style="width: 150px;" |'''-h'''
|style="width: 150px;" |'''--help'''
|käsu info

|-
|'''-v'''
|'''--version'''
|versiooni info
|}

getfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-a'''
|'''--access'''
|kuvab pääsukontrolli nimekirja

|-
|'''-c'''
|'''--omit-header'''
|pääsukontrolli nimekirja kuvamine kommentaarideta (kuvab pääsukontrollinimekirja ilma faili, omaniku ning grupi nimeta)

|-
|'''-n'''
|'''--numeric'''
|kuvab kasutajate/gruppide numbrilised ID-d

|-
|'''-R'''
|'''--recursive'''
|kuvab ka alamkataloogide ACL õigused
|}

settfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|muudab kehtivat faili ACLi

|-
|'''-M'''
|'''--modify-file=file'''
|loeb ACLi kirjet failist ning muudab vastavalt loetule

|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL kirjed faililt
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|-
|'''--set'''
|
|määrab ACLi failile, asendab kehtivad õigused
|}

==Näited==

Näited on teostatud tavakasutaja õigustes. Näidetes on määratud õigused kasutades tähekombinatsioone: rwx; võib kasutada ka numbrilist õiguste määramist.

<h5>Näide 1</h5>

* faili/kausta õiguste kuvamine
<pre size="3">getfacl <faili/kausta_nimi></pre>
* Kuvame kausta nimega test õigused:
<font size="3">getfacl test</font>
* tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>

Esimesed kolm rida väljastavad kausta nime, omaniku ning grupi, järgenvad kolm rida näitavad kasutaja, grupi ja teiste õiguseid. See on minimaalne ACL. Hetkel ei ole kuvatud infot, mida ei saaks mõne põhikäsuga.

* lisame kasutajale jaan õiguse vaadata ja muuta kausta test:

<pre size="3">setfacl -m u:jaan:rw- test</pre>
*tulemus vaadatuna käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
group::rwx
mask::rwx
other::r-x
</pre>
Näeme, et pääsupiiramisloendisse on lisandunud kasutaja jaan õigustega vaadata ja muuta kausta test.

*tulemus vaadatuna käsuga ls -l
<pre size="3">drwxrwxr-x+ 2 mari mari 4096 dets 25 14:55 test</pre>
Näeme, et kausta test õiguste lõpus on märk "+", see näitab, et kasutusel on ACL.

<h5>Näide 2</h5>

* lisa kasutajale ja lisa grupile õiguste andmine
<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused],g:[grupi_nimi]:[õigused] [kausta/faili nimi]</pre>
* lisame kasutajale toomas ja grupile tudengid õiguse vaadata ja muuta kausta test
<pre size="3">setfacl -m u:toomas:rw-,g:tudengid:rw- test</pre>
* tulemus vaadatud käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
user:toomas:rw-
group::rwx
group:tudengid:rw-
mask::rwx
other::r-x</pre>
Näeme, et nii kasutaja toomas kui grupp tudengid on lisandunud pääsupiiramisloendisse. Ning nad on saanud õigused r ja w kaustale test.
<h5>Näide 3</h5>
Mida tähendab pääsupiiramisloendis olev '''mask'''?
Maskiga on võimalik piirata ACLiga loodud kasutaja ja grupi õiguseid (omaniku õiguseid mask ei muuda). Mask määrab maksimaalsed õigused.
* Anname kasutajale jaan ja grupile tudengid nii vaatamise, muutmise kui käivitamsie õigused, kuid maskile määrame ainult vaatamise õigused
<pre size="3">setfacl -m u:jaan:rwx,g:marjuline:rwx test</pre>
<pre size="3">setfacl -m mask::r-- test</pre>
*tulemus vaadatuna käsuga getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rwx #effective:r--
user:toomas:rw- #effective:r--
group::rwx #effective:r--
group:tudengid:rwx #effective:r--
mask::r--
other::r-x
</pre>
Kuigi jaan sai õigused: rwx, on maski tõttu tal ainult õigus:r.
''effective'' näitab kehtivaid õiguseid

<h5>Näide 4</h5>
*ACL õiguste eemaldamine
<pre size="3">setfacl -x u:[kasutaja_nimi] [kausta/ faili nimi]</pre>
*eemaldame jaani ja toomase ACLiga antud õigused
<pre size="3">setfacl -x u:jaan,u:toomas test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
group:tudengid:rwx
mask::rwx
other::r-x
</pre>
Näeme, et jaani ja toomast ei ole enam pääsupiiramisloendis,küll aga on alles grupp tudengid
<h5>Näide 5</h5>
ACL õiguste täielik eemaldamine
<pre size="3">setfacl -b [kausta faili nimi]</pre>
<pre size="3">setfacl -b test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>
<h5>Näide 6</h5>
*määrame kaustale/ failile uued õigused
<pre size="3">setfacl --set u::[õigused],g::[õigused],o::[õigused],u:[kasutaja_nimi]:[õigused] [kasuta/ faili_nimi]</pre>
* määrame kaustale test uued õigused kasutades --set võtit. Antud võtit kasutades tuleb kindalsti määrata ka omaniku, grupi ning teiste õigused.
<pre size="3">setfacl --set u::rwx,g::rw,o::-,u:jaan:r test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:r--
group::rw-
mask::rw-
other::---</pre>
<h5>Näide 7</h5>
Kui on vajalik kasutada sarnaseid õiguseid mitmel korral tasub töö lihtsustamiseks luua tekstifail, mis sisaldab ACL õiguseid.
Nt võib faili sisu olla selline
<pre size="3">user:jaan:rw-
user:toomas:rw-
group:tudengid:r--
mask::rw-
other::---
</pre>
*Failis kirjeldatud õiguste kasutamine
<pre size="3">setfacl -M [fail_kus_on_õigustekirjeldus] [fail_millele_määran_õigused]</pre>
*määran failis minu_acl kirjeldatud õigused failidele test1, test2, test3

<pre size="3">setfacl -M minu_acl test*</pre>
*tulemus getfacl test1

<pre size="3"># file: test1
# owner: mari
# group: mari
user::rw-
user:jaan:rw-
user:toomas:rw-
group::rw-
group:tudengid:r--
mask::rw-
other::---</pre>

==mv ja cp==

*mv käsklus säilitab ACLiga määratud õigused alati kui see on võimalik, kui võimalus puudub, siis kuvatakse hoiatus
*cp säilitab ACL õigused, kui seda kasutatakse koos võtmega -p või -a

==Kokkuvõte==

ACL võimaldab paindlikumalt juurdepääsuõiguseid määrata ning lubab seda teha ka tavakasutajal.

== Kasutatud kirjandus ==

# http://www.vanemery.com/Linux/ACL/linux-acl.html
#http://linux.die.net/man/1/getfacl
#http://linux.die.net/man/1/setfacl
#http://linux.die.net/man/5/acl

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Access Control List

2014-12-25T16:24:44Z

Kroasto: /* Käsu formaat */

==Autor==

2014/2015 Kadri Roasto AK21

2010 Arvi Alamaa

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Tegemist on laiendatud failiõigussüsteemiga. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) omanikule, grupile ja teistele kasutajatele. ACL võimaldab juurdepääsuõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACL-is määrata õigused nimeliselt kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutaja kui tavakasutaja õigustes. Alljärgneva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.
Näidetes kasutatud ACL versioon on acl 2.2.52 -1.

== Pääsupiiramisloendi kasutamine Linuxi failisüsteemides [http://www.vanemery.com/Linux/ACL/linux-acl.html [4]]==

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne.

Peamiselt kasutatakse kahte käsku '''getfacl''' ja '''setfacl''' koos võtmetega.

==Käsu formaat [http://linux.die.net/man/1/getfacl [1]][http://linux.die.net/man/1/setfacl [2]]==

<font size="4">'''getfacl''' [võti] fail ...</font>

<font size="4">'''setfacl''' [võti] { -m|-M|-x|-X ... } fail ...</font>

<h5>Võtmete kirjeldusi</h5>

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
| style="width: 150px;" |'''-h'''
|style="width: 150px;" |'''--help'''
|käsu info

|-
|'''-v'''
|'''--version'''
|versiooni info
|}

getfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-a'''
|'''--access'''
|kuvab pääsukontrolli nimekirja

|-
|'''-c'''
|'''--omit-header'''
|pääsukontrolli nimekirja kuvamine kommentaarideta (kuvab pääsukontrollinimekirja ilma faili, omaniku ning grupi nimeta)

|-
|'''-n'''
|'''--numeric'''
|kuvab kasutajate/gruppide numbrilised ID-d

|-
|'''-R'''
|'''--recursive'''
|kuvab ka alamkataloogide ACL õigused
|}

settfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|muudab kehtivat faili ACLi

|-
|'''-M'''
|'''--modify-file=file'''
|loeb ACLi kirjet failist ning muudab vastavalt loetule

|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL kirjed faililt
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|-
|'''--set'''
|
|määrab ACLi failile, asendab kehtivad õigused
|}

==Näited==

Näited on teostatud tavakasutaja õigustes. Näidetes on määratud õigused kasutades tähekombinatsioone: rwx; võib kasutada ka numbrilist õiguste määramist.

<h5>Näide 1</h5>

* faili/kausta õiguste kuvamine
<pre size="3">getfacl <faili/kausta_nimi></pre>
* Kuvame kausta nimega test õigused:
<font size="3">getfacl test</font>
* tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>

Esimesed kolm rida väljastavad kausta nime, omaniku ning grupi, järgenvad kolm rida näitavad kasutaja, grupi ja teiste õiguseid. See on minimaalne ACL. Hetkel ei ole kuvatud infot, mida ei saaks mõne põhikäsuga.

* lisame kasutajale jaan õiguse vaadata ja muuta kausta test:

<pre size="3">setfacl -m u:jaan:rw- test</pre>
*tulemus vaadatuna käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
group::rwx
mask::rwx
other::r-x
</pre>
Näeme, et pääsupiiramisloendisse on lisandunud kasutaja jaan õigustega vaadata ja muuta kausta test.

*tulemus vaadatuna käsuga ls -l
<pre size="3">drwxrwxr-x+ 2 mari mari 4096 dets 25 14:55 test</pre>
Näeme, et kausta test õiguste lõpus on märk "+", see näitab, et kasutusel on ACL.

<h5>Näide 2</h5>

* lisa kasutajale ja lisa grupile õiguste andmine
<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused],g:[grupi_nimi]:[õigused] [kausta/faili nimi]</pre>
* lisame kasutajale toomas ja grupile tudengid õiguse vaadata ja muuta kausta test
<pre size="3">setfacl -m u:toomas:rw-,g:tudengid:rw- test</pre>
* tulemus vaadatud käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
user:toomas:rw-
group::rwx
group:tudengid:rw-
mask::rwx
other::r-x</pre>
Näeme, et nii kasutaja toomas kui grupp tudengid on lisandunud pääsupiiramisloendisse. Ning nad on saanud õigused r ja w kaustale test.
<h5>Näide 3</h5>
Mida tähendab pääsupiiramisloendis olev '''mask'''?
Maskiga on võimalik piirata ACLiga loodud kasutaja ja grupi õiguseid (omaniku õiguseid mask ei muuda). Mask määrab maksimaalsed õigused.
* Anname kasutajale jaan ja grupile tudengid nii vaatamise, muutmise kui käivitamsie õigused, kuid maskile määrame ainult vaatamise õigused
<pre size="3">setfacl -m u:jaan:rwx,g:marjuline:rwx test</pre>
<pre size="3">setfacl -m mask::r-- test</pre>
*tulemus vaadatuna käsuga getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rwx #effective:r--
user:toomas:rw- #effective:r--
group::rwx #effective:r--
group:tudengid:rwx #effective:r--
mask::r--
other::r-x
</pre>
Kuigi jaan sai õigused: rwx, on maski tõttu tal ainult õigus:r.
''effective'' näitab kehtivaid õiguseid

<h5>Näide 4</h5>
*ACL õiguste eemaldamine
<pre size="3">setfacl -x u:[kasutaja_nimi] [kausta/ faili nimi]</pre>
*eemaldame jaani ja toomase ACLiga antud õigused
<pre size="3">setfacl -x u:jaan,u:toomas test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
group:tudengid:rwx
mask::rwx
other::r-x
</pre>
Näeme, et jaani ja toomast ei ole enam pääsupiiramisloendis,küll aga on alles grupp tudengid
<h5>Näide 5</h5>
ACL õiguste täielik eemaldamine
<pre size="3">setfacl -b [kausta faili nimi]</pre>
<pre size="3">setfacl -b test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>
<h5>Näide 6</h5>
*määrame kaustale/ failile uued õigused
<pre size="3">setfacl --set u::[õigused],g::[õigused],o::[õigused],u:[kasutaja_nimi]:[õigused] [kasuta/ faili_nimi]</pre>
* määrame kaustale test uued õigused kasutades --set võtit. Antud võtit kasutades tuleb kindalsti määrata ka omaniku, grupi ning teiste õigused.
<pre size="3">setfacl --set u::rwx,g::rw,o::-,u:jaan:r test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:r--
group::rw-
mask::rw-
other::---</pre>
<h5>Näide 7</h5>
Kui on vajalik kasutada sarnaseid õiguseid mitmel korral tasub töö lihtsustamiseks luua tekstifail, mis sisaldab ACL õiguseid.
Nt võib faili sisu olla selline
<pre size="3">user:jaan:rw-
user:toomas:rw-
group:tudengid:r--
mask::rw-
other::---
</pre>
*Failis kirjeldatud õiguste kasutamine
<pre size="3">setfacl -M [fail_kus_on_õigustekirjeldus] [fail_millele_määran_õigused]</pre>
*määran failis minu_acl kirjeldatud õigused failidele test1, test2, test3

<pre size="3">setfacl -M minu_acl test*</pre>
*tulemus getfacl test1

<pre size="3"># file: test1
# owner: mari
# group: mari
user::rw-
user:jaan:rw-
user:toomas:rw-
group::rw-
group:tudengid:r--
mask::rw-
other::---</pre>

==mv ja cp==

*mv käsklus säilitab ACLiga määratud õigused alati kui see on võimalik, kui võimalus puudub, siis kuvatakse hoiatus
*cp säilitab ACL õigused, kui seda kasutatakse koos võtmega -p või -a

==Kokkuvõte==

ACL võimaldab paindlikumalt juurdepääsuõiguseid määrata ning lubab seda teha ka tavakasutajal.

== Kasutatud kirjandus ==

# http://linux.die.net/man/1/getfacl
#http://linux.die.net/man/1/setfacl
#http://linux.die.net/man/5/acl
# http://www.vanemery.com/Linux/ACL/linux-acl.html

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Access Control List

2014-12-25T16:22:52Z

Kroasto: /* Pääsupiiramisloendi kasutamine Linuxi failisüsteemides */

==Autor==

2014/2015 Kadri Roasto AK21

2010 Arvi Alamaa

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Tegemist on laiendatud failiõigussüsteemiga. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) omanikule, grupile ja teistele kasutajatele. ACL võimaldab juurdepääsuõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACL-is määrata õigused nimeliselt kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutaja kui tavakasutaja õigustes. Alljärgneva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.
Näidetes kasutatud ACL versioon on acl 2.2.52 -1.

== Pääsupiiramisloendi kasutamine Linuxi failisüsteemides [http://www.vanemery.com/Linux/ACL/linux-acl.html [4]]==

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne.

Peamiselt kasutatakse kahte käsku '''getfacl''' ja '''setfacl''' koos võtmetega.

==Käsu formaat==

<font size="4">'''getfacl''' [võti] fail ...</font>

<font size="4">'''setfacl''' [võti] { -m|-M|-x|-X ... } fail ...</font>

<h5>Võtmete kirjeldusi</h5>

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
| style="width: 150px;" |'''-h'''
|style="width: 150px;" |'''--help'''
|käsu info

|-
|'''-v'''
|'''--version'''
|versiooni info
|}

getfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-a'''
|'''--access'''
|kuvab pääsukontrolli nimekirja

|-
|'''-c'''
|'''--omit-header'''
|pääsukontrolli nimekirja kuvamine kommentaarideta (kuvab pääsukontrollinimekirja ilma faili, omaniku ning grupi nimeta)

|-
|'''-n'''
|'''--numeric'''
|kuvab kasutajate/gruppide numbrilised ID-d

|-
|'''-R'''
|'''--recursive'''
|kuvab ka alamkataloogide ACL õigused
|}

settfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|muudab kehtivat faili ACLi

|-
|'''-M'''
|'''--modify-file=file'''
|loeb ACLi kirjet failist ning muudab vastavalt loetule

|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL kirjed faililt
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|-
|'''--set'''
|
|määrab ACLi failile, asendab kehtivad õigused
|}

==Näited==

Näited on teostatud tavakasutaja õigustes. Näidetes on määratud õigused kasutades tähekombinatsioone: rwx; võib kasutada ka numbrilist õiguste määramist.

<h5>Näide 1</h5>

* faili/kausta õiguste kuvamine
<pre size="3">getfacl <faili/kausta_nimi></pre>
* Kuvame kausta nimega test õigused:
<font size="3">getfacl test</font>
* tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>

Esimesed kolm rida väljastavad kausta nime, omaniku ning grupi, järgenvad kolm rida näitavad kasutaja, grupi ja teiste õiguseid. See on minimaalne ACL. Hetkel ei ole kuvatud infot, mida ei saaks mõne põhikäsuga.

* lisame kasutajale jaan õiguse vaadata ja muuta kausta test:

<pre size="3">setfacl -m u:jaan:rw- test</pre>
*tulemus vaadatuna käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
group::rwx
mask::rwx
other::r-x
</pre>
Näeme, et pääsupiiramisloendisse on lisandunud kasutaja jaan õigustega vaadata ja muuta kausta test.

*tulemus vaadatuna käsuga ls -l
<pre size="3">drwxrwxr-x+ 2 mari mari 4096 dets 25 14:55 test</pre>
Näeme, et kausta test õiguste lõpus on märk "+", see näitab, et kasutusel on ACL.

<h5>Näide 2</h5>

* lisa kasutajale ja lisa grupile õiguste andmine
<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused],g:[grupi_nimi]:[õigused] [kausta/faili nimi]</pre>
* lisame kasutajale toomas ja grupile tudengid õiguse vaadata ja muuta kausta test
<pre size="3">setfacl -m u:toomas:rw-,g:tudengid:rw- test</pre>
* tulemus vaadatud käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
user:toomas:rw-
group::rwx
group:tudengid:rw-
mask::rwx
other::r-x</pre>
Näeme, et nii kasutaja toomas kui grupp tudengid on lisandunud pääsupiiramisloendisse. Ning nad on saanud õigused r ja w kaustale test.
<h5>Näide 3</h5>
Mida tähendab pääsupiiramisloendis olev '''mask'''?
Maskiga on võimalik piirata ACLiga loodud kasutaja ja grupi õiguseid (omaniku õiguseid mask ei muuda). Mask määrab maksimaalsed õigused.
* Anname kasutajale jaan ja grupile tudengid nii vaatamise, muutmise kui käivitamsie õigused, kuid maskile määrame ainult vaatamise õigused
<pre size="3">setfacl -m u:jaan:rwx,g:marjuline:rwx test</pre>
<pre size="3">setfacl -m mask::r-- test</pre>
*tulemus vaadatuna käsuga getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rwx #effective:r--
user:toomas:rw- #effective:r--
group::rwx #effective:r--
group:tudengid:rwx #effective:r--
mask::r--
other::r-x
</pre>
Kuigi jaan sai õigused: rwx, on maski tõttu tal ainult õigus:r.
''effective'' näitab kehtivaid õiguseid

<h5>Näide 4</h5>
*ACL õiguste eemaldamine
<pre size="3">setfacl -x u:[kasutaja_nimi] [kausta/ faili nimi]</pre>
*eemaldame jaani ja toomase ACLiga antud õigused
<pre size="3">setfacl -x u:jaan,u:toomas test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
group:tudengid:rwx
mask::rwx
other::r-x
</pre>
Näeme, et jaani ja toomast ei ole enam pääsupiiramisloendis,küll aga on alles grupp tudengid
<h5>Näide 5</h5>
ACL õiguste täielik eemaldamine
<pre size="3">setfacl -b [kausta faili nimi]</pre>
<pre size="3">setfacl -b test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>
<h5>Näide 6</h5>
*määrame kaustale/ failile uued õigused
<pre size="3">setfacl --set u::[õigused],g::[õigused],o::[õigused],u:[kasutaja_nimi]:[õigused] [kasuta/ faili_nimi]</pre>
* määrame kaustale test uued õigused kasutades --set võtit. Antud võtit kasutades tuleb kindalsti määrata ka omaniku, grupi ning teiste õigused.
<pre size="3">setfacl --set u::rwx,g::rw,o::-,u:jaan:r test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:r--
group::rw-
mask::rw-
other::---</pre>
<h5>Näide 7</h5>
Kui on vajalik kasutada sarnaseid õiguseid mitmel korral tasub töö lihtsustamiseks luua tekstifail, mis sisaldab ACL õiguseid.
Nt võib faili sisu olla selline
<pre size="3">user:jaan:rw-
user:toomas:rw-
group:tudengid:r--
mask::rw-
other::---
</pre>
*Failis kirjeldatud õiguste kasutamine
<pre size="3">setfacl -M [fail_kus_on_õigustekirjeldus] [fail_millele_määran_õigused]</pre>
*määran failis minu_acl kirjeldatud õigused failidele test1, test2, test3

<pre size="3">setfacl -M minu_acl test*</pre>
*tulemus getfacl test1

<pre size="3"># file: test1
# owner: mari
# group: mari
user::rw-
user:jaan:rw-
user:toomas:rw-
group::rw-
group:tudengid:r--
mask::rw-
other::---</pre>

==mv ja cp==

*mv käsklus säilitab ACLiga määratud õigused alati kui see on võimalik, kui võimalus puudub, siis kuvatakse hoiatus
*cp säilitab ACL õigused, kui seda kasutatakse koos võtmega -p või -a

==Kokkuvõte==

ACL võimaldab paindlikumalt juurdepääsuõiguseid määrata ning lubab seda teha ka tavakasutajal.

== Kasutatud kirjandus ==

# http://linux.die.net/man/1/getfacl
#http://linux.die.net/man/1/setfacl
#http://linux.die.net/man/5/acl
# http://www.vanemery.com/Linux/ACL/linux-acl.html

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Access Control List

2014-12-25T16:20:47Z

Kroasto: /* Kasutatud kirjandus */

==Autor==

2014/2015 Kadri Roasto AK21

2010 Arvi Alamaa

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Tegemist on laiendatud failiõigussüsteemiga. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) omanikule, grupile ja teistele kasutajatele. ACL võimaldab juurdepääsuõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACL-is määrata õigused nimeliselt kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutaja kui tavakasutaja õigustes. Alljärgneva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.
Näidetes kasutatud ACL versioon on acl 2.2.52 -1.

== Pääsupiiramisloendi kasutamine Linuxi failisüsteemides ==

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne.

Peamiselt kasutatakse kahte käsku '''getfacl''' ja '''setfacl''' koos võtmetega.

==Käsu formaat==

<font size="4">'''getfacl''' [võti] fail ...</font>

<font size="4">'''setfacl''' [võti] { -m|-M|-x|-X ... } fail ...</font>

<h5>Võtmete kirjeldusi</h5>

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
| style="width: 150px;" |'''-h'''
|style="width: 150px;" |'''--help'''
|käsu info

|-
|'''-v'''
|'''--version'''
|versiooni info
|}

getfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-a'''
|'''--access'''
|kuvab pääsukontrolli nimekirja

|-
|'''-c'''
|'''--omit-header'''
|pääsukontrolli nimekirja kuvamine kommentaarideta (kuvab pääsukontrollinimekirja ilma faili, omaniku ning grupi nimeta)

|-
|'''-n'''
|'''--numeric'''
|kuvab kasutajate/gruppide numbrilised ID-d

|-
|'''-R'''
|'''--recursive'''
|kuvab ka alamkataloogide ACL õigused
|}

settfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|muudab kehtivat faili ACLi

|-
|'''-M'''
|'''--modify-file=file'''
|loeb ACLi kirjet failist ning muudab vastavalt loetule

|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL kirjed faililt
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|-
|'''--set'''
|
|määrab ACLi failile, asendab kehtivad õigused
|}

==Näited==

Näited on teostatud tavakasutaja õigustes. Näidetes on määratud õigused kasutades tähekombinatsioone: rwx; võib kasutada ka numbrilist õiguste määramist.

<h5>Näide 1</h5>

* faili/kausta õiguste kuvamine
<pre size="3">getfacl <faili/kausta_nimi></pre>
* Kuvame kausta nimega test õigused:
<font size="3">getfacl test</font>
* tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>

Esimesed kolm rida väljastavad kausta nime, omaniku ning grupi, järgenvad kolm rida näitavad kasutaja, grupi ja teiste õiguseid. See on minimaalne ACL. Hetkel ei ole kuvatud infot, mida ei saaks mõne põhikäsuga.

* lisame kasutajale jaan õiguse vaadata ja muuta kausta test:

<pre size="3">setfacl -m u:jaan:rw- test</pre>
*tulemus vaadatuna käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
group::rwx
mask::rwx
other::r-x
</pre>
Näeme, et pääsupiiramisloendisse on lisandunud kasutaja jaan õigustega vaadata ja muuta kausta test.

*tulemus vaadatuna käsuga ls -l
<pre size="3">drwxrwxr-x+ 2 mari mari 4096 dets 25 14:55 test</pre>
Näeme, et kausta test õiguste lõpus on märk "+", see näitab, et kasutusel on ACL.

<h5>Näide 2</h5>

* lisa kasutajale ja lisa grupile õiguste andmine
<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused],g:[grupi_nimi]:[õigused] [kausta/faili nimi]</pre>
* lisame kasutajale toomas ja grupile tudengid õiguse vaadata ja muuta kausta test
<pre size="3">setfacl -m u:toomas:rw-,g:tudengid:rw- test</pre>
* tulemus vaadatud käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
user:toomas:rw-
group::rwx
group:tudengid:rw-
mask::rwx
other::r-x</pre>
Näeme, et nii kasutaja toomas kui grupp tudengid on lisandunud pääsupiiramisloendisse. Ning nad on saanud õigused r ja w kaustale test.
<h5>Näide 3</h5>
Mida tähendab pääsupiiramisloendis olev '''mask'''?
Maskiga on võimalik piirata ACLiga loodud kasutaja ja grupi õiguseid (omaniku õiguseid mask ei muuda). Mask määrab maksimaalsed õigused.
* Anname kasutajale jaan ja grupile tudengid nii vaatamise, muutmise kui käivitamsie õigused, kuid maskile määrame ainult vaatamise õigused
<pre size="3">setfacl -m u:jaan:rwx,g:marjuline:rwx test</pre>
<pre size="3">setfacl -m mask::r-- test</pre>
*tulemus vaadatuna käsuga getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rwx #effective:r--
user:toomas:rw- #effective:r--
group::rwx #effective:r--
group:tudengid:rwx #effective:r--
mask::r--
other::r-x
</pre>
Kuigi jaan sai õigused: rwx, on maski tõttu tal ainult õigus:r.
''effective'' näitab kehtivaid õiguseid

<h5>Näide 4</h5>
*ACL õiguste eemaldamine
<pre size="3">setfacl -x u:[kasutaja_nimi] [kausta/ faili nimi]</pre>
*eemaldame jaani ja toomase ACLiga antud õigused
<pre size="3">setfacl -x u:jaan,u:toomas test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
group:tudengid:rwx
mask::rwx
other::r-x
</pre>
Näeme, et jaani ja toomast ei ole enam pääsupiiramisloendis,küll aga on alles grupp tudengid
<h5>Näide 5</h5>
ACL õiguste täielik eemaldamine
<pre size="3">setfacl -b [kausta faili nimi]</pre>
<pre size="3">setfacl -b test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>
<h5>Näide 6</h5>
*määrame kaustale/ failile uued õigused
<pre size="3">setfacl --set u::[õigused],g::[õigused],o::[õigused],u:[kasutaja_nimi]:[õigused] [kasuta/ faili_nimi]</pre>
* määrame kaustale test uued õigused kasutades --set võtit. Antud võtit kasutades tuleb kindalsti määrata ka omaniku, grupi ning teiste õigused.
<pre size="3">setfacl --set u::rwx,g::rw,o::-,u:jaan:r test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:r--
group::rw-
mask::rw-
other::---</pre>
<h5>Näide 7</h5>
Kui on vajalik kasutada sarnaseid õiguseid mitmel korral tasub töö lihtsustamiseks luua tekstifail, mis sisaldab ACL õiguseid.
Nt võib faili sisu olla selline
<pre size="3">user:jaan:rw-
user:toomas:rw-
group:tudengid:r--
mask::rw-
other::---
</pre>
*Failis kirjeldatud õiguste kasutamine
<pre size="3">setfacl -M [fail_kus_on_õigustekirjeldus] [fail_millele_määran_õigused]</pre>
*määran failis minu_acl kirjeldatud õigused failidele test1, test2, test3

<pre size="3">setfacl -M minu_acl test*</pre>
*tulemus getfacl test1

<pre size="3"># file: test1
# owner: mari
# group: mari
user::rw-
user:jaan:rw-
user:toomas:rw-
group::rw-
group:tudengid:r--
mask::rw-
other::---</pre>

==mv ja cp==

*mv käsklus säilitab ACLiga määratud õigused alati kui see on võimalik, kui võimalus puudub, siis kuvatakse hoiatus
*cp säilitab ACL õigused, kui seda kasutatakse koos võtmega -p või -a

==Kokkuvõte==

ACL võimaldab paindlikumalt juurdepääsuõiguseid määrata ning lubab seda teha ka tavakasutajal.

== Kasutatud kirjandus ==

# http://linux.die.net/man/1/getfacl
#http://linux.die.net/man/1/setfacl
#http://linux.die.net/man/5/acl
# http://www.vanemery.com/Linux/ACL/linux-acl.html

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Access Control List

2014-12-25T16:20:13Z

Kroasto: /* Kasutatud kirjandus */

==Autor==

2014/2015 Kadri Roasto AK21

2010 Arvi Alamaa

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Tegemist on laiendatud failiõigussüsteemiga. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) omanikule, grupile ja teistele kasutajatele. ACL võimaldab juurdepääsuõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACL-is määrata õigused nimeliselt kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutaja kui tavakasutaja õigustes. Alljärgneva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.
Näidetes kasutatud ACL versioon on acl 2.2.52 -1.

== Pääsupiiramisloendi kasutamine Linuxi failisüsteemides ==

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne.

Peamiselt kasutatakse kahte käsku '''getfacl''' ja '''setfacl''' koos võtmetega.

==Käsu formaat==

<font size="4">'''getfacl''' [võti] fail ...</font>

<font size="4">'''setfacl''' [võti] { -m|-M|-x|-X ... } fail ...</font>

<h5>Võtmete kirjeldusi</h5>

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
| style="width: 150px;" |'''-h'''
|style="width: 150px;" |'''--help'''
|käsu info

|-
|'''-v'''
|'''--version'''
|versiooni info
|}

getfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-a'''
|'''--access'''
|kuvab pääsukontrolli nimekirja

|-
|'''-c'''
|'''--omit-header'''
|pääsukontrolli nimekirja kuvamine kommentaarideta (kuvab pääsukontrollinimekirja ilma faili, omaniku ning grupi nimeta)

|-
|'''-n'''
|'''--numeric'''
|kuvab kasutajate/gruppide numbrilised ID-d

|-
|'''-R'''
|'''--recursive'''
|kuvab ka alamkataloogide ACL õigused
|}

settfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|muudab kehtivat faili ACLi

|-
|'''-M'''
|'''--modify-file=file'''
|loeb ACLi kirjet failist ning muudab vastavalt loetule

|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL kirjed faililt
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|-
|'''--set'''
|
|määrab ACLi failile, asendab kehtivad õigused
|}

==Näited==

Näited on teostatud tavakasutaja õigustes. Näidetes on määratud õigused kasutades tähekombinatsioone: rwx; võib kasutada ka numbrilist õiguste määramist.

<h5>Näide 1</h5>

* faili/kausta õiguste kuvamine
<pre size="3">getfacl <faili/kausta_nimi></pre>
* Kuvame kausta nimega test õigused:
<font size="3">getfacl test</font>
* tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>

Esimesed kolm rida väljastavad kausta nime, omaniku ning grupi, järgenvad kolm rida näitavad kasutaja, grupi ja teiste õiguseid. See on minimaalne ACL. Hetkel ei ole kuvatud infot, mida ei saaks mõne põhikäsuga.

* lisame kasutajale jaan õiguse vaadata ja muuta kausta test:

<pre size="3">setfacl -m u:jaan:rw- test</pre>
*tulemus vaadatuna käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
group::rwx
mask::rwx
other::r-x
</pre>
Näeme, et pääsupiiramisloendisse on lisandunud kasutaja jaan õigustega vaadata ja muuta kausta test.

*tulemus vaadatuna käsuga ls -l
<pre size="3">drwxrwxr-x+ 2 mari mari 4096 dets 25 14:55 test</pre>
Näeme, et kausta test õiguste lõpus on märk "+", see näitab, et kasutusel on ACL.

<h5>Näide 2</h5>

* lisa kasutajale ja lisa grupile õiguste andmine
<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused],g:[grupi_nimi]:[õigused] [kausta/faili nimi]</pre>
* lisame kasutajale toomas ja grupile tudengid õiguse vaadata ja muuta kausta test
<pre size="3">setfacl -m u:toomas:rw-,g:tudengid:rw- test</pre>
* tulemus vaadatud käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
user:toomas:rw-
group::rwx
group:tudengid:rw-
mask::rwx
other::r-x</pre>
Näeme, et nii kasutaja toomas kui grupp tudengid on lisandunud pääsupiiramisloendisse. Ning nad on saanud õigused r ja w kaustale test.
<h5>Näide 3</h5>
Mida tähendab pääsupiiramisloendis olev '''mask'''?
Maskiga on võimalik piirata ACLiga loodud kasutaja ja grupi õiguseid (omaniku õiguseid mask ei muuda). Mask määrab maksimaalsed õigused.
* Anname kasutajale jaan ja grupile tudengid nii vaatamise, muutmise kui käivitamsie õigused, kuid maskile määrame ainult vaatamise õigused
<pre size="3">setfacl -m u:jaan:rwx,g:marjuline:rwx test</pre>
<pre size="3">setfacl -m mask::r-- test</pre>
*tulemus vaadatuna käsuga getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rwx #effective:r--
user:toomas:rw- #effective:r--
group::rwx #effective:r--
group:tudengid:rwx #effective:r--
mask::r--
other::r-x
</pre>
Kuigi jaan sai õigused: rwx, on maski tõttu tal ainult õigus:r.
''effective'' näitab kehtivaid õiguseid

<h5>Näide 4</h5>
*ACL õiguste eemaldamine
<pre size="3">setfacl -x u:[kasutaja_nimi] [kausta/ faili nimi]</pre>
*eemaldame jaani ja toomase ACLiga antud õigused
<pre size="3">setfacl -x u:jaan,u:toomas test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
group:tudengid:rwx
mask::rwx
other::r-x
</pre>
Näeme, et jaani ja toomast ei ole enam pääsupiiramisloendis,küll aga on alles grupp tudengid
<h5>Näide 5</h5>
ACL õiguste täielik eemaldamine
<pre size="3">setfacl -b [kausta faili nimi]</pre>
<pre size="3">setfacl -b test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>
<h5>Näide 6</h5>
*määrame kaustale/ failile uued õigused
<pre size="3">setfacl --set u::[õigused],g::[õigused],o::[õigused],u:[kasutaja_nimi]:[õigused] [kasuta/ faili_nimi]</pre>
* määrame kaustale test uued õigused kasutades --set võtit. Antud võtit kasutades tuleb kindalsti määrata ka omaniku, grupi ning teiste õigused.
<pre size="3">setfacl --set u::rwx,g::rw,o::-,u:jaan:r test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:r--
group::rw-
mask::rw-
other::---</pre>
<h5>Näide 7</h5>
Kui on vajalik kasutada sarnaseid õiguseid mitmel korral tasub töö lihtsustamiseks luua tekstifail, mis sisaldab ACL õiguseid.
Nt võib faili sisu olla selline
<pre size="3">user:jaan:rw-
user:toomas:rw-
group:tudengid:r--
mask::rw-
other::---
</pre>
*Failis kirjeldatud õiguste kasutamine
<pre size="3">setfacl -M [fail_kus_on_õigustekirjeldus] [fail_millele_määran_õigused]</pre>
*määran failis minu_acl kirjeldatud õigused failidele test1, test2, test3

<pre size="3">setfacl -M minu_acl test*</pre>
*tulemus getfacl test1

<pre size="3"># file: test1
# owner: mari
# group: mari
user::rw-
user:jaan:rw-
user:toomas:rw-
group::rw-
group:tudengid:r--
mask::rw-
other::---</pre>

==mv ja cp==

*mv käsklus säilitab ACLiga määratud õigused alati kui see on võimalik, kui võimalus puudub, siis kuvatakse hoiatus
*cp säilitab ACL õigused, kui seda kasutatakse koos võtmega -p või -a

==Kokkuvõte==

ACL võimaldab paindlikumalt juurdepääsuõiguseid määrata ning lubab seda teha ka tavakasutajal.

== Kasutatud kirjandus ==

# http://linux.die.net/man/1/getfacl
#http://linux.die.net/man/1/setfacl
#http://linux.die.net/man/5/acl
# http://www.vanemery.com/Linux/ACL/linux-acl.html
# users.suse.com/~agruen/acl/chapter/fs_acl-en.pdf
Access Control Lists in Linux (Administration Guide)

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Access Control List

2014-12-25T16:19:11Z

Kroasto: /* Kasutatud kirjandus */

==Autor==

2014/2015 Kadri Roasto AK21

2010 Arvi Alamaa

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Tegemist on laiendatud failiõigussüsteemiga. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) omanikule, grupile ja teistele kasutajatele. ACL võimaldab juurdepääsuõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACL-is määrata õigused nimeliselt kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutaja kui tavakasutaja õigustes. Alljärgneva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.
Näidetes kasutatud ACL versioon on acl 2.2.52 -1.

== Pääsupiiramisloendi kasutamine Linuxi failisüsteemides ==

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne.

Peamiselt kasutatakse kahte käsku '''getfacl''' ja '''setfacl''' koos võtmetega.

==Käsu formaat==

<font size="4">'''getfacl''' [võti] fail ...</font>

<font size="4">'''setfacl''' [võti] { -m|-M|-x|-X ... } fail ...</font>

<h5>Võtmete kirjeldusi</h5>

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
| style="width: 150px;" |'''-h'''
|style="width: 150px;" |'''--help'''
|käsu info

|-
|'''-v'''
|'''--version'''
|versiooni info
|}

getfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-a'''
|'''--access'''
|kuvab pääsukontrolli nimekirja

|-
|'''-c'''
|'''--omit-header'''
|pääsukontrolli nimekirja kuvamine kommentaarideta (kuvab pääsukontrollinimekirja ilma faili, omaniku ning grupi nimeta)

|-
|'''-n'''
|'''--numeric'''
|kuvab kasutajate/gruppide numbrilised ID-d

|-
|'''-R'''
|'''--recursive'''
|kuvab ka alamkataloogide ACL õigused
|}

settfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|muudab kehtivat faili ACLi

|-
|'''-M'''
|'''--modify-file=file'''
|loeb ACLi kirjet failist ning muudab vastavalt loetule

|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL kirjed faililt
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|-
|'''--set'''
|
|määrab ACLi failile, asendab kehtivad õigused
|}

==Näited==

Näited on teostatud tavakasutaja õigustes. Näidetes on määratud õigused kasutades tähekombinatsioone: rwx; võib kasutada ka numbrilist õiguste määramist.

<h5>Näide 1</h5>

* faili/kausta õiguste kuvamine
<pre size="3">getfacl <faili/kausta_nimi></pre>
* Kuvame kausta nimega test õigused:
<font size="3">getfacl test</font>
* tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>

Esimesed kolm rida väljastavad kausta nime, omaniku ning grupi, järgenvad kolm rida näitavad kasutaja, grupi ja teiste õiguseid. See on minimaalne ACL. Hetkel ei ole kuvatud infot, mida ei saaks mõne põhikäsuga.

* lisame kasutajale jaan õiguse vaadata ja muuta kausta test:

<pre size="3">setfacl -m u:jaan:rw- test</pre>
*tulemus vaadatuna käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
group::rwx
mask::rwx
other::r-x
</pre>
Näeme, et pääsupiiramisloendisse on lisandunud kasutaja jaan õigustega vaadata ja muuta kausta test.

*tulemus vaadatuna käsuga ls -l
<pre size="3">drwxrwxr-x+ 2 mari mari 4096 dets 25 14:55 test</pre>
Näeme, et kausta test õiguste lõpus on märk "+", see näitab, et kasutusel on ACL.

<h5>Näide 2</h5>

* lisa kasutajale ja lisa grupile õiguste andmine
<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused],g:[grupi_nimi]:[õigused] [kausta/faili nimi]</pre>
* lisame kasutajale toomas ja grupile tudengid õiguse vaadata ja muuta kausta test
<pre size="3">setfacl -m u:toomas:rw-,g:tudengid:rw- test</pre>
* tulemus vaadatud käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
user:toomas:rw-
group::rwx
group:tudengid:rw-
mask::rwx
other::r-x</pre>
Näeme, et nii kasutaja toomas kui grupp tudengid on lisandunud pääsupiiramisloendisse. Ning nad on saanud õigused r ja w kaustale test.
<h5>Näide 3</h5>
Mida tähendab pääsupiiramisloendis olev '''mask'''?
Maskiga on võimalik piirata ACLiga loodud kasutaja ja grupi õiguseid (omaniku õiguseid mask ei muuda). Mask määrab maksimaalsed õigused.
* Anname kasutajale jaan ja grupile tudengid nii vaatamise, muutmise kui käivitamsie õigused, kuid maskile määrame ainult vaatamise õigused
<pre size="3">setfacl -m u:jaan:rwx,g:marjuline:rwx test</pre>
<pre size="3">setfacl -m mask::r-- test</pre>
*tulemus vaadatuna käsuga getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rwx #effective:r--
user:toomas:rw- #effective:r--
group::rwx #effective:r--
group:tudengid:rwx #effective:r--
mask::r--
other::r-x
</pre>
Kuigi jaan sai õigused: rwx, on maski tõttu tal ainult õigus:r.
''effective'' näitab kehtivaid õiguseid

<h5>Näide 4</h5>
*ACL õiguste eemaldamine
<pre size="3">setfacl -x u:[kasutaja_nimi] [kausta/ faili nimi]</pre>
*eemaldame jaani ja toomase ACLiga antud õigused
<pre size="3">setfacl -x u:jaan,u:toomas test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
group:tudengid:rwx
mask::rwx
other::r-x
</pre>
Näeme, et jaani ja toomast ei ole enam pääsupiiramisloendis,küll aga on alles grupp tudengid
<h5>Näide 5</h5>
ACL õiguste täielik eemaldamine
<pre size="3">setfacl -b [kausta faili nimi]</pre>
<pre size="3">setfacl -b test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>
<h5>Näide 6</h5>
*määrame kaustale/ failile uued õigused
<pre size="3">setfacl --set u::[õigused],g::[õigused],o::[õigused],u:[kasutaja_nimi]:[õigused] [kasuta/ faili_nimi]</pre>
* määrame kaustale test uued õigused kasutades --set võtit. Antud võtit kasutades tuleb kindalsti määrata ka omaniku, grupi ning teiste õigused.
<pre size="3">setfacl --set u::rwx,g::rw,o::-,u:jaan:r test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:r--
group::rw-
mask::rw-
other::---</pre>
<h5>Näide 7</h5>
Kui on vajalik kasutada sarnaseid õiguseid mitmel korral tasub töö lihtsustamiseks luua tekstifail, mis sisaldab ACL õiguseid.
Nt võib faili sisu olla selline
<pre size="3">user:jaan:rw-
user:toomas:rw-
group:tudengid:r--
mask::rw-
other::---
</pre>
*Failis kirjeldatud õiguste kasutamine
<pre size="3">setfacl -M [fail_kus_on_õigustekirjeldus] [fail_millele_määran_õigused]</pre>
*määran failis minu_acl kirjeldatud õigused failidele test1, test2, test3

<pre size="3">setfacl -M minu_acl test*</pre>
*tulemus getfacl test1

<pre size="3"># file: test1
# owner: mari
# group: mari
user::rw-
user:jaan:rw-
user:toomas:rw-
group::rw-
group:tudengid:r--
mask::rw-
other::---</pre>

==mv ja cp==

*mv käsklus säilitab ACLiga määratud õigused alati kui see on võimalik, kui võimalus puudub, siis kuvatakse hoiatus
*cp säilitab ACL õigused, kui seda kasutatakse koos võtmega -p või -a

==Kokkuvõte==

ACL võimaldab paindlikumalt juurdepääsuõiguseid määrata ning lubab seda teha ka tavakasutajal.

== Kasutatud kirjandus ==

# http://linux.die.net/man/1/getfacl
#http://linux.die.net/man/1/setfacl
#http://linux.die.net/man/5/acl
# http://www.vanemery.com/Linux/ACL/linux-acl.html
# users.suse.com/~agruen/acl/chapter/fs_acl-en.pdf Access Control Lists in Linux (Administration Guide)

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Access Control List

2014-12-25T16:15:19Z

Kroasto: /* Pääsupiiramisloendi kasutamine Linuxi failisüsteemides */

==Autor==

2014/2015 Kadri Roasto AK21

2010 Arvi Alamaa

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Tegemist on laiendatud failiõigussüsteemiga. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) omanikule, grupile ja teistele kasutajatele. ACL võimaldab juurdepääsuõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACL-is määrata õigused nimeliselt kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutaja kui tavakasutaja õigustes. Alljärgneva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.
Näidetes kasutatud ACL versioon on acl 2.2.52 -1.

== Pääsupiiramisloendi kasutamine Linuxi failisüsteemides ==

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne.

Peamiselt kasutatakse kahte käsku '''getfacl''' ja '''setfacl''' koos võtmetega.

==Käsu formaat==

<font size="4">'''getfacl''' [võti] fail ...</font>

<font size="4">'''setfacl''' [võti] { -m|-M|-x|-X ... } fail ...</font>

<h5>Võtmete kirjeldusi</h5>

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
| style="width: 150px;" |'''-h'''
|style="width: 150px;" |'''--help'''
|käsu info

|-
|'''-v'''
|'''--version'''
|versiooni info
|}

getfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-a'''
|'''--access'''
|kuvab pääsukontrolli nimekirja

|-
|'''-c'''
|'''--omit-header'''
|pääsukontrolli nimekirja kuvamine kommentaarideta (kuvab pääsukontrollinimekirja ilma faili, omaniku ning grupi nimeta)

|-
|'''-n'''
|'''--numeric'''
|kuvab kasutajate/gruppide numbrilised ID-d

|-
|'''-R'''
|'''--recursive'''
|kuvab ka alamkataloogide ACL õigused
|}

settfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|muudab kehtivat faili ACLi

|-
|'''-M'''
|'''--modify-file=file'''
|loeb ACLi kirjet failist ning muudab vastavalt loetule

|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL kirjed faililt
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|-
|'''--set'''
|
|määrab ACLi failile, asendab kehtivad õigused
|}

==Näited==

Näited on teostatud tavakasutaja õigustes. Näidetes on määratud õigused kasutades tähekombinatsioone: rwx; võib kasutada ka numbrilist õiguste määramist.

<h5>Näide 1</h5>

* faili/kausta õiguste kuvamine
<pre size="3">getfacl <faili/kausta_nimi></pre>
* Kuvame kausta nimega test õigused:
<font size="3">getfacl test</font>
* tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>

Esimesed kolm rida väljastavad kausta nime, omaniku ning grupi, järgenvad kolm rida näitavad kasutaja, grupi ja teiste õiguseid. See on minimaalne ACL. Hetkel ei ole kuvatud infot, mida ei saaks mõne põhikäsuga.

* lisame kasutajale jaan õiguse vaadata ja muuta kausta test:

<pre size="3">setfacl -m u:jaan:rw- test</pre>
*tulemus vaadatuna käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
group::rwx
mask::rwx
other::r-x
</pre>
Näeme, et pääsupiiramisloendisse on lisandunud kasutaja jaan õigustega vaadata ja muuta kausta test.

*tulemus vaadatuna käsuga ls -l
<pre size="3">drwxrwxr-x+ 2 mari mari 4096 dets 25 14:55 test</pre>
Näeme, et kausta test õiguste lõpus on märk "+", see näitab, et kasutusel on ACL.

<h5>Näide 2</h5>

* lisa kasutajale ja lisa grupile õiguste andmine
<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused],g:[grupi_nimi]:[õigused] [kausta/faili nimi]</pre>
* lisame kasutajale toomas ja grupile tudengid õiguse vaadata ja muuta kausta test
<pre size="3">setfacl -m u:toomas:rw-,g:tudengid:rw- test</pre>
* tulemus vaadatud käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
user:toomas:rw-
group::rwx
group:tudengid:rw-
mask::rwx
other::r-x</pre>
Näeme, et nii kasutaja toomas kui grupp tudengid on lisandunud pääsupiiramisloendisse. Ning nad on saanud õigused r ja w kaustale test.
<h5>Näide 3</h5>
Mida tähendab pääsupiiramisloendis olev '''mask'''?
Maskiga on võimalik piirata ACLiga loodud kasutaja ja grupi õiguseid (omaniku õiguseid mask ei muuda). Mask määrab maksimaalsed õigused.
* Anname kasutajale jaan ja grupile tudengid nii vaatamise, muutmise kui käivitamsie õigused, kuid maskile määrame ainult vaatamise õigused
<pre size="3">setfacl -m u:jaan:rwx,g:marjuline:rwx test</pre>
<pre size="3">setfacl -m mask::r-- test</pre>
*tulemus vaadatuna käsuga getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rwx #effective:r--
user:toomas:rw- #effective:r--
group::rwx #effective:r--
group:tudengid:rwx #effective:r--
mask::r--
other::r-x
</pre>
Kuigi jaan sai õigused: rwx, on maski tõttu tal ainult õigus:r.
''effective'' näitab kehtivaid õiguseid

<h5>Näide 4</h5>
*ACL õiguste eemaldamine
<pre size="3">setfacl -x u:[kasutaja_nimi] [kausta/ faili nimi]</pre>
*eemaldame jaani ja toomase ACLiga antud õigused
<pre size="3">setfacl -x u:jaan,u:toomas test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
group:tudengid:rwx
mask::rwx
other::r-x
</pre>
Näeme, et jaani ja toomast ei ole enam pääsupiiramisloendis,küll aga on alles grupp tudengid
<h5>Näide 5</h5>
ACL õiguste täielik eemaldamine
<pre size="3">setfacl -b [kausta faili nimi]</pre>
<pre size="3">setfacl -b test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>
<h5>Näide 6</h5>
*määrame kaustale/ failile uued õigused
<pre size="3">setfacl --set u::[õigused],g::[õigused],o::[õigused],u:[kasutaja_nimi]:[õigused] [kasuta/ faili_nimi]</pre>
* määrame kaustale test uued õigused kasutades --set võtit. Antud võtit kasutades tuleb kindalsti määrata ka omaniku, grupi ning teiste õigused.
<pre size="3">setfacl --set u::rwx,g::rw,o::-,u:jaan:r test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:r--
group::rw-
mask::rw-
other::---</pre>
<h5>Näide 7</h5>
Kui on vajalik kasutada sarnaseid õiguseid mitmel korral tasub töö lihtsustamiseks luua tekstifail, mis sisaldab ACL õiguseid.
Nt võib faili sisu olla selline
<pre size="3">user:jaan:rw-
user:toomas:rw-
group:tudengid:r--
mask::rw-
other::---
</pre>
*Failis kirjeldatud õiguste kasutamine
<pre size="3">setfacl -M [fail_kus_on_õigustekirjeldus] [fail_millele_määran_õigused]</pre>
*määran failis minu_acl kirjeldatud õigused failidele test1, test2, test3

<pre size="3">setfacl -M minu_acl test*</pre>
*tulemus getfacl test1

<pre size="3"># file: test1
# owner: mari
# group: mari
user::rw-
user:jaan:rw-
user:toomas:rw-
group::rw-
group:tudengid:r--
mask::rw-
other::---</pre>

==mv ja cp==

*mv käsklus säilitab ACLiga määratud õigused alati kui see on võimalik, kui võimalus puudub, siis kuvatakse hoiatus
*cp säilitab ACL õigused, kui seda kasutatakse koos võtmega -p või -a

==Kokkuvõte==

ACL võimaldab paindlikumalt juurdepääsuõiguseid määrata ning lubab seda teha ka tavakasutajal.

== Kasutatud kirjandus ==
# http://www.vanemery.com/Linux/ACL/linux-acl.html
# users.suse.com/~agruen/acl/chapter/fs_acl-en.pdf Access Control Lists in Linux (Administration Guide)
#

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Access Control List

2014-12-25T16:12:02Z

Kroasto: /* Kasutatud kirjandus */

==Autor==

2014/2015 Kadri Roasto AK21

2010 Arvi Alamaa

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Tegemist on laiendatud failiõigussüsteemiga. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) omanikule, grupile ja teistele kasutajatele. ACL võimaldab juurdepääsuõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACL-is määrata õigused nimeliselt kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutaja kui tavakasutaja õigustes. Alljärgneva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.
Näidetes kasutatud ACL versioon on acl 2.2.52 -1.

== Pääsupiiramisloendi kasutamine Linuxi failisüsteemides ==

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne. Et kindel olla, kas kasutatav failisüsteem toetab ACLi tuleb lugeda dokumentatsiooni.

Peamiselt kasutatakse kahte käsku '''getfacl''' ja '''setfacl''' koos võtmetega.

==Käsu formaat==

<font size="4">'''getfacl''' [võti] fail ...</font>

<font size="4">'''setfacl''' [võti] { -m|-M|-x|-X ... } fail ...</font>

<h5>Võtmete kirjeldusi</h5>

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
| style="width: 150px;" |'''-h'''
|style="width: 150px;" |'''--help'''
|käsu info

|-
|'''-v'''
|'''--version'''
|versiooni info
|}

getfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-a'''
|'''--access'''
|kuvab pääsukontrolli nimekirja

|-
|'''-c'''
|'''--omit-header'''
|pääsukontrolli nimekirja kuvamine kommentaarideta (kuvab pääsukontrollinimekirja ilma faili, omaniku ning grupi nimeta)

|-
|'''-n'''
|'''--numeric'''
|kuvab kasutajate/gruppide numbrilised ID-d

|-
|'''-R'''
|'''--recursive'''
|kuvab ka alamkataloogide ACL õigused
|}

settfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|muudab kehtivat faili ACLi

|-
|'''-M'''
|'''--modify-file=file'''
|loeb ACLi kirjet failist ning muudab vastavalt loetule

|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL kirjed faililt
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|-
|'''--set'''
|
|määrab ACLi failile, asendab kehtivad õigused
|}

==Näited==

Näited on teostatud tavakasutaja õigustes. Näidetes on määratud õigused kasutades tähekombinatsioone: rwx; võib kasutada ka numbrilist õiguste määramist.

<h5>Näide 1</h5>

* faili/kausta õiguste kuvamine
<pre size="3">getfacl <faili/kausta_nimi></pre>
* Kuvame kausta nimega test õigused:
<font size="3">getfacl test</font>
* tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>

Esimesed kolm rida väljastavad kausta nime, omaniku ning grupi, järgenvad kolm rida näitavad kasutaja, grupi ja teiste õiguseid. See on minimaalne ACL. Hetkel ei ole kuvatud infot, mida ei saaks mõne põhikäsuga.

* lisame kasutajale jaan õiguse vaadata ja muuta kausta test:

<pre size="3">setfacl -m u:jaan:rw- test</pre>
*tulemus vaadatuna käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
group::rwx
mask::rwx
other::r-x
</pre>
Näeme, et pääsupiiramisloendisse on lisandunud kasutaja jaan õigustega vaadata ja muuta kausta test.

*tulemus vaadatuna käsuga ls -l
<pre size="3">drwxrwxr-x+ 2 mari mari 4096 dets 25 14:55 test</pre>
Näeme, et kausta test õiguste lõpus on märk "+", see näitab, et kasutusel on ACL.

<h5>Näide 2</h5>

* lisa kasutajale ja lisa grupile õiguste andmine
<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused],g:[grupi_nimi]:[õigused] [kausta/faili nimi]</pre>
* lisame kasutajale toomas ja grupile tudengid õiguse vaadata ja muuta kausta test
<pre size="3">setfacl -m u:toomas:rw-,g:tudengid:rw- test</pre>
* tulemus vaadatud käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
user:toomas:rw-
group::rwx
group:tudengid:rw-
mask::rwx
other::r-x</pre>
Näeme, et nii kasutaja toomas kui grupp tudengid on lisandunud pääsupiiramisloendisse. Ning nad on saanud õigused r ja w kaustale test.
<h5>Näide 3</h5>
Mida tähendab pääsupiiramisloendis olev '''mask'''?
Maskiga on võimalik piirata ACLiga loodud kasutaja ja grupi õiguseid (omaniku õiguseid mask ei muuda). Mask määrab maksimaalsed õigused.
* Anname kasutajale jaan ja grupile tudengid nii vaatamise, muutmise kui käivitamsie õigused, kuid maskile määrame ainult vaatamise õigused
<pre size="3">setfacl -m u:jaan:rwx,g:marjuline:rwx test</pre>
<pre size="3">setfacl -m mask::r-- test</pre>
*tulemus vaadatuna käsuga getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rwx #effective:r--
user:toomas:rw- #effective:r--
group::rwx #effective:r--
group:tudengid:rwx #effective:r--
mask::r--
other::r-x
</pre>
Kuigi jaan sai õigused: rwx, on maski tõttu tal ainult õigus:r.
''effective'' näitab kehtivaid õiguseid

<h5>Näide 4</h5>
*ACL õiguste eemaldamine
<pre size="3">setfacl -x u:[kasutaja_nimi] [kausta/ faili nimi]</pre>
*eemaldame jaani ja toomase ACLiga antud õigused
<pre size="3">setfacl -x u:jaan,u:toomas test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
group:tudengid:rwx
mask::rwx
other::r-x
</pre>
Näeme, et jaani ja toomast ei ole enam pääsupiiramisloendis,küll aga on alles grupp tudengid
<h5>Näide 5</h5>
ACL õiguste täielik eemaldamine
<pre size="3">setfacl -b [kausta faili nimi]</pre>
<pre size="3">setfacl -b test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>
<h5>Näide 6</h5>
*määrame kaustale/ failile uued õigused
<pre size="3">setfacl --set u::[õigused],g::[õigused],o::[õigused],u:[kasutaja_nimi]:[õigused] [kasuta/ faili_nimi]</pre>
* määrame kaustale test uued õigused kasutades --set võtit. Antud võtit kasutades tuleb kindalsti määrata ka omaniku, grupi ning teiste õigused.
<pre size="3">setfacl --set u::rwx,g::rw,o::-,u:jaan:r test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:r--
group::rw-
mask::rw-
other::---</pre>
<h5>Näide 7</h5>
Kui on vajalik kasutada sarnaseid õiguseid mitmel korral tasub töö lihtsustamiseks luua tekstifail, mis sisaldab ACL õiguseid.
Nt võib faili sisu olla selline
<pre size="3">user:jaan:rw-
user:toomas:rw-
group:tudengid:r--
mask::rw-
other::---
</pre>
*Failis kirjeldatud õiguste kasutamine
<pre size="3">setfacl -M [fail_kus_on_õigustekirjeldus] [fail_millele_määran_õigused]</pre>
*määran failis minu_acl kirjeldatud õigused failidele test1, test2, test3

<pre size="3">setfacl -M minu_acl test*</pre>
*tulemus getfacl test1

<pre size="3"># file: test1
# owner: mari
# group: mari
user::rw-
user:jaan:rw-
user:toomas:rw-
group::rw-
group:tudengid:r--
mask::rw-
other::---</pre>

==mv ja cp==

*mv käsklus säilitab ACLiga määratud õigused alati kui see on võimalik, kui võimalus puudub, siis kuvatakse hoiatus
*cp säilitab ACL õigused, kui seda kasutatakse koos võtmega -p või -a

==Kokkuvõte==

ACL võimaldab paindlikumalt juurdepääsuõiguseid määrata ning lubab seda teha ka tavakasutajal.

== Kasutatud kirjandus ==
# http://www.vanemery.com/Linux/ACL/linux-acl.html
# users.suse.com/~agruen/acl/chapter/fs_acl-en.pdf Access Control Lists in Linux (Administration Guide)
#

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Access Control List

2014-12-25T16:08:09Z

Kroasto: /* Pääsupiiramisloendi kasutamine Linuxi failisüsteemides */

==Autor==

2014/2015 Kadri Roasto AK21

2010 Arvi Alamaa

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Tegemist on laiendatud failiõigussüsteemiga. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) omanikule, grupile ja teistele kasutajatele. ACL võimaldab juurdepääsuõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACL-is määrata õigused nimeliselt kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutaja kui tavakasutaja õigustes. Alljärgneva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.
Näidetes kasutatud ACL versioon on acl 2.2.52 -1.

== Pääsupiiramisloendi kasutamine Linuxi failisüsteemides ==

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne. Et kindel olla, kas kasutatav failisüsteem toetab ACLi tuleb lugeda dokumentatsiooni.

Peamiselt kasutatakse kahte käsku '''getfacl''' ja '''setfacl''' koos võtmetega.

==Käsu formaat==

<font size="4">'''getfacl''' [võti] fail ...</font>

<font size="4">'''setfacl''' [võti] { -m|-M|-x|-X ... } fail ...</font>

<h5>Võtmete kirjeldusi</h5>

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
| style="width: 150px;" |'''-h'''
|style="width: 150px;" |'''--help'''
|käsu info

|-
|'''-v'''
|'''--version'''
|versiooni info
|}

getfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-a'''
|'''--access'''
|kuvab pääsukontrolli nimekirja

|-
|'''-c'''
|'''--omit-header'''
|pääsukontrolli nimekirja kuvamine kommentaarideta (kuvab pääsukontrollinimekirja ilma faili, omaniku ning grupi nimeta)

|-
|'''-n'''
|'''--numeric'''
|kuvab kasutajate/gruppide numbrilised ID-d

|-
|'''-R'''
|'''--recursive'''
|kuvab ka alamkataloogide ACL õigused
|}

settfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|muudab kehtivat faili ACLi

|-
|'''-M'''
|'''--modify-file=file'''
|loeb ACLi kirjet failist ning muudab vastavalt loetule

|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL kirjed faililt
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|-
|'''--set'''
|
|määrab ACLi failile, asendab kehtivad õigused
|}

==Näited==

Näited on teostatud tavakasutaja õigustes. Näidetes on määratud õigused kasutades tähekombinatsioone: rwx; võib kasutada ka numbrilist õiguste määramist.

<h5>Näide 1</h5>

* faili/kausta õiguste kuvamine
<pre size="3">getfacl <faili/kausta_nimi></pre>
* Kuvame kausta nimega test õigused:
<font size="3">getfacl test</font>
* tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>

Esimesed kolm rida väljastavad kausta nime, omaniku ning grupi, järgenvad kolm rida näitavad kasutaja, grupi ja teiste õiguseid. See on minimaalne ACL. Hetkel ei ole kuvatud infot, mida ei saaks mõne põhikäsuga.

* lisame kasutajale jaan õiguse vaadata ja muuta kausta test:

<pre size="3">setfacl -m u:jaan:rw- test</pre>
*tulemus vaadatuna käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
group::rwx
mask::rwx
other::r-x
</pre>
Näeme, et pääsupiiramisloendisse on lisandunud kasutaja jaan õigustega vaadata ja muuta kausta test.

*tulemus vaadatuna käsuga ls -l
<pre size="3">drwxrwxr-x+ 2 mari mari 4096 dets 25 14:55 test</pre>
Näeme, et kausta test õiguste lõpus on märk "+", see näitab, et kasutusel on ACL.

<h5>Näide 2</h5>

* lisa kasutajale ja lisa grupile õiguste andmine
<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused],g:[grupi_nimi]:[õigused] [kausta/faili nimi]</pre>
* lisame kasutajale toomas ja grupile tudengid õiguse vaadata ja muuta kausta test
<pre size="3">setfacl -m u:toomas:rw-,g:tudengid:rw- test</pre>
* tulemus vaadatud käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
user:toomas:rw-
group::rwx
group:tudengid:rw-
mask::rwx
other::r-x</pre>
Näeme, et nii kasutaja toomas kui grupp tudengid on lisandunud pääsupiiramisloendisse. Ning nad on saanud õigused r ja w kaustale test.
<h5>Näide 3</h5>
Mida tähendab pääsupiiramisloendis olev '''mask'''?
Maskiga on võimalik piirata ACLiga loodud kasutaja ja grupi õiguseid (omaniku õiguseid mask ei muuda). Mask määrab maksimaalsed õigused.
* Anname kasutajale jaan ja grupile tudengid nii vaatamise, muutmise kui käivitamsie õigused, kuid maskile määrame ainult vaatamise õigused
<pre size="3">setfacl -m u:jaan:rwx,g:marjuline:rwx test</pre>
<pre size="3">setfacl -m mask::r-- test</pre>
*tulemus vaadatuna käsuga getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rwx #effective:r--
user:toomas:rw- #effective:r--
group::rwx #effective:r--
group:tudengid:rwx #effective:r--
mask::r--
other::r-x
</pre>
Kuigi jaan sai õigused: rwx, on maski tõttu tal ainult õigus:r.
''effective'' näitab kehtivaid õiguseid

<h5>Näide 4</h5>
*ACL õiguste eemaldamine
<pre size="3">setfacl -x u:[kasutaja_nimi] [kausta/ faili nimi]</pre>
*eemaldame jaani ja toomase ACLiga antud õigused
<pre size="3">setfacl -x u:jaan,u:toomas test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
group:tudengid:rwx
mask::rwx
other::r-x
</pre>
Näeme, et jaani ja toomast ei ole enam pääsupiiramisloendis,küll aga on alles grupp tudengid
<h5>Näide 5</h5>
ACL õiguste täielik eemaldamine
<pre size="3">setfacl -b [kausta faili nimi]</pre>
<pre size="3">setfacl -b test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>
<h5>Näide 6</h5>
*määrame kaustale/ failile uued õigused
<pre size="3">setfacl --set u::[õigused],g::[õigused],o::[õigused],u:[kasutaja_nimi]:[õigused] [kasuta/ faili_nimi]</pre>
* määrame kaustale test uued õigused kasutades --set võtit. Antud võtit kasutades tuleb kindalsti määrata ka omaniku, grupi ning teiste õigused.
<pre size="3">setfacl --set u::rwx,g::rw,o::-,u:jaan:r test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:r--
group::rw-
mask::rw-
other::---</pre>
<h5>Näide 7</h5>
Kui on vajalik kasutada sarnaseid õiguseid mitmel korral tasub töö lihtsustamiseks luua tekstifail, mis sisaldab ACL õiguseid.
Nt võib faili sisu olla selline
<pre size="3">user:jaan:rw-
user:toomas:rw-
group:tudengid:r--
mask::rw-
other::---
</pre>
*Failis kirjeldatud õiguste kasutamine
<pre size="3">setfacl -M [fail_kus_on_õigustekirjeldus] [fail_millele_määran_õigused]</pre>
*määran failis minu_acl kirjeldatud õigused failidele test1, test2, test3

<pre size="3">setfacl -M minu_acl test*</pre>
*tulemus getfacl test1

<pre size="3"># file: test1
# owner: mari
# group: mari
user::rw-
user:jaan:rw-
user:toomas:rw-
group::rw-
group:tudengid:r--
mask::rw-
other::---</pre>

==mv ja cp==

*mv käsklus säilitab ACLiga määratud õigused alati kui see on võimalik, kui võimalus puudub, siis kuvatakse hoiatus
*cp säilitab ACL õigused, kui seda kasutatakse koos võtmega -p või -a

==Kokkuvõte==

ACL võimaldab paindlikumalt juurdepääsuõiguseid määrata ning lubab seda teha ka tavakasutajal.

== Kasutatud kirjandus ==
# http://www.vanemery.com/Linux/ACL/linux-acl.html
#
#

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Access Control List

2014-12-25T16:07:57Z

Kroasto: /* Kuidas kasutada pääsupiiramisloendit failisüsteemides? */

==Autor==

2014/2015 Kadri Roasto AK21

2010 Arvi Alamaa

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Tegemist on laiendatud failiõigussüsteemiga. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) omanikule, grupile ja teistele kasutajatele. ACL võimaldab juurdepääsuõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACL-is määrata õigused nimeliselt kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutaja kui tavakasutaja õigustes. Alljärgneva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.
Näidetes kasutatud ACL versioon on acl 2.2.52 -1.

== Pääsupiiramisloendi kasutamine Linuxi failisüsteemides ==

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne. Et kindel olla, kas kasutatav failisüsteem toetab ACLi tuleb lugeda dokumentatsiooni.
Peamiselt kasutatakse kahte käsku '''getfacl''' ja '''setfacl''' koos võtmetega.

==Käsu formaat==

<font size="4">'''getfacl''' [võti] fail ...</font>

<font size="4">'''setfacl''' [võti] { -m|-M|-x|-X ... } fail ...</font>

<h5>Võtmete kirjeldusi</h5>

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
| style="width: 150px;" |'''-h'''
|style="width: 150px;" |'''--help'''
|käsu info

|-
|'''-v'''
|'''--version'''
|versiooni info
|}

getfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-a'''
|'''--access'''
|kuvab pääsukontrolli nimekirja

|-
|'''-c'''
|'''--omit-header'''
|pääsukontrolli nimekirja kuvamine kommentaarideta (kuvab pääsukontrollinimekirja ilma faili, omaniku ning grupi nimeta)

|-
|'''-n'''
|'''--numeric'''
|kuvab kasutajate/gruppide numbrilised ID-d

|-
|'''-R'''
|'''--recursive'''
|kuvab ka alamkataloogide ACL õigused
|}

settfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|muudab kehtivat faili ACLi

|-
|'''-M'''
|'''--modify-file=file'''
|loeb ACLi kirjet failist ning muudab vastavalt loetule

|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL kirjed faililt
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|-
|'''--set'''
|
|määrab ACLi failile, asendab kehtivad õigused
|}

==Näited==

Näited on teostatud tavakasutaja õigustes. Näidetes on määratud õigused kasutades tähekombinatsioone: rwx; võib kasutada ka numbrilist õiguste määramist.

<h5>Näide 1</h5>

* faili/kausta õiguste kuvamine
<pre size="3">getfacl <faili/kausta_nimi></pre>
* Kuvame kausta nimega test õigused:
<font size="3">getfacl test</font>
* tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>

Esimesed kolm rida väljastavad kausta nime, omaniku ning grupi, järgenvad kolm rida näitavad kasutaja, grupi ja teiste õiguseid. See on minimaalne ACL. Hetkel ei ole kuvatud infot, mida ei saaks mõne põhikäsuga.

* lisame kasutajale jaan õiguse vaadata ja muuta kausta test:

<pre size="3">setfacl -m u:jaan:rw- test</pre>
*tulemus vaadatuna käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
group::rwx
mask::rwx
other::r-x
</pre>
Näeme, et pääsupiiramisloendisse on lisandunud kasutaja jaan õigustega vaadata ja muuta kausta test.

*tulemus vaadatuna käsuga ls -l
<pre size="3">drwxrwxr-x+ 2 mari mari 4096 dets 25 14:55 test</pre>
Näeme, et kausta test õiguste lõpus on märk "+", see näitab, et kasutusel on ACL.

<h5>Näide 2</h5>

* lisa kasutajale ja lisa grupile õiguste andmine
<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused],g:[grupi_nimi]:[õigused] [kausta/faili nimi]</pre>
* lisame kasutajale toomas ja grupile tudengid õiguse vaadata ja muuta kausta test
<pre size="3">setfacl -m u:toomas:rw-,g:tudengid:rw- test</pre>
* tulemus vaadatud käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
user:toomas:rw-
group::rwx
group:tudengid:rw-
mask::rwx
other::r-x</pre>
Näeme, et nii kasutaja toomas kui grupp tudengid on lisandunud pääsupiiramisloendisse. Ning nad on saanud õigused r ja w kaustale test.
<h5>Näide 3</h5>
Mida tähendab pääsupiiramisloendis olev '''mask'''?
Maskiga on võimalik piirata ACLiga loodud kasutaja ja grupi õiguseid (omaniku õiguseid mask ei muuda). Mask määrab maksimaalsed õigused.
* Anname kasutajale jaan ja grupile tudengid nii vaatamise, muutmise kui käivitamsie õigused, kuid maskile määrame ainult vaatamise õigused
<pre size="3">setfacl -m u:jaan:rwx,g:marjuline:rwx test</pre>
<pre size="3">setfacl -m mask::r-- test</pre>
*tulemus vaadatuna käsuga getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rwx #effective:r--
user:toomas:rw- #effective:r--
group::rwx #effective:r--
group:tudengid:rwx #effective:r--
mask::r--
other::r-x
</pre>
Kuigi jaan sai õigused: rwx, on maski tõttu tal ainult õigus:r.
''effective'' näitab kehtivaid õiguseid

<h5>Näide 4</h5>
*ACL õiguste eemaldamine
<pre size="3">setfacl -x u:[kasutaja_nimi] [kausta/ faili nimi]</pre>
*eemaldame jaani ja toomase ACLiga antud õigused
<pre size="3">setfacl -x u:jaan,u:toomas test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
group:tudengid:rwx
mask::rwx
other::r-x
</pre>
Näeme, et jaani ja toomast ei ole enam pääsupiiramisloendis,küll aga on alles grupp tudengid
<h5>Näide 5</h5>
ACL õiguste täielik eemaldamine
<pre size="3">setfacl -b [kausta faili nimi]</pre>
<pre size="3">setfacl -b test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>
<h5>Näide 6</h5>
*määrame kaustale/ failile uued õigused
<pre size="3">setfacl --set u::[õigused],g::[õigused],o::[õigused],u:[kasutaja_nimi]:[õigused] [kasuta/ faili_nimi]</pre>
* määrame kaustale test uued õigused kasutades --set võtit. Antud võtit kasutades tuleb kindalsti määrata ka omaniku, grupi ning teiste õigused.
<pre size="3">setfacl --set u::rwx,g::rw,o::-,u:jaan:r test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:r--
group::rw-
mask::rw-
other::---</pre>
<h5>Näide 7</h5>
Kui on vajalik kasutada sarnaseid õiguseid mitmel korral tasub töö lihtsustamiseks luua tekstifail, mis sisaldab ACL õiguseid.
Nt võib faili sisu olla selline
<pre size="3">user:jaan:rw-
user:toomas:rw-
group:tudengid:r--
mask::rw-
other::---
</pre>
*Failis kirjeldatud õiguste kasutamine
<pre size="3">setfacl -M [fail_kus_on_õigustekirjeldus] [fail_millele_määran_õigused]</pre>
*määran failis minu_acl kirjeldatud õigused failidele test1, test2, test3

<pre size="3">setfacl -M minu_acl test*</pre>
*tulemus getfacl test1

<pre size="3"># file: test1
# owner: mari
# group: mari
user::rw-
user:jaan:rw-
user:toomas:rw-
group::rw-
group:tudengid:r--
mask::rw-
other::---</pre>

==mv ja cp==

*mv käsklus säilitab ACLiga määratud õigused alati kui see on võimalik, kui võimalus puudub, siis kuvatakse hoiatus
*cp säilitab ACL õigused, kui seda kasutatakse koos võtmega -p või -a

==Kokkuvõte==

ACL võimaldab paindlikumalt juurdepääsuõiguseid määrata ning lubab seda teha ka tavakasutajal.

== Kasutatud kirjandus ==
# http://www.vanemery.com/Linux/ACL/linux-acl.html
#
#

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Access Control List

2014-12-25T16:06:44Z

Kroasto: /* Käsu formaat */

==Autor==

2014/2015 Kadri Roasto AK21

2010 Arvi Alamaa

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Tegemist on laiendatud failiõigussüsteemiga. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) omanikule, grupile ja teistele kasutajatele. ACL võimaldab juurdepääsuõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACL-is määrata õigused nimeliselt kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutaja kui tavakasutaja õigustes. Alljärgneva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.
Näidetes kasutatud ACL versioon on acl 2.2.52 -1.

== Kuidas kasutada pääsupiiramisloendit failisüsteemides? ==

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne. Et kindel olla, kas kasutatav failisüsteem toetab ACLi tuleb lugeda dokumentatsiooni.

==Käsu formaat==

<font size="4">'''getfacl''' [võti] fail ...</font>

<font size="4">'''setfacl''' [võti] { -m|-M|-x|-X ... } fail ...</font>

<h5>Võtmete kirjeldusi</h5>

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
| style="width: 150px;" |'''-h'''
|style="width: 150px;" |'''--help'''
|käsu info

|-
|'''-v'''
|'''--version'''
|versiooni info
|}

getfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-a'''
|'''--access'''
|kuvab pääsukontrolli nimekirja

|-
|'''-c'''
|'''--omit-header'''
|pääsukontrolli nimekirja kuvamine kommentaarideta (kuvab pääsukontrollinimekirja ilma faili, omaniku ning grupi nimeta)

|-
|'''-n'''
|'''--numeric'''
|kuvab kasutajate/gruppide numbrilised ID-d

|-
|'''-R'''
|'''--recursive'''
|kuvab ka alamkataloogide ACL õigused
|}

settfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|muudab kehtivat faili ACLi

|-
|'''-M'''
|'''--modify-file=file'''
|loeb ACLi kirjet failist ning muudab vastavalt loetule

|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL kirjed faililt
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|-
|'''--set'''
|
|määrab ACLi failile, asendab kehtivad õigused
|}

==Näited==

Näited on teostatud tavakasutaja õigustes. Näidetes on määratud õigused kasutades tähekombinatsioone: rwx; võib kasutada ka numbrilist õiguste määramist.

<h5>Näide 1</h5>

* faili/kausta õiguste kuvamine
<pre size="3">getfacl <faili/kausta_nimi></pre>
* Kuvame kausta nimega test õigused:
<font size="3">getfacl test</font>
* tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>

Esimesed kolm rida väljastavad kausta nime, omaniku ning grupi, järgenvad kolm rida näitavad kasutaja, grupi ja teiste õiguseid. See on minimaalne ACL. Hetkel ei ole kuvatud infot, mida ei saaks mõne põhikäsuga.

* lisame kasutajale jaan õiguse vaadata ja muuta kausta test:

<pre size="3">setfacl -m u:jaan:rw- test</pre>
*tulemus vaadatuna käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
group::rwx
mask::rwx
other::r-x
</pre>
Näeme, et pääsupiiramisloendisse on lisandunud kasutaja jaan õigustega vaadata ja muuta kausta test.

*tulemus vaadatuna käsuga ls -l
<pre size="3">drwxrwxr-x+ 2 mari mari 4096 dets 25 14:55 test</pre>
Näeme, et kausta test õiguste lõpus on märk "+", see näitab, et kasutusel on ACL.

<h5>Näide 2</h5>

* lisa kasutajale ja lisa grupile õiguste andmine
<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused],g:[grupi_nimi]:[õigused] [kausta/faili nimi]</pre>
* lisame kasutajale toomas ja grupile tudengid õiguse vaadata ja muuta kausta test
<pre size="3">setfacl -m u:toomas:rw-,g:tudengid:rw- test</pre>
* tulemus vaadatud käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
user:toomas:rw-
group::rwx
group:tudengid:rw-
mask::rwx
other::r-x</pre>
Näeme, et nii kasutaja toomas kui grupp tudengid on lisandunud pääsupiiramisloendisse. Ning nad on saanud õigused r ja w kaustale test.
<h5>Näide 3</h5>
Mida tähendab pääsupiiramisloendis olev '''mask'''?
Maskiga on võimalik piirata ACLiga loodud kasutaja ja grupi õiguseid (omaniku õiguseid mask ei muuda). Mask määrab maksimaalsed õigused.
* Anname kasutajale jaan ja grupile tudengid nii vaatamise, muutmise kui käivitamsie õigused, kuid maskile määrame ainult vaatamise õigused
<pre size="3">setfacl -m u:jaan:rwx,g:marjuline:rwx test</pre>
<pre size="3">setfacl -m mask::r-- test</pre>
*tulemus vaadatuna käsuga getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rwx #effective:r--
user:toomas:rw- #effective:r--
group::rwx #effective:r--
group:tudengid:rwx #effective:r--
mask::r--
other::r-x
</pre>
Kuigi jaan sai õigused: rwx, on maski tõttu tal ainult õigus:r.
''effective'' näitab kehtivaid õiguseid

<h5>Näide 4</h5>
*ACL õiguste eemaldamine
<pre size="3">setfacl -x u:[kasutaja_nimi] [kausta/ faili nimi]</pre>
*eemaldame jaani ja toomase ACLiga antud õigused
<pre size="3">setfacl -x u:jaan,u:toomas test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
group:tudengid:rwx
mask::rwx
other::r-x
</pre>
Näeme, et jaani ja toomast ei ole enam pääsupiiramisloendis,küll aga on alles grupp tudengid
<h5>Näide 5</h5>
ACL õiguste täielik eemaldamine
<pre size="3">setfacl -b [kausta faili nimi]</pre>
<pre size="3">setfacl -b test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>
<h5>Näide 6</h5>
*määrame kaustale/ failile uued õigused
<pre size="3">setfacl --set u::[õigused],g::[õigused],o::[õigused],u:[kasutaja_nimi]:[õigused] [kasuta/ faili_nimi]</pre>
* määrame kaustale test uued õigused kasutades --set võtit. Antud võtit kasutades tuleb kindalsti määrata ka omaniku, grupi ning teiste õigused.
<pre size="3">setfacl --set u::rwx,g::rw,o::-,u:jaan:r test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:r--
group::rw-
mask::rw-
other::---</pre>
<h5>Näide 7</h5>
Kui on vajalik kasutada sarnaseid õiguseid mitmel korral tasub töö lihtsustamiseks luua tekstifail, mis sisaldab ACL õiguseid.
Nt võib faili sisu olla selline
<pre size="3">user:jaan:rw-
user:toomas:rw-
group:tudengid:r--
mask::rw-
other::---
</pre>
*Failis kirjeldatud õiguste kasutamine
<pre size="3">setfacl -M [fail_kus_on_õigustekirjeldus] [fail_millele_määran_õigused]</pre>
*määran failis minu_acl kirjeldatud õigused failidele test1, test2, test3

<pre size="3">setfacl -M minu_acl test*</pre>
*tulemus getfacl test1

<pre size="3"># file: test1
# owner: mari
# group: mari
user::rw-
user:jaan:rw-
user:toomas:rw-
group::rw-
group:tudengid:r--
mask::rw-
other::---</pre>

==mv ja cp==

*mv käsklus säilitab ACLiga määratud õigused alati kui see on võimalik, kui võimalus puudub, siis kuvatakse hoiatus
*cp säilitab ACL õigused, kui seda kasutatakse koos võtmega -p või -a

==Kokkuvõte==

ACL võimaldab paindlikumalt juurdepääsuõiguseid määrata ning lubab seda teha ka tavakasutajal.

== Kasutatud kirjandus ==
# http://www.vanemery.com/Linux/ACL/linux-acl.html
#
#

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Access Control List

2014-12-25T16:03:30Z

Kroasto: /* Filesystem Access Control List */

==Autor==

2014/2015 Kadri Roasto AK21

2010 Arvi Alamaa

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Tegemist on laiendatud failiõigussüsteemiga. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) omanikule, grupile ja teistele kasutajatele. ACL võimaldab juurdepääsuõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACL-is määrata õigused nimeliselt kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutaja kui tavakasutaja õigustes. Alljärgneva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.
Näidetes kasutatud ACL versioon on acl 2.2.52 -1.

== Kuidas kasutada pääsupiiramisloendit failisüsteemides? ==

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne. Et kindel olla, kas kasutatav failisüsteem toetab ACLi tuleb lugeda dokumentatsiooni.

==Käsu formaat==

Peamiselt kasutatakse kahte käsku oma võtmetega.

<font size="4">'''getfacl''' [võti] fail ...</font>

<font size="4">'''setfacl''' [võti] { -m|-M|-x|-X ... } fail ...</font>

<h5>Võtmete kirjeldusi</h5>

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
| style="width: 150px;" |'''-h'''
|style="width: 150px;" |'''--help'''
|käsu info

|-
|'''-v'''
|'''--version'''
|versiooni info
|}

getfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-a'''
|'''--access'''
|kuvab pääsukontrolli nimekirja

|-
|'''-c'''
|'''--omit-header'''
|pääsukontrolli nimekirja kuvamine kommentaarideta (kuvab pääsukontrollinimekirja ilma faili, omaniku ning grupi nimeta)

|-
|'''-n'''
|'''--numeric'''
|kuvab kasutajate/gruppide numbrilised ID-d

|-
|'''-R'''
|'''--recursive'''
|kuvab ka alamkataloogide ACL õigused
|}

settfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|muudab kehtivat faili ACLi

|-
|'''-M'''
|'''--modify-file=file'''
|loeb ACLi kirjet failist ning muudab vastavalt loetule

|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL kirjed faililt
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|-
|'''--set'''
|
|määrab ACLi failile, asendab kehtivad õigused
|}

==Näited==

Näited on teostatud tavakasutaja õigustes. Näidetes on määratud õigused kasutades tähekombinatsioone: rwx; võib kasutada ka numbrilist õiguste määramist.

<h5>Näide 1</h5>

* faili/kausta õiguste kuvamine
<pre size="3">getfacl <faili/kausta_nimi></pre>
* Kuvame kausta nimega test õigused:
<font size="3">getfacl test</font>
* tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>

Esimesed kolm rida väljastavad kausta nime, omaniku ning grupi, järgenvad kolm rida näitavad kasutaja, grupi ja teiste õiguseid. See on minimaalne ACL. Hetkel ei ole kuvatud infot, mida ei saaks mõne põhikäsuga.

* lisame kasutajale jaan õiguse vaadata ja muuta kausta test:

<pre size="3">setfacl -m u:jaan:rw- test</pre>
*tulemus vaadatuna käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
group::rwx
mask::rwx
other::r-x
</pre>
Näeme, et pääsupiiramisloendisse on lisandunud kasutaja jaan õigustega vaadata ja muuta kausta test.

*tulemus vaadatuna käsuga ls -l
<pre size="3">drwxrwxr-x+ 2 mari mari 4096 dets 25 14:55 test</pre>
Näeme, et kausta test õiguste lõpus on märk "+", see näitab, et kasutusel on ACL.

<h5>Näide 2</h5>

* lisa kasutajale ja lisa grupile õiguste andmine
<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused],g:[grupi_nimi]:[õigused] [kausta/faili nimi]</pre>
* lisame kasutajale toomas ja grupile tudengid õiguse vaadata ja muuta kausta test
<pre size="3">setfacl -m u:toomas:rw-,g:tudengid:rw- test</pre>
* tulemus vaadatud käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
user:toomas:rw-
group::rwx
group:tudengid:rw-
mask::rwx
other::r-x</pre>
Näeme, et nii kasutaja toomas kui grupp tudengid on lisandunud pääsupiiramisloendisse. Ning nad on saanud õigused r ja w kaustale test.
<h5>Näide 3</h5>
Mida tähendab pääsupiiramisloendis olev '''mask'''?
Maskiga on võimalik piirata ACLiga loodud kasutaja ja grupi õiguseid (omaniku õiguseid mask ei muuda). Mask määrab maksimaalsed õigused.
* Anname kasutajale jaan ja grupile tudengid nii vaatamise, muutmise kui käivitamsie õigused, kuid maskile määrame ainult vaatamise õigused
<pre size="3">setfacl -m u:jaan:rwx,g:marjuline:rwx test</pre>
<pre size="3">setfacl -m mask::r-- test</pre>
*tulemus vaadatuna käsuga getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rwx #effective:r--
user:toomas:rw- #effective:r--
group::rwx #effective:r--
group:tudengid:rwx #effective:r--
mask::r--
other::r-x
</pre>
Kuigi jaan sai õigused: rwx, on maski tõttu tal ainult õigus:r.
''effective'' näitab kehtivaid õiguseid

<h5>Näide 4</h5>
*ACL õiguste eemaldamine
<pre size="3">setfacl -x u:[kasutaja_nimi] [kausta/ faili nimi]</pre>
*eemaldame jaani ja toomase ACLiga antud õigused
<pre size="3">setfacl -x u:jaan,u:toomas test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
group:tudengid:rwx
mask::rwx
other::r-x
</pre>
Näeme, et jaani ja toomast ei ole enam pääsupiiramisloendis,küll aga on alles grupp tudengid
<h5>Näide 5</h5>
ACL õiguste täielik eemaldamine
<pre size="3">setfacl -b [kausta faili nimi]</pre>
<pre size="3">setfacl -b test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>
<h5>Näide 6</h5>
*määrame kaustale/ failile uued õigused
<pre size="3">setfacl --set u::[õigused],g::[õigused],o::[õigused],u:[kasutaja_nimi]:[õigused] [kasuta/ faili_nimi]</pre>
* määrame kaustale test uued õigused kasutades --set võtit. Antud võtit kasutades tuleb kindalsti määrata ka omaniku, grupi ning teiste õigused.
<pre size="3">setfacl --set u::rwx,g::rw,o::-,u:jaan:r test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:r--
group::rw-
mask::rw-
other::---</pre>
<h5>Näide 7</h5>
Kui on vajalik kasutada sarnaseid õiguseid mitmel korral tasub töö lihtsustamiseks luua tekstifail, mis sisaldab ACL õiguseid.
Nt võib faili sisu olla selline
<pre size="3">user:jaan:rw-
user:toomas:rw-
group:tudengid:r--
mask::rw-
other::---
</pre>
*Failis kirjeldatud õiguste kasutamine
<pre size="3">setfacl -M [fail_kus_on_õigustekirjeldus] [fail_millele_määran_õigused]</pre>
*määran failis minu_acl kirjeldatud õigused failidele test1, test2, test3

<pre size="3">setfacl -M minu_acl test*</pre>
*tulemus getfacl test1

<pre size="3"># file: test1
# owner: mari
# group: mari
user::rw-
user:jaan:rw-
user:toomas:rw-
group::rw-
group:tudengid:r--
mask::rw-
other::---</pre>

==mv ja cp==

*mv käsklus säilitab ACLiga määratud õigused alati kui see on võimalik, kui võimalus puudub, siis kuvatakse hoiatus
*cp säilitab ACL õigused, kui seda kasutatakse koos võtmega -p või -a

==Kokkuvõte==

ACL võimaldab paindlikumalt juurdepääsuõiguseid määrata ning lubab seda teha ka tavakasutajal.

== Kasutatud kirjandus ==
# http://www.vanemery.com/Linux/ACL/linux-acl.html
#
#

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Access Control List

2014-12-25T16:03:06Z

Kroasto: /* Network Access Control List */

==Autor==

2014/2015 Kadri Roasto AK21

2010 Arvi Alamaa

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Tegemist on laiendatud failiõigussüsteemiga. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) omanikule, grupile ja teistele kasutajatele. ACL võimaldab juurdepääsuõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACL-is määrata õigused nimeliselt kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutaja kui tavakasutaja õigustes. Alljärgneva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.
Näidetes kasutatud ACL versioon on acl 2.2.52 -1.

== Filesystem Access Control List ==

Failisüsteemides on peamiseks piiramise vahendiks kasutajatunnus või grupi nimi, kus määratakse nende õigused. Loend on andmestruktuur, harilikult tabel, mis sisaldab kirjeid üksikute kasutajate või rühmade õigustest kindlatele süsteemiobjektidele, nagu programmid, protsessid, või failid. Linux-is, Mac OS X-is, OpenVS-is, ning Windows-is nimetatakse neid kirjeid pääsupiiramiskirjeteks <i>(ingl.k. Access Control Entries)</i>. Igal ligipääsetaval objektil on selle pääsupiiramisloendile suunav tunnus. Kindlaid ligipääsuõiguseid määravad õigused: näiteks kas kasutajal on lubatud objektist lugeda, sinna kirjutada, ning seda käivitada. Mõningad pääsupiiramisloendid on võimelised piirama seda, kas kasutajal või nende rühmal on lubatud objekti pääsupiiramisloendit muuta.

== Kuidas kasutada pääsupiiramisloendit failisüsteemides? ==

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne. Et kindel olla, kas kasutatav failisüsteem toetab ACLi tuleb lugeda dokumentatsiooni.

==Käsu formaat==

Peamiselt kasutatakse kahte käsku oma võtmetega.

<font size="4">'''getfacl''' [võti] fail ...</font>

<font size="4">'''setfacl''' [võti] { -m|-M|-x|-X ... } fail ...</font>

<h5>Võtmete kirjeldusi</h5>

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
| style="width: 150px;" |'''-h'''
|style="width: 150px;" |'''--help'''
|käsu info

|-
|'''-v'''
|'''--version'''
|versiooni info
|}

getfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-a'''
|'''--access'''
|kuvab pääsukontrolli nimekirja

|-
|'''-c'''
|'''--omit-header'''
|pääsukontrolli nimekirja kuvamine kommentaarideta (kuvab pääsukontrollinimekirja ilma faili, omaniku ning grupi nimeta)

|-
|'''-n'''
|'''--numeric'''
|kuvab kasutajate/gruppide numbrilised ID-d

|-
|'''-R'''
|'''--recursive'''
|kuvab ka alamkataloogide ACL õigused
|}

settfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|muudab kehtivat faili ACLi

|-
|'''-M'''
|'''--modify-file=file'''
|loeb ACLi kirjet failist ning muudab vastavalt loetule

|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL kirjed faililt
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|-
|'''--set'''
|
|määrab ACLi failile, asendab kehtivad õigused
|}

==Näited==

Näited on teostatud tavakasutaja õigustes. Näidetes on määratud õigused kasutades tähekombinatsioone: rwx; võib kasutada ka numbrilist õiguste määramist.

<h5>Näide 1</h5>

* faili/kausta õiguste kuvamine
<pre size="3">getfacl <faili/kausta_nimi></pre>
* Kuvame kausta nimega test õigused:
<font size="3">getfacl test</font>
* tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>

Esimesed kolm rida väljastavad kausta nime, omaniku ning grupi, järgenvad kolm rida näitavad kasutaja, grupi ja teiste õiguseid. See on minimaalne ACL. Hetkel ei ole kuvatud infot, mida ei saaks mõne põhikäsuga.

* lisame kasutajale jaan õiguse vaadata ja muuta kausta test:

<pre size="3">setfacl -m u:jaan:rw- test</pre>
*tulemus vaadatuna käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
group::rwx
mask::rwx
other::r-x
</pre>
Näeme, et pääsupiiramisloendisse on lisandunud kasutaja jaan õigustega vaadata ja muuta kausta test.

*tulemus vaadatuna käsuga ls -l
<pre size="3">drwxrwxr-x+ 2 mari mari 4096 dets 25 14:55 test</pre>
Näeme, et kausta test õiguste lõpus on märk "+", see näitab, et kasutusel on ACL.

<h5>Näide 2</h5>

* lisa kasutajale ja lisa grupile õiguste andmine
<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused],g:[grupi_nimi]:[õigused] [kausta/faili nimi]</pre>
* lisame kasutajale toomas ja grupile tudengid õiguse vaadata ja muuta kausta test
<pre size="3">setfacl -m u:toomas:rw-,g:tudengid:rw- test</pre>
* tulemus vaadatud käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
user:toomas:rw-
group::rwx
group:tudengid:rw-
mask::rwx
other::r-x</pre>
Näeme, et nii kasutaja toomas kui grupp tudengid on lisandunud pääsupiiramisloendisse. Ning nad on saanud õigused r ja w kaustale test.
<h5>Näide 3</h5>
Mida tähendab pääsupiiramisloendis olev '''mask'''?
Maskiga on võimalik piirata ACLiga loodud kasutaja ja grupi õiguseid (omaniku õiguseid mask ei muuda). Mask määrab maksimaalsed õigused.
* Anname kasutajale jaan ja grupile tudengid nii vaatamise, muutmise kui käivitamsie õigused, kuid maskile määrame ainult vaatamise õigused
<pre size="3">setfacl -m u:jaan:rwx,g:marjuline:rwx test</pre>
<pre size="3">setfacl -m mask::r-- test</pre>
*tulemus vaadatuna käsuga getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rwx #effective:r--
user:toomas:rw- #effective:r--
group::rwx #effective:r--
group:tudengid:rwx #effective:r--
mask::r--
other::r-x
</pre>
Kuigi jaan sai õigused: rwx, on maski tõttu tal ainult õigus:r.
''effective'' näitab kehtivaid õiguseid

<h5>Näide 4</h5>
*ACL õiguste eemaldamine
<pre size="3">setfacl -x u:[kasutaja_nimi] [kausta/ faili nimi]</pre>
*eemaldame jaani ja toomase ACLiga antud õigused
<pre size="3">setfacl -x u:jaan,u:toomas test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
group:tudengid:rwx
mask::rwx
other::r-x
</pre>
Näeme, et jaani ja toomast ei ole enam pääsupiiramisloendis,küll aga on alles grupp tudengid
<h5>Näide 5</h5>
ACL õiguste täielik eemaldamine
<pre size="3">setfacl -b [kausta faili nimi]</pre>
<pre size="3">setfacl -b test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>
<h5>Näide 6</h5>
*määrame kaustale/ failile uued õigused
<pre size="3">setfacl --set u::[õigused],g::[õigused],o::[õigused],u:[kasutaja_nimi]:[õigused] [kasuta/ faili_nimi]</pre>
* määrame kaustale test uued õigused kasutades --set võtit. Antud võtit kasutades tuleb kindalsti määrata ka omaniku, grupi ning teiste õigused.
<pre size="3">setfacl --set u::rwx,g::rw,o::-,u:jaan:r test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:r--
group::rw-
mask::rw-
other::---</pre>
<h5>Näide 7</h5>
Kui on vajalik kasutada sarnaseid õiguseid mitmel korral tasub töö lihtsustamiseks luua tekstifail, mis sisaldab ACL õiguseid.
Nt võib faili sisu olla selline
<pre size="3">user:jaan:rw-
user:toomas:rw-
group:tudengid:r--
mask::rw-
other::---
</pre>
*Failis kirjeldatud õiguste kasutamine
<pre size="3">setfacl -M [fail_kus_on_õigustekirjeldus] [fail_millele_määran_õigused]</pre>
*määran failis minu_acl kirjeldatud õigused failidele test1, test2, test3

<pre size="3">setfacl -M minu_acl test*</pre>
*tulemus getfacl test1

<pre size="3"># file: test1
# owner: mari
# group: mari
user::rw-
user:jaan:rw-
user:toomas:rw-
group::rw-
group:tudengid:r--
mask::rw-
other::---</pre>

==mv ja cp==

*mv käsklus säilitab ACLiga määratud õigused alati kui see on võimalik, kui võimalus puudub, siis kuvatakse hoiatus
*cp säilitab ACL õigused, kui seda kasutatakse koos võtmega -p või -a

==Kokkuvõte==

ACL võimaldab paindlikumalt juurdepääsuõiguseid määrata ning lubab seda teha ka tavakasutajal.

== Kasutatud kirjandus ==
# http://www.vanemery.com/Linux/ACL/linux-acl.html
#
#

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Access Control List

2014-12-25T16:02:51Z

Kroasto: /* Pääsupiiramisloendi tüübid */

==Autor==

2014/2015 Kadri Roasto AK21

2010 Arvi Alamaa

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Tegemist on laiendatud failiõigussüsteemiga. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) omanikule, grupile ja teistele kasutajatele. ACL võimaldab juurdepääsuõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACL-is määrata õigused nimeliselt kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutaja kui tavakasutaja õigustes. Alljärgneva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.
Näidetes kasutatud ACL versioon on acl 2.2.52 -1.

== Network Access Control List ==

Networking ACL on pääsuloend, mis niiöelda filtreerib võrguliiklust. Ruuter vaatleb igat andmepaketti, et kindlaks teha, kas saata see edasi või jätta see maha, põhinedes pääsuloedisse määratud kriteeriumitest. Pääsuloednisse määratud kriteeriumid võivad olla näiteks kasutaja MAC aaddress, IP aadress ja pordi number.

== Filesystem Access Control List ==

Failisüsteemides on peamiseks piiramise vahendiks kasutajatunnus või grupi nimi, kus määratakse nende õigused. Loend on andmestruktuur, harilikult tabel, mis sisaldab kirjeid üksikute kasutajate või rühmade õigustest kindlatele süsteemiobjektidele, nagu programmid, protsessid, või failid. Linux-is, Mac OS X-is, OpenVS-is, ning Windows-is nimetatakse neid kirjeid pääsupiiramiskirjeteks <i>(ingl.k. Access Control Entries)</i>. Igal ligipääsetaval objektil on selle pääsupiiramisloendile suunav tunnus. Kindlaid ligipääsuõiguseid määravad õigused: näiteks kas kasutajal on lubatud objektist lugeda, sinna kirjutada, ning seda käivitada. Mõningad pääsupiiramisloendid on võimelised piirama seda, kas kasutajal või nende rühmal on lubatud objekti pääsupiiramisloendit muuta.

== Kuidas kasutada pääsupiiramisloendit failisüsteemides? ==

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne. Et kindel olla, kas kasutatav failisüsteem toetab ACLi tuleb lugeda dokumentatsiooni.

==Käsu formaat==

Peamiselt kasutatakse kahte käsku oma võtmetega.

<font size="4">'''getfacl''' [võti] fail ...</font>

<font size="4">'''setfacl''' [võti] { -m|-M|-x|-X ... } fail ...</font>

<h5>Võtmete kirjeldusi</h5>

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
| style="width: 150px;" |'''-h'''
|style="width: 150px;" |'''--help'''
|käsu info

|-
|'''-v'''
|'''--version'''
|versiooni info
|}

getfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-a'''
|'''--access'''
|kuvab pääsukontrolli nimekirja

|-
|'''-c'''
|'''--omit-header'''
|pääsukontrolli nimekirja kuvamine kommentaarideta (kuvab pääsukontrollinimekirja ilma faili, omaniku ning grupi nimeta)

|-
|'''-n'''
|'''--numeric'''
|kuvab kasutajate/gruppide numbrilised ID-d

|-
|'''-R'''
|'''--recursive'''
|kuvab ka alamkataloogide ACL õigused
|}

settfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|muudab kehtivat faili ACLi

|-
|'''-M'''
|'''--modify-file=file'''
|loeb ACLi kirjet failist ning muudab vastavalt loetule

|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL kirjed faililt
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|-
|'''--set'''
|
|määrab ACLi failile, asendab kehtivad õigused
|}

==Näited==

Näited on teostatud tavakasutaja õigustes. Näidetes on määratud õigused kasutades tähekombinatsioone: rwx; võib kasutada ka numbrilist õiguste määramist.

<h5>Näide 1</h5>

* faili/kausta õiguste kuvamine
<pre size="3">getfacl <faili/kausta_nimi></pre>
* Kuvame kausta nimega test õigused:
<font size="3">getfacl test</font>
* tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>

Esimesed kolm rida väljastavad kausta nime, omaniku ning grupi, järgenvad kolm rida näitavad kasutaja, grupi ja teiste õiguseid. See on minimaalne ACL. Hetkel ei ole kuvatud infot, mida ei saaks mõne põhikäsuga.

* lisame kasutajale jaan õiguse vaadata ja muuta kausta test:

<pre size="3">setfacl -m u:jaan:rw- test</pre>
*tulemus vaadatuna käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
group::rwx
mask::rwx
other::r-x
</pre>
Näeme, et pääsupiiramisloendisse on lisandunud kasutaja jaan õigustega vaadata ja muuta kausta test.

*tulemus vaadatuna käsuga ls -l
<pre size="3">drwxrwxr-x+ 2 mari mari 4096 dets 25 14:55 test</pre>
Näeme, et kausta test õiguste lõpus on märk "+", see näitab, et kasutusel on ACL.

<h5>Näide 2</h5>

* lisa kasutajale ja lisa grupile õiguste andmine
<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused],g:[grupi_nimi]:[õigused] [kausta/faili nimi]</pre>
* lisame kasutajale toomas ja grupile tudengid õiguse vaadata ja muuta kausta test
<pre size="3">setfacl -m u:toomas:rw-,g:tudengid:rw- test</pre>
* tulemus vaadatud käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
user:toomas:rw-
group::rwx
group:tudengid:rw-
mask::rwx
other::r-x</pre>
Näeme, et nii kasutaja toomas kui grupp tudengid on lisandunud pääsupiiramisloendisse. Ning nad on saanud õigused r ja w kaustale test.
<h5>Näide 3</h5>
Mida tähendab pääsupiiramisloendis olev '''mask'''?
Maskiga on võimalik piirata ACLiga loodud kasutaja ja grupi õiguseid (omaniku õiguseid mask ei muuda). Mask määrab maksimaalsed õigused.
* Anname kasutajale jaan ja grupile tudengid nii vaatamise, muutmise kui käivitamsie õigused, kuid maskile määrame ainult vaatamise õigused
<pre size="3">setfacl -m u:jaan:rwx,g:marjuline:rwx test</pre>
<pre size="3">setfacl -m mask::r-- test</pre>
*tulemus vaadatuna käsuga getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rwx #effective:r--
user:toomas:rw- #effective:r--
group::rwx #effective:r--
group:tudengid:rwx #effective:r--
mask::r--
other::r-x
</pre>
Kuigi jaan sai õigused: rwx, on maski tõttu tal ainult õigus:r.
''effective'' näitab kehtivaid õiguseid

<h5>Näide 4</h5>
*ACL õiguste eemaldamine
<pre size="3">setfacl -x u:[kasutaja_nimi] [kausta/ faili nimi]</pre>
*eemaldame jaani ja toomase ACLiga antud õigused
<pre size="3">setfacl -x u:jaan,u:toomas test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
group:tudengid:rwx
mask::rwx
other::r-x
</pre>
Näeme, et jaani ja toomast ei ole enam pääsupiiramisloendis,küll aga on alles grupp tudengid
<h5>Näide 5</h5>
ACL õiguste täielik eemaldamine
<pre size="3">setfacl -b [kausta faili nimi]</pre>
<pre size="3">setfacl -b test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>
<h5>Näide 6</h5>
*määrame kaustale/ failile uued õigused
<pre size="3">setfacl --set u::[õigused],g::[õigused],o::[õigused],u:[kasutaja_nimi]:[õigused] [kasuta/ faili_nimi]</pre>
* määrame kaustale test uued õigused kasutades --set võtit. Antud võtit kasutades tuleb kindalsti määrata ka omaniku, grupi ning teiste õigused.
<pre size="3">setfacl --set u::rwx,g::rw,o::-,u:jaan:r test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:r--
group::rw-
mask::rw-
other::---</pre>
<h5>Näide 7</h5>
Kui on vajalik kasutada sarnaseid õiguseid mitmel korral tasub töö lihtsustamiseks luua tekstifail, mis sisaldab ACL õiguseid.
Nt võib faili sisu olla selline
<pre size="3">user:jaan:rw-
user:toomas:rw-
group:tudengid:r--
mask::rw-
other::---
</pre>
*Failis kirjeldatud õiguste kasutamine
<pre size="3">setfacl -M [fail_kus_on_õigustekirjeldus] [fail_millele_määran_õigused]</pre>
*määran failis minu_acl kirjeldatud õigused failidele test1, test2, test3

<pre size="3">setfacl -M minu_acl test*</pre>
*tulemus getfacl test1

<pre size="3"># file: test1
# owner: mari
# group: mari
user::rw-
user:jaan:rw-
user:toomas:rw-
group::rw-
group:tudengid:r--
mask::rw-
other::---</pre>

==mv ja cp==

*mv käsklus säilitab ACLiga määratud õigused alati kui see on võimalik, kui võimalus puudub, siis kuvatakse hoiatus
*cp säilitab ACL õigused, kui seda kasutatakse koos võtmega -p või -a

==Kokkuvõte==

ACL võimaldab paindlikumalt juurdepääsuõiguseid määrata ning lubab seda teha ka tavakasutajal.

== Kasutatud kirjandus ==
# http://www.vanemery.com/Linux/ACL/linux-acl.html
#
#

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Access Control List

2014-12-25T16:00:34Z

Kroasto: /* Kuidas pääsupiiramisloend toimib? */

==Autor==

2014/2015 Kadri Roasto AK21

2010 Arvi Alamaa

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Tegemist on laiendatud failiõigussüsteemiga. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) omanikule, grupile ja teistele kasutajatele. ACL võimaldab juurdepääsuõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACL-is määrata õigused nimeliselt kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutaja kui tavakasutaja õigustes. Alljärgneva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.
Näidetes kasutatud ACL versioon on acl 2.2.52 -1.

== Pääsupiiramisloendi tüübid ==

=== System Access Control List (SACL) ===

SACL võimaldab administraatoritel pidada logi selle kohta, kes on üritanud ligipääseda kaitstud objektile ning milliseid operatsioone on seal sooritatud. Kuna iga kirje kajastab, mis tüüpi ligipääsuga on tegemist ning kes üritas ligi pääseda, salvestatakse need andmed logi faili <i>(security event log)</i>, mida saab vaadata Event Viewer's. Pääsuloendi kirjed <i>(Access Control Entries)</i> SACL's saavad genereerida auditi salvestatud kirjeid, kui ligipääsu katse nurjub või õnnestub.

=== Discretionary Access Control List (DACL) ===

DACL ehk valikuline pääsupiiramisloend tähendab seda, et objekti omanikul või loojal on täielik õigus piirata ligipääsu antud objektile, samas ka niimoodi, et ligipääs lubatakse kõikidele teistele. Süsteemil on kohustuslik pääsupiirang siis, kui see allub üle terve süsteemi kehtivatele piirangutele, mis on pääsupiiramisloendis määratletud õigustest tähtsamad. Harilikud pääsupiiramisloendite süsteemid määravad õiguseid üksikutele kasutajatele, mis võib suure kasutajahulga puhul tülikaks osutuda. Uuemas, rollidel põhinevas pääsupiirangus, antakse õiguseid rollidele, ning rolle jaotatakse omakorda kasutajatele.

== Network Access Control List ==

Networking ACL on pääsuloend, mis niiöelda filtreerib võrguliiklust. Ruuter vaatleb igat andmepaketti, et kindlaks teha, kas saata see edasi või jätta see maha, põhinedes pääsuloedisse määratud kriteeriumitest. Pääsuloednisse määratud kriteeriumid võivad olla näiteks kasutaja MAC aaddress, IP aadress ja pordi number.

== Filesystem Access Control List ==

Failisüsteemides on peamiseks piiramise vahendiks kasutajatunnus või grupi nimi, kus määratakse nende õigused. Loend on andmestruktuur, harilikult tabel, mis sisaldab kirjeid üksikute kasutajate või rühmade õigustest kindlatele süsteemiobjektidele, nagu programmid, protsessid, või failid. Linux-is, Mac OS X-is, OpenVS-is, ning Windows-is nimetatakse neid kirjeid pääsupiiramiskirjeteks <i>(ingl.k. Access Control Entries)</i>. Igal ligipääsetaval objektil on selle pääsupiiramisloendile suunav tunnus. Kindlaid ligipääsuõiguseid määravad õigused: näiteks kas kasutajal on lubatud objektist lugeda, sinna kirjutada, ning seda käivitada. Mõningad pääsupiiramisloendid on võimelised piirama seda, kas kasutajal või nende rühmal on lubatud objekti pääsupiiramisloendit muuta.

== Kuidas kasutada pääsupiiramisloendit failisüsteemides? ==

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne. Et kindel olla, kas kasutatav failisüsteem toetab ACLi tuleb lugeda dokumentatsiooni.

==Käsu formaat==

Peamiselt kasutatakse kahte käsku oma võtmetega.

<font size="4">'''getfacl''' [võti] fail ...</font>

<font size="4">'''setfacl''' [võti] { -m|-M|-x|-X ... } fail ...</font>

<h5>Võtmete kirjeldusi</h5>

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
| style="width: 150px;" |'''-h'''
|style="width: 150px;" |'''--help'''
|käsu info

|-
|'''-v'''
|'''--version'''
|versiooni info
|}

getfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-a'''
|'''--access'''
|kuvab pääsukontrolli nimekirja

|-
|'''-c'''
|'''--omit-header'''
|pääsukontrolli nimekirja kuvamine kommentaarideta (kuvab pääsukontrollinimekirja ilma faili, omaniku ning grupi nimeta)

|-
|'''-n'''
|'''--numeric'''
|kuvab kasutajate/gruppide numbrilised ID-d

|-
|'''-R'''
|'''--recursive'''
|kuvab ka alamkataloogide ACL õigused
|}

settfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|muudab kehtivat faili ACLi

|-
|'''-M'''
|'''--modify-file=file'''
|loeb ACLi kirjet failist ning muudab vastavalt loetule

|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL kirjed faililt
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|-
|'''--set'''
|
|määrab ACLi failile, asendab kehtivad õigused
|}

==Näited==

Näited on teostatud tavakasutaja õigustes. Näidetes on määratud õigused kasutades tähekombinatsioone: rwx; võib kasutada ka numbrilist õiguste määramist.

<h5>Näide 1</h5>

* faili/kausta õiguste kuvamine
<pre size="3">getfacl <faili/kausta_nimi></pre>
* Kuvame kausta nimega test õigused:
<font size="3">getfacl test</font>
* tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>

Esimesed kolm rida väljastavad kausta nime, omaniku ning grupi, järgenvad kolm rida näitavad kasutaja, grupi ja teiste õiguseid. See on minimaalne ACL. Hetkel ei ole kuvatud infot, mida ei saaks mõne põhikäsuga.

* lisame kasutajale jaan õiguse vaadata ja muuta kausta test:

<pre size="3">setfacl -m u:jaan:rw- test</pre>
*tulemus vaadatuna käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
group::rwx
mask::rwx
other::r-x
</pre>
Näeme, et pääsupiiramisloendisse on lisandunud kasutaja jaan õigustega vaadata ja muuta kausta test.

*tulemus vaadatuna käsuga ls -l
<pre size="3">drwxrwxr-x+ 2 mari mari 4096 dets 25 14:55 test</pre>
Näeme, et kausta test õiguste lõpus on märk "+", see näitab, et kasutusel on ACL.

<h5>Näide 2</h5>

* lisa kasutajale ja lisa grupile õiguste andmine
<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused],g:[grupi_nimi]:[õigused] [kausta/faili nimi]</pre>
* lisame kasutajale toomas ja grupile tudengid õiguse vaadata ja muuta kausta test
<pre size="3">setfacl -m u:toomas:rw-,g:tudengid:rw- test</pre>
* tulemus vaadatud käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
user:toomas:rw-
group::rwx
group:tudengid:rw-
mask::rwx
other::r-x</pre>
Näeme, et nii kasutaja toomas kui grupp tudengid on lisandunud pääsupiiramisloendisse. Ning nad on saanud õigused r ja w kaustale test.
<h5>Näide 3</h5>
Mida tähendab pääsupiiramisloendis olev '''mask'''?
Maskiga on võimalik piirata ACLiga loodud kasutaja ja grupi õiguseid (omaniku õiguseid mask ei muuda). Mask määrab maksimaalsed õigused.
* Anname kasutajale jaan ja grupile tudengid nii vaatamise, muutmise kui käivitamsie õigused, kuid maskile määrame ainult vaatamise õigused
<pre size="3">setfacl -m u:jaan:rwx,g:marjuline:rwx test</pre>
<pre size="3">setfacl -m mask::r-- test</pre>
*tulemus vaadatuna käsuga getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rwx #effective:r--
user:toomas:rw- #effective:r--
group::rwx #effective:r--
group:tudengid:rwx #effective:r--
mask::r--
other::r-x
</pre>
Kuigi jaan sai õigused: rwx, on maski tõttu tal ainult õigus:r.
''effective'' näitab kehtivaid õiguseid

<h5>Näide 4</h5>
*ACL õiguste eemaldamine
<pre size="3">setfacl -x u:[kasutaja_nimi] [kausta/ faili nimi]</pre>
*eemaldame jaani ja toomase ACLiga antud õigused
<pre size="3">setfacl -x u:jaan,u:toomas test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
group:tudengid:rwx
mask::rwx
other::r-x
</pre>
Näeme, et jaani ja toomast ei ole enam pääsupiiramisloendis,küll aga on alles grupp tudengid
<h5>Näide 5</h5>
ACL õiguste täielik eemaldamine
<pre size="3">setfacl -b [kausta faili nimi]</pre>
<pre size="3">setfacl -b test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>
<h5>Näide 6</h5>
*määrame kaustale/ failile uued õigused
<pre size="3">setfacl --set u::[õigused],g::[õigused],o::[õigused],u:[kasutaja_nimi]:[õigused] [kasuta/ faili_nimi]</pre>
* määrame kaustale test uued õigused kasutades --set võtit. Antud võtit kasutades tuleb kindalsti määrata ka omaniku, grupi ning teiste õigused.
<pre size="3">setfacl --set u::rwx,g::rw,o::-,u:jaan:r test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:r--
group::rw-
mask::rw-
other::---</pre>
<h5>Näide 7</h5>
Kui on vajalik kasutada sarnaseid õiguseid mitmel korral tasub töö lihtsustamiseks luua tekstifail, mis sisaldab ACL õiguseid.
Nt võib faili sisu olla selline
<pre size="3">user:jaan:rw-
user:toomas:rw-
group:tudengid:r--
mask::rw-
other::---
</pre>
*Failis kirjeldatud õiguste kasutamine
<pre size="3">setfacl -M [fail_kus_on_õigustekirjeldus] [fail_millele_määran_õigused]</pre>
*määran failis minu_acl kirjeldatud õigused failidele test1, test2, test3

<pre size="3">setfacl -M minu_acl test*</pre>
*tulemus getfacl test1

<pre size="3"># file: test1
# owner: mari
# group: mari
user::rw-
user:jaan:rw-
user:toomas:rw-
group::rw-
group:tudengid:r--
mask::rw-
other::---</pre>

==mv ja cp==

*mv käsklus säilitab ACLiga määratud õigused alati kui see on võimalik, kui võimalus puudub, siis kuvatakse hoiatus
*cp säilitab ACL õigused, kui seda kasutatakse koos võtmega -p või -a

==Kokkuvõte==

ACL võimaldab paindlikumalt juurdepääsuõiguseid määrata ning lubab seda teha ka tavakasutajal.

== Kasutatud kirjandus ==
# http://www.vanemery.com/Linux/ACL/linux-acl.html
#
#

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Access Control List

2014-12-25T15:55:37Z

Kroasto: /* Näited */

==Autor==

2014/2015 Kadri Roasto AK21

2010 Arvi Alamaa

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Tegemist on laiendatud failiõigussüsteemiga. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) omanikule, grupile ja teistele kasutajatele. ACL võimaldab juurdepääsuõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACL-is määrata õigused nimeliselt kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutaja kui tavakasutaja õigustes. Alljärgneva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.
Näidetes kasutatud ACL versioon on acl 2.2.52 -1.

== Kuidas pääsupiiramisloend toimib? ==

Tüüpilises pääsupiiramisloendis määratakse igas kirjes <i>(ACE ehk Access Control Entrie)</i> subjekt <i>(näiteks User või Group)</i> ja sellele kaasnevad õigused. Kui subjekt tahab sooritada mingeid operatsioone antud objektiga siis pääsupiiramisloendil põhinevas turvamudelis operatsioonisüsteem kõigepealt otsib loendist vastavad kirjed, et otsustada kas nõutud operatsioon on lubatud või mitte.

== Pääsupiiramisloendi tüübid ==

=== System Access Control List (SACL) ===

SACL võimaldab administraatoritel pidada logi selle kohta, kes on üritanud ligipääseda kaitstud objektile ning milliseid operatsioone on seal sooritatud. Kuna iga kirje kajastab, mis tüüpi ligipääsuga on tegemist ning kes üritas ligi pääseda, salvestatakse need andmed logi faili <i>(security event log)</i>, mida saab vaadata Event Viewer's. Pääsuloendi kirjed <i>(Access Control Entries)</i> SACL's saavad genereerida auditi salvestatud kirjeid, kui ligipääsu katse nurjub või õnnestub.

=== Discretionary Access Control List (DACL) ===

DACL ehk valikuline pääsupiiramisloend tähendab seda, et objekti omanikul või loojal on täielik õigus piirata ligipääsu antud objektile, samas ka niimoodi, et ligipääs lubatakse kõikidele teistele. Süsteemil on kohustuslik pääsupiirang siis, kui see allub üle terve süsteemi kehtivatele piirangutele, mis on pääsupiiramisloendis määratletud õigustest tähtsamad. Harilikud pääsupiiramisloendite süsteemid määravad õiguseid üksikutele kasutajatele, mis võib suure kasutajahulga puhul tülikaks osutuda. Uuemas, rollidel põhinevas pääsupiirangus, antakse õiguseid rollidele, ning rolle jaotatakse omakorda kasutajatele.

== Network Access Control List ==

Networking ACL on pääsuloend, mis niiöelda filtreerib võrguliiklust. Ruuter vaatleb igat andmepaketti, et kindlaks teha, kas saata see edasi või jätta see maha, põhinedes pääsuloedisse määratud kriteeriumitest. Pääsuloednisse määratud kriteeriumid võivad olla näiteks kasutaja MAC aaddress, IP aadress ja pordi number.

== Filesystem Access Control List ==

Failisüsteemides on peamiseks piiramise vahendiks kasutajatunnus või grupi nimi, kus määratakse nende õigused. Loend on andmestruktuur, harilikult tabel, mis sisaldab kirjeid üksikute kasutajate või rühmade õigustest kindlatele süsteemiobjektidele, nagu programmid, protsessid, või failid. Linux-is, Mac OS X-is, OpenVS-is, ning Windows-is nimetatakse neid kirjeid pääsupiiramiskirjeteks <i>(ingl.k. Access Control Entries)</i>. Igal ligipääsetaval objektil on selle pääsupiiramisloendile suunav tunnus. Kindlaid ligipääsuõiguseid määravad õigused: näiteks kas kasutajal on lubatud objektist lugeda, sinna kirjutada, ning seda käivitada. Mõningad pääsupiiramisloendid on võimelised piirama seda, kas kasutajal või nende rühmal on lubatud objekti pääsupiiramisloendit muuta.

== Kuidas kasutada pääsupiiramisloendit failisüsteemides? ==

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne. Et kindel olla, kas kasutatav failisüsteem toetab ACLi tuleb lugeda dokumentatsiooni.

==Käsu formaat==

Peamiselt kasutatakse kahte käsku oma võtmetega.

<font size="4">'''getfacl''' [võti] fail ...</font>

<font size="4">'''setfacl''' [võti] { -m|-M|-x|-X ... } fail ...</font>

<h5>Võtmete kirjeldusi</h5>

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
| style="width: 150px;" |'''-h'''
|style="width: 150px;" |'''--help'''
|käsu info

|-
|'''-v'''
|'''--version'''
|versiooni info
|}

getfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-a'''
|'''--access'''
|kuvab pääsukontrolli nimekirja

|-
|'''-c'''
|'''--omit-header'''
|pääsukontrolli nimekirja kuvamine kommentaarideta (kuvab pääsukontrollinimekirja ilma faili, omaniku ning grupi nimeta)

|-
|'''-n'''
|'''--numeric'''
|kuvab kasutajate/gruppide numbrilised ID-d

|-
|'''-R'''
|'''--recursive'''
|kuvab ka alamkataloogide ACL õigused
|}

settfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|muudab kehtivat faili ACLi

|-
|'''-M'''
|'''--modify-file=file'''
|loeb ACLi kirjet failist ning muudab vastavalt loetule

|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL kirjed faililt
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|-
|'''--set'''
|
|määrab ACLi failile, asendab kehtivad õigused
|}

==Näited==

Näited on teostatud tavakasutaja õigustes. Näidetes on määratud õigused kasutades tähekombinatsioone: rwx; võib kasutada ka numbrilist õiguste määramist.

<h5>Näide 1</h5>

* faili/kausta õiguste kuvamine
<pre size="3">getfacl <faili/kausta_nimi></pre>
* Kuvame kausta nimega test õigused:
<font size="3">getfacl test</font>
* tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>

Esimesed kolm rida väljastavad kausta nime, omaniku ning grupi, järgenvad kolm rida näitavad kasutaja, grupi ja teiste õiguseid. See on minimaalne ACL. Hetkel ei ole kuvatud infot, mida ei saaks mõne põhikäsuga.

* lisame kasutajale jaan õiguse vaadata ja muuta kausta test:

<pre size="3">setfacl -m u:jaan:rw- test</pre>
*tulemus vaadatuna käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
group::rwx
mask::rwx
other::r-x
</pre>
Näeme, et pääsupiiramisloendisse on lisandunud kasutaja jaan õigustega vaadata ja muuta kausta test.

*tulemus vaadatuna käsuga ls -l
<pre size="3">drwxrwxr-x+ 2 mari mari 4096 dets 25 14:55 test</pre>
Näeme, et kausta test õiguste lõpus on märk "+", see näitab, et kasutusel on ACL.

<h5>Näide 2</h5>

* lisa kasutajale ja lisa grupile õiguste andmine
<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused],g:[grupi_nimi]:[õigused] [kausta/faili nimi]</pre>
* lisame kasutajale toomas ja grupile tudengid õiguse vaadata ja muuta kausta test
<pre size="3">setfacl -m u:toomas:rw-,g:tudengid:rw- test</pre>
* tulemus vaadatud käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
user:toomas:rw-
group::rwx
group:tudengid:rw-
mask::rwx
other::r-x</pre>
Näeme, et nii kasutaja toomas kui grupp tudengid on lisandunud pääsupiiramisloendisse. Ning nad on saanud õigused r ja w kaustale test.
<h5>Näide 3</h5>
Mida tähendab pääsupiiramisloendis olev '''mask'''?
Maskiga on võimalik piirata ACLiga loodud kasutaja ja grupi õiguseid (omaniku õiguseid mask ei muuda). Mask määrab maksimaalsed õigused.
* Anname kasutajale jaan ja grupile tudengid nii vaatamise, muutmise kui käivitamsie õigused, kuid maskile määrame ainult vaatamise õigused
<pre size="3">setfacl -m u:jaan:rwx,g:marjuline:rwx test</pre>
<pre size="3">setfacl -m mask::r-- test</pre>
*tulemus vaadatuna käsuga getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rwx #effective:r--
user:toomas:rw- #effective:r--
group::rwx #effective:r--
group:tudengid:rwx #effective:r--
mask::r--
other::r-x
</pre>
Kuigi jaan sai õigused: rwx, on maski tõttu tal ainult õigus:r.
''effective'' näitab kehtivaid õiguseid

<h5>Näide 4</h5>
*ACL õiguste eemaldamine
<pre size="3">setfacl -x u:[kasutaja_nimi] [kausta/ faili nimi]</pre>
*eemaldame jaani ja toomase ACLiga antud õigused
<pre size="3">setfacl -x u:jaan,u:toomas test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
group:tudengid:rwx
mask::rwx
other::r-x
</pre>
Näeme, et jaani ja toomast ei ole enam pääsupiiramisloendis,küll aga on alles grupp tudengid
<h5>Näide 5</h5>
ACL õiguste täielik eemaldamine
<pre size="3">setfacl -b [kausta faili nimi]</pre>
<pre size="3">setfacl -b test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>
<h5>Näide 6</h5>
*määrame kaustale/ failile uued õigused
<pre size="3">setfacl --set u::[õigused],g::[õigused],o::[õigused],u:[kasutaja_nimi]:[õigused] [kasuta/ faili_nimi]</pre>
* määrame kaustale test uued õigused kasutades --set võtit. Antud võtit kasutades tuleb kindalsti määrata ka omaniku, grupi ning teiste õigused.
<pre size="3">setfacl --set u::rwx,g::rw,o::-,u:jaan:r test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:r--
group::rw-
mask::rw-
other::---</pre>
<h5>Näide 7</h5>
Kui on vajalik kasutada sarnaseid õiguseid mitmel korral tasub töö lihtsustamiseks luua tekstifail, mis sisaldab ACL õiguseid.
Nt võib faili sisu olla selline
<pre size="3">user:jaan:rw-
user:toomas:rw-
group:tudengid:r--
mask::rw-
other::---
</pre>
*Failis kirjeldatud õiguste kasutamine
<pre size="3">setfacl -M [fail_kus_on_õigustekirjeldus] [fail_millele_määran_õigused]</pre>
*määran failis minu_acl kirjeldatud õigused failidele test1, test2, test3

<pre size="3">setfacl -M minu_acl test*</pre>
*tulemus getfacl test1

<pre size="3"># file: test1
# owner: mari
# group: mari
user::rw-
user:jaan:rw-
user:toomas:rw-
group::rw-
group:tudengid:r--
mask::rw-
other::---</pre>

==mv ja cp==

*mv käsklus säilitab ACLiga määratud õigused alati kui see on võimalik, kui võimalus puudub, siis kuvatakse hoiatus
*cp säilitab ACL õigused, kui seda kasutatakse koos võtmega -p või -a

==Kokkuvõte==

ACL võimaldab paindlikumalt juurdepääsuõiguseid määrata ning lubab seda teha ka tavakasutajal.

== Kasutatud kirjandus ==
# http://www.vanemery.com/Linux/ACL/linux-acl.html
#
#

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Access Control List

2014-12-25T15:47:11Z

Kroasto: /* Sissejuhatus */

==Autor==

2014/2015 Kadri Roasto AK21

2010 Arvi Alamaa

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Tegemist on laiendatud failiõigussüsteemiga. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) omanikule, grupile ja teistele kasutajatele. ACL võimaldab juurdepääsuõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACL-is määrata õigused nimeliselt kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutaja kui tavakasutaja õigustes. Alljärgneva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.
Näidetes kasutatud ACL versioon on acl 2.2.52 -1.

== Kuidas pääsupiiramisloend toimib? ==

Tüüpilises pääsupiiramisloendis määratakse igas kirjes <i>(ACE ehk Access Control Entrie)</i> subjekt <i>(näiteks User või Group)</i> ja sellele kaasnevad õigused. Kui subjekt tahab sooritada mingeid operatsioone antud objektiga siis pääsupiiramisloendil põhinevas turvamudelis operatsioonisüsteem kõigepealt otsib loendist vastavad kirjed, et otsustada kas nõutud operatsioon on lubatud või mitte.

== Pääsupiiramisloendi tüübid ==

=== System Access Control List (SACL) ===

SACL võimaldab administraatoritel pidada logi selle kohta, kes on üritanud ligipääseda kaitstud objektile ning milliseid operatsioone on seal sooritatud. Kuna iga kirje kajastab, mis tüüpi ligipääsuga on tegemist ning kes üritas ligi pääseda, salvestatakse need andmed logi faili <i>(security event log)</i>, mida saab vaadata Event Viewer's. Pääsuloendi kirjed <i>(Access Control Entries)</i> SACL's saavad genereerida auditi salvestatud kirjeid, kui ligipääsu katse nurjub või õnnestub.

=== Discretionary Access Control List (DACL) ===

DACL ehk valikuline pääsupiiramisloend tähendab seda, et objekti omanikul või loojal on täielik õigus piirata ligipääsu antud objektile, samas ka niimoodi, et ligipääs lubatakse kõikidele teistele. Süsteemil on kohustuslik pääsupiirang siis, kui see allub üle terve süsteemi kehtivatele piirangutele, mis on pääsupiiramisloendis määratletud õigustest tähtsamad. Harilikud pääsupiiramisloendite süsteemid määravad õiguseid üksikutele kasutajatele, mis võib suure kasutajahulga puhul tülikaks osutuda. Uuemas, rollidel põhinevas pääsupiirangus, antakse õiguseid rollidele, ning rolle jaotatakse omakorda kasutajatele.

== Network Access Control List ==

Networking ACL on pääsuloend, mis niiöelda filtreerib võrguliiklust. Ruuter vaatleb igat andmepaketti, et kindlaks teha, kas saata see edasi või jätta see maha, põhinedes pääsuloedisse määratud kriteeriumitest. Pääsuloednisse määratud kriteeriumid võivad olla näiteks kasutaja MAC aaddress, IP aadress ja pordi number.

== Filesystem Access Control List ==

Failisüsteemides on peamiseks piiramise vahendiks kasutajatunnus või grupi nimi, kus määratakse nende õigused. Loend on andmestruktuur, harilikult tabel, mis sisaldab kirjeid üksikute kasutajate või rühmade õigustest kindlatele süsteemiobjektidele, nagu programmid, protsessid, või failid. Linux-is, Mac OS X-is, OpenVS-is, ning Windows-is nimetatakse neid kirjeid pääsupiiramiskirjeteks <i>(ingl.k. Access Control Entries)</i>. Igal ligipääsetaval objektil on selle pääsupiiramisloendile suunav tunnus. Kindlaid ligipääsuõiguseid määravad õigused: näiteks kas kasutajal on lubatud objektist lugeda, sinna kirjutada, ning seda käivitada. Mõningad pääsupiiramisloendid on võimelised piirama seda, kas kasutajal või nende rühmal on lubatud objekti pääsupiiramisloendit muuta.

== Kuidas kasutada pääsupiiramisloendit failisüsteemides? ==

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne. Et kindel olla, kas kasutatav failisüsteem toetab ACLi tuleb lugeda dokumentatsiooni.

==Käsu formaat==

Peamiselt kasutatakse kahte käsku oma võtmetega.

<font size="4">'''getfacl''' [võti] fail ...</font>

<font size="4">'''setfacl''' [võti] { -m|-M|-x|-X ... } fail ...</font>

<h5>Võtmete kirjeldusi</h5>

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
| style="width: 150px;" |'''-h'''
|style="width: 150px;" |'''--help'''
|käsu info

|-
|'''-v'''
|'''--version'''
|versiooni info
|}

getfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-a'''
|'''--access'''
|kuvab pääsukontrolli nimekirja

|-
|'''-c'''
|'''--omit-header'''
|pääsukontrolli nimekirja kuvamine kommentaarideta (kuvab pääsukontrollinimekirja ilma faili, omaniku ning grupi nimeta)

|-
|'''-n'''
|'''--numeric'''
|kuvab kasutajate/gruppide numbrilised ID-d

|-
|'''-R'''
|'''--recursive'''
|kuvab ka alamkataloogide ACL õigused
|}

settfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|muudab kehtivat faili ACLi

|-
|'''-M'''
|'''--modify-file=file'''
|loeb ACLi kirjet failist ning muudab vastavalt loetule

|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL kirjed faililt
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|-
|'''--set'''
|
|määrab ACLi failile, asendab kehtivad õigused
|}

==Näited==

Näited on teostatud tavakasutaja õigustes. Näidetes on määratud õigused kasutades viisi: r,w,x, võib kasutada ka numbrilist õiguste määramist.

<h5>Näide 1</h5>

* faili/kausta õiguste kuvamine
<pre size="3">getfacl <faili/kausta_nimi></pre>
* Kuvame kausta nimega test õigused:
<font size="3">getfacl test</font>
* tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>

Esimesed kolm rida väljastavad kausta nime, omaniku ning grupi, järgenvad kolm rida näitavad kasutaja, grupi ja teiste õiguseid. See on minimaalne ACL. Hetkel ei ole kuvatud infot, mida ei saaks mõne põhikäsuga.

* lisame kasutajale jaan õiguse vaadata ja muuta kausta test:

<pre size="3">setfacl -m u:jaan:rw- test</pre>
*tulemus vaadatuna käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
group::rwx
mask::rwx
other::r-x
</pre>
Näeme, et pääsupiiramisloendisse on lisandunud kasutaja jaan õigustega vaadata ja muuta kausta test.

*tulemus vaadatuna käsuga ls -l
<pre size="3">drwxrwxr-x+ 2 mari mari 4096 dets 25 14:55 test</pre>
Näeme, et kausta test õiguste lõpus on märk "+", see näitab, et kasutusel on ACL.

<h5>Näide 2</h5>

* lisa kasutajale ja lisa grupile õiguste andmine
<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused],g:[grupi_nimi]:[õigused] [kausta/faili nimi]</pre>
* lisame kasutajale toomas ja grupile tudengid õiguse vaadata ja muuta kausta test
<pre size="3">setfacl -m u:toomas:rw-,g:tudengid:rw- test</pre>
* tulemus vaadatud käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
user:toomas:rw-
group::rwx
group:tudengid:rw-
mask::rwx
other::r-x</pre>
Näeme, et nii kasutaja toomas kui grupp tudengid on lisandunud pääsupiiramisloendisse. Ning nad on saanud õigused r ja w kaustale test.
<h5>Näide 3</h5>
Mida tähendab pääsupiiramisloendis olev '''mask'''?
Maskiga on võimalik piirata ACLiga loodud kasutaja ja grupi õiguseid (omaniku õiguseid mask ei muuda). Mask määrab maksimaalsed õigused.
* Anname kasutajale jaan ja grupile tudengid nii vaatamise, muutmise kui käivitamsie õigused, kuid maskile määrame ainult vaatamise õigused
<pre size="3">setfacl -m u:jaan:rwx,g:marjuline:rwx test</pre>
<pre size="3">setfacl -m mask::r-- test</pre>
*tulemus vaadatuna käsuga getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rwx #effective:r--
user:toomas:rw- #effective:r--
group::rwx #effective:r--
group:tudengid:rwx #effective:r--
mask::r--
other::r-x
</pre>
Kuigi jaan sai õigused: rwx, on maski tõttu tal ainult õigus:r.
''effective'' näitab kehtivaid õiguseid

<h5>Näide 4</h5>
*ACL õiguste eemaldamine
<pre size="3">setfacl -x u:[kasutaja_nimi] [kausta/ faili nimi]</pre>
*eemaldame jaani ja toomase ACLiga antud õigused
<pre size="3">setfacl -x u:jaan,u:toomas test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
group:tudengid:rwx
mask::rwx
other::r-x
</pre>
Näeme, et jaani ja toomast ei ole enam pääsupiiramisloendis,küll aga on alles grupp tudengid
<h5>Näide 5</h5>
ACL õiguste täielik eemaldamine
<pre size="3">setfacl -b [kausta faili nimi]</pre>
<pre size="3">setfacl -b test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>
<h5>Näide 6</h5>
*määrame kaustale/ failile uued õigused
<pre size="3">setfacl --set u::[õigused],g::[õigused],o::[õigused],u:[kasutaja_nimi]:[õigused] [kasuta/ faili_nimi]</pre>
* määrame kaustale test uued õigused kasutades --set võtit. Antud võtit kasutades tuleb kindalsti määrata ka omaniku, grupi ning teiste õigused.
<pre size="3">setfacl --set u::rwx,g::rw,o::-,u:jaan:r test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:r--
group::rw-
mask::rw-
other::---</pre>
<h5>Näide 7</h5>
Kui on vajalik kasutada sarnaseid õiguseid mitmel korral tasub töö lihtsustamiseks luua tekstifail, mis sisaldab ACL õiguseid.
Nt võib faili sisu olla selline
<pre size="3">user:jaan:rw-
user:toomas:rw-
group:tudengid:r--
mask::rw-
other::---
</pre>
*Failis kirjeldatud õiguste kasutamine
<pre size="3">setfacl -M [fail_kus_on_õigustekirjeldus] [fail_millele_määran_õigused]</pre>
*määran failis minu_acl kirjeldatud õigused failidele test1, test2, test3

<pre size="3">setfacl -M minu_acl test*</pre>
*tulemus getfacl test1

<pre size="3"># file: test1
# owner: mari
# group: mari
user::rw-
user:jaan:rw-
user:toomas:rw-
group::rw-
group:tudengid:r--
mask::rw-
other::---</pre>

==mv ja cp==

*mv käsklus säilitab ACLiga määratud õigused alati kui see on võimalik, kui võimalus puudub, siis kuvatakse hoiatus
*cp säilitab ACL õigused, kui seda kasutatakse koos võtmega -p või -a

==Kokkuvõte==

ACL võimaldab paindlikumalt juurdepääsuõiguseid määrata ning lubab seda teha ka tavakasutajal.

== Kasutatud kirjandus ==
# http://www.vanemery.com/Linux/ACL/linux-acl.html
#
#

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Access Control List

2014-12-25T15:23:39Z

Kroasto: /* Sissejuhatus */

==Autor==

2014/2015 Kadri Roasto AK21

2010 Arvi Alamaa

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) kolmele kasutajagrupile (''owner''-omanik, ''group''- grupp ja ''others''- teised). ACL võimaldab pääsupiiramisõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACLis määrata õigused nimeliselt lisa kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutajal kui tavakasutajal. Alljärgenva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.

== Kuidas pääsupiiramisloend toimib? ==

Tüüpilises pääsupiiramisloendis määratakse igas kirjes <i>(ACE ehk Access Control Entrie)</i> subjekt <i>(näiteks User või Group)</i> ja sellele kaasnevad õigused. Kui subjekt tahab sooritada mingeid operatsioone antud objektiga siis pääsupiiramisloendil põhinevas turvamudelis operatsioonisüsteem kõigepealt otsib loendist vastavad kirjed, et otsustada kas nõutud operatsioon on lubatud või mitte.

== Pääsupiiramisloendi tüübid ==

=== System Access Control List (SACL) ===

SACL võimaldab administraatoritel pidada logi selle kohta, kes on üritanud ligipääseda kaitstud objektile ning milliseid operatsioone on seal sooritatud. Kuna iga kirje kajastab, mis tüüpi ligipääsuga on tegemist ning kes üritas ligi pääseda, salvestatakse need andmed logi faili <i>(security event log)</i>, mida saab vaadata Event Viewer's. Pääsuloendi kirjed <i>(Access Control Entries)</i> SACL's saavad genereerida auditi salvestatud kirjeid, kui ligipääsu katse nurjub või õnnestub.

=== Discretionary Access Control List (DACL) ===

DACL ehk valikuline pääsupiiramisloend tähendab seda, et objekti omanikul või loojal on täielik õigus piirata ligipääsu antud objektile, samas ka niimoodi, et ligipääs lubatakse kõikidele teistele. Süsteemil on kohustuslik pääsupiirang siis, kui see allub üle terve süsteemi kehtivatele piirangutele, mis on pääsupiiramisloendis määratletud õigustest tähtsamad. Harilikud pääsupiiramisloendite süsteemid määravad õiguseid üksikutele kasutajatele, mis võib suure kasutajahulga puhul tülikaks osutuda. Uuemas, rollidel põhinevas pääsupiirangus, antakse õiguseid rollidele, ning rolle jaotatakse omakorda kasutajatele.

== Network Access Control List ==

Networking ACL on pääsuloend, mis niiöelda filtreerib võrguliiklust. Ruuter vaatleb igat andmepaketti, et kindlaks teha, kas saata see edasi või jätta see maha, põhinedes pääsuloedisse määratud kriteeriumitest. Pääsuloednisse määratud kriteeriumid võivad olla näiteks kasutaja MAC aaddress, IP aadress ja pordi number.

== Filesystem Access Control List ==

Failisüsteemides on peamiseks piiramise vahendiks kasutajatunnus või grupi nimi, kus määratakse nende õigused. Loend on andmestruktuur, harilikult tabel, mis sisaldab kirjeid üksikute kasutajate või rühmade õigustest kindlatele süsteemiobjektidele, nagu programmid, protsessid, või failid. Linux-is, Mac OS X-is, OpenVS-is, ning Windows-is nimetatakse neid kirjeid pääsupiiramiskirjeteks <i>(ingl.k. Access Control Entries)</i>. Igal ligipääsetaval objektil on selle pääsupiiramisloendile suunav tunnus. Kindlaid ligipääsuõiguseid määravad õigused: näiteks kas kasutajal on lubatud objektist lugeda, sinna kirjutada, ning seda käivitada. Mõningad pääsupiiramisloendid on võimelised piirama seda, kas kasutajal või nende rühmal on lubatud objekti pääsupiiramisloendit muuta.

== Kuidas kasutada pääsupiiramisloendit failisüsteemides? ==

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne. Et kindel olla, kas kasutatav failisüsteem toetab ACLi tuleb lugeda dokumentatsiooni.

==Käsu formaat==

Peamiselt kasutatakse kahte käsku oma võtmetega.

<font size="4">'''getfacl''' [võti] fail ...</font>

<font size="4">'''setfacl''' [võti] { -m|-M|-x|-X ... } fail ...</font>

<h5>Võtmete kirjeldusi</h5>

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
| style="width: 150px;" |'''-h'''
|style="width: 150px;" |'''--help'''
|käsu info

|-
|'''-v'''
|'''--version'''
|versiooni info
|}

getfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-a'''
|'''--access'''
|kuvab pääsukontrolli nimekirja

|-
|'''-c'''
|'''--omit-header'''
|pääsukontrolli nimekirja kuvamine kommentaarideta (kuvab pääsukontrollinimekirja ilma faili, omaniku ning grupi nimeta)

|-
|'''-n'''
|'''--numeric'''
|kuvab kasutajate/gruppide numbrilised ID-d

|-
|'''-R'''
|'''--recursive'''
|kuvab ka alamkataloogide ACL õigused
|}

settfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|muudab kehtivat faili ACLi

|-
|'''-M'''
|'''--modify-file=file'''
|loeb ACLi kirjet failist ning muudab vastavalt loetule

|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL kirjed faililt
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|-
|'''--set'''
|
|määrab ACLi failile, asendab kehtivad õigused
|}

==Näited==

Näited on teostatud tavakasutaja õigustes. Näidetes on määratud õigused kasutades viisi: r,w,x, võib kasutada ka numbrilist õiguste määramist.

<h5>Näide 1</h5>

* faili/kausta õiguste kuvamine
<pre size="3">getfacl <faili/kausta_nimi></pre>
* Kuvame kausta nimega test õigused:
<font size="3">getfacl test</font>
* tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>

Esimesed kolm rida väljastavad kausta nime, omaniku ning grupi, järgenvad kolm rida näitavad kasutaja, grupi ja teiste õiguseid. See on minimaalne ACL. Hetkel ei ole kuvatud infot, mida ei saaks mõne põhikäsuga.

* lisame kasutajale jaan õiguse vaadata ja muuta kausta test:

<pre size="3">setfacl -m u:jaan:rw- test</pre>
*tulemus vaadatuna käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
group::rwx
mask::rwx
other::r-x
</pre>
Näeme, et pääsupiiramisloendisse on lisandunud kasutaja jaan õigustega vaadata ja muuta kausta test.

*tulemus vaadatuna käsuga ls -l
<pre size="3">drwxrwxr-x+ 2 mari mari 4096 dets 25 14:55 test</pre>
Näeme, et kausta test õiguste lõpus on märk "+", see näitab, et kasutusel on ACL.

<h5>Näide 2</h5>

* lisa kasutajale ja lisa grupile õiguste andmine
<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused],g:[grupi_nimi]:[õigused] [kausta/faili nimi]</pre>
* lisame kasutajale toomas ja grupile tudengid õiguse vaadata ja muuta kausta test
<pre size="3">setfacl -m u:toomas:rw-,g:tudengid:rw- test</pre>
* tulemus vaadatud käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
user:toomas:rw-
group::rwx
group:tudengid:rw-
mask::rwx
other::r-x</pre>
Näeme, et nii kasutaja toomas kui grupp tudengid on lisandunud pääsupiiramisloendisse. Ning nad on saanud õigused r ja w kaustale test.
<h5>Näide 3</h5>
Mida tähendab pääsupiiramisloendis olev '''mask'''?
Maskiga on võimalik piirata ACLiga loodud kasutaja ja grupi õiguseid (omaniku õiguseid mask ei muuda). Mask määrab maksimaalsed õigused.
* Anname kasutajale jaan ja grupile tudengid nii vaatamise, muutmise kui käivitamsie õigused, kuid maskile määrame ainult vaatamise õigused
<pre size="3">setfacl -m u:jaan:rwx,g:marjuline:rwx test</pre>
<pre size="3">setfacl -m mask::r-- test</pre>
*tulemus vaadatuna käsuga getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rwx #effective:r--
user:toomas:rw- #effective:r--
group::rwx #effective:r--
group:tudengid:rwx #effective:r--
mask::r--
other::r-x
</pre>
Kuigi jaan sai õigused: rwx, on maski tõttu tal ainult õigus:r.
''effective'' näitab kehtivaid õiguseid

<h5>Näide 4</h5>
*ACL õiguste eemaldamine
<pre size="3">setfacl -x u:[kasutaja_nimi] [kausta/ faili nimi]</pre>
*eemaldame jaani ja toomase ACLiga antud õigused
<pre size="3">setfacl -x u:jaan,u:toomas test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
group:tudengid:rwx
mask::rwx
other::r-x
</pre>
Näeme, et jaani ja toomast ei ole enam pääsupiiramisloendis,küll aga on alles grupp tudengid
<h5>Näide 5</h5>
ACL õiguste täielik eemaldamine
<pre size="3">setfacl -b [kausta faili nimi]</pre>
<pre size="3">setfacl -b test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>
<h5>Näide 6</h5>
*määrame kaustale/ failile uued õigused
<pre size="3">setfacl --set u::[õigused],g::[õigused],o::[õigused],u:[kasutaja_nimi]:[õigused] [kasuta/ faili_nimi]</pre>
* määrame kaustale test uued õigused kasutades --set võtit. Antud võtit kasutades tuleb kindalsti määrata ka omaniku, grupi ning teiste õigused.
<pre size="3">setfacl --set u::rwx,g::rw,o::-,u:jaan:r test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:r--
group::rw-
mask::rw-
other::---</pre>
<h5>Näide 7</h5>
Kui on vajalik kasutada sarnaseid õiguseid mitmel korral tasub töö lihtsustamiseks luua tekstifail, mis sisaldab ACL õiguseid.
Nt võib faili sisu olla selline
<pre size="3">user:jaan:rw-
user:toomas:rw-
group:tudengid:r--
mask::rw-
other::---
</pre>
*Failis kirjeldatud õiguste kasutamine
<pre size="3">setfacl -M [fail_kus_on_õigustekirjeldus] [fail_millele_määran_õigused]</pre>
*määran failis minu_acl kirjeldatud õigused failidele test1, test2, test3

<pre size="3">setfacl -M minu_acl test*</pre>
*tulemus getfacl test1

<pre size="3"># file: test1
# owner: mari
# group: mari
user::rw-
user:jaan:rw-
user:toomas:rw-
group::rw-
group:tudengid:r--
mask::rw-
other::---</pre>

==mv ja cp==

*mv käsklus säilitab ACLiga määratud õigused alati kui see on võimalik, kui võimalus puudub, siis kuvatakse hoiatus
*cp säilitab ACL õigused, kui seda kasutatakse koos võtmega -p või -a

==Kokkuvõte==

ACL võimaldab paindlikumalt juurdepääsuõiguseid määrata ning lubab seda teha ka tavakasutajal.

== Kasutatud kirjandus ==
# http://www.vanemery.com/Linux/ACL/linux-acl.html
#
#

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Access Control List

2014-12-25T15:23:27Z

Kroasto: /* Autor */

==Autor==

2014/2015 Kadri Roasto AK21

2010 Arvi Alamaa

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) kolmele kasutajagrupile (''owner''-omanik, ''group''- grupp ja ''others''- teised). ACL võimaldab pääsupiiramisõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACLis määrata õigused nimeliselt lisa kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutajal kui tavakasutajal. Alljärgenva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.

== Kuidas pääsupiiramisloend toimib? ==

Tüüpilises pääsupiiramisloendis määratakse igas kirjes <i>(ACE ehk Access Control Entrie)</i> subjekt <i>(näiteks User või Group)</i> ja sellele kaasnevad õigused. Kui subjekt tahab sooritada mingeid operatsioone antud objektiga siis pääsupiiramisloendil põhinevas turvamudelis operatsioonisüsteem kõigepealt otsib loendist vastavad kirjed, et otsustada kas nõutud operatsioon on lubatud või mitte.

== Pääsupiiramisloendi tüübid ==

=== System Access Control List (SACL) ===

SACL võimaldab administraatoritel pidada logi selle kohta, kes on üritanud ligipääseda kaitstud objektile ning milliseid operatsioone on seal sooritatud. Kuna iga kirje kajastab, mis tüüpi ligipääsuga on tegemist ning kes üritas ligi pääseda, salvestatakse need andmed logi faili <i>(security event log)</i>, mida saab vaadata Event Viewer's. Pääsuloendi kirjed <i>(Access Control Entries)</i> SACL's saavad genereerida auditi salvestatud kirjeid, kui ligipääsu katse nurjub või õnnestub.

=== Discretionary Access Control List (DACL) ===

DACL ehk valikuline pääsupiiramisloend tähendab seda, et objekti omanikul või loojal on täielik õigus piirata ligipääsu antud objektile, samas ka niimoodi, et ligipääs lubatakse kõikidele teistele. Süsteemil on kohustuslik pääsupiirang siis, kui see allub üle terve süsteemi kehtivatele piirangutele, mis on pääsupiiramisloendis määratletud õigustest tähtsamad. Harilikud pääsupiiramisloendite süsteemid määravad õiguseid üksikutele kasutajatele, mis võib suure kasutajahulga puhul tülikaks osutuda. Uuemas, rollidel põhinevas pääsupiirangus, antakse õiguseid rollidele, ning rolle jaotatakse omakorda kasutajatele.

== Network Access Control List ==

Networking ACL on pääsuloend, mis niiöelda filtreerib võrguliiklust. Ruuter vaatleb igat andmepaketti, et kindlaks teha, kas saata see edasi või jätta see maha, põhinedes pääsuloedisse määratud kriteeriumitest. Pääsuloednisse määratud kriteeriumid võivad olla näiteks kasutaja MAC aaddress, IP aadress ja pordi number.

== Filesystem Access Control List ==

Failisüsteemides on peamiseks piiramise vahendiks kasutajatunnus või grupi nimi, kus määratakse nende õigused. Loend on andmestruktuur, harilikult tabel, mis sisaldab kirjeid üksikute kasutajate või rühmade õigustest kindlatele süsteemiobjektidele, nagu programmid, protsessid, või failid. Linux-is, Mac OS X-is, OpenVS-is, ning Windows-is nimetatakse neid kirjeid pääsupiiramiskirjeteks <i>(ingl.k. Access Control Entries)</i>. Igal ligipääsetaval objektil on selle pääsupiiramisloendile suunav tunnus. Kindlaid ligipääsuõiguseid määravad õigused: näiteks kas kasutajal on lubatud objektist lugeda, sinna kirjutada, ning seda käivitada. Mõningad pääsupiiramisloendid on võimelised piirama seda, kas kasutajal või nende rühmal on lubatud objekti pääsupiiramisloendit muuta.

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) kolmele kasutajagrupile (''owner''-omanik, ''group''- grupp ja ''others''- teised). ACL võimaldab pääsupiiramisõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACLis määrata õigused nimeliselt lisa kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutajal kui tavakasutajal. Alljärgenva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.

== Kuidas kasutada pääsupiiramisloendit failisüsteemides? ==

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne. Et kindel olla, kas kasutatav failisüsteem toetab ACLi tuleb lugeda dokumentatsiooni.

==Käsu formaat==

Peamiselt kasutatakse kahte käsku oma võtmetega.

<font size="4">'''getfacl''' [võti] fail ...</font>

<font size="4">'''setfacl''' [võti] { -m|-M|-x|-X ... } fail ...</font>

<h5>Võtmete kirjeldusi</h5>

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
| style="width: 150px;" |'''-h'''
|style="width: 150px;" |'''--help'''
|käsu info

|-
|'''-v'''
|'''--version'''
|versiooni info
|}

getfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-a'''
|'''--access'''
|kuvab pääsukontrolli nimekirja

|-
|'''-c'''
|'''--omit-header'''
|pääsukontrolli nimekirja kuvamine kommentaarideta (kuvab pääsukontrollinimekirja ilma faili, omaniku ning grupi nimeta)

|-
|'''-n'''
|'''--numeric'''
|kuvab kasutajate/gruppide numbrilised ID-d

|-
|'''-R'''
|'''--recursive'''
|kuvab ka alamkataloogide ACL õigused
|}

settfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|muudab kehtivat faili ACLi

|-
|'''-M'''
|'''--modify-file=file'''
|loeb ACLi kirjet failist ning muudab vastavalt loetule

|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL kirjed faililt
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|-
|'''--set'''
|
|määrab ACLi failile, asendab kehtivad õigused
|}

==Näited==

Näited on teostatud tavakasutaja õigustes. Näidetes on määratud õigused kasutades viisi: r,w,x, võib kasutada ka numbrilist õiguste määramist.

<h5>Näide 1</h5>

* faili/kausta õiguste kuvamine
<pre size="3">getfacl <faili/kausta_nimi></pre>
* Kuvame kausta nimega test õigused:
<font size="3">getfacl test</font>
* tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>

Esimesed kolm rida väljastavad kausta nime, omaniku ning grupi, järgenvad kolm rida näitavad kasutaja, grupi ja teiste õiguseid. See on minimaalne ACL. Hetkel ei ole kuvatud infot, mida ei saaks mõne põhikäsuga.

* lisame kasutajale jaan õiguse vaadata ja muuta kausta test:

<pre size="3">setfacl -m u:jaan:rw- test</pre>
*tulemus vaadatuna käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
group::rwx
mask::rwx
other::r-x
</pre>
Näeme, et pääsupiiramisloendisse on lisandunud kasutaja jaan õigustega vaadata ja muuta kausta test.

*tulemus vaadatuna käsuga ls -l
<pre size="3">drwxrwxr-x+ 2 mari mari 4096 dets 25 14:55 test</pre>
Näeme, et kausta test õiguste lõpus on märk "+", see näitab, et kasutusel on ACL.

<h5>Näide 2</h5>

* lisa kasutajale ja lisa grupile õiguste andmine
<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused],g:[grupi_nimi]:[õigused] [kausta/faili nimi]</pre>
* lisame kasutajale toomas ja grupile tudengid õiguse vaadata ja muuta kausta test
<pre size="3">setfacl -m u:toomas:rw-,g:tudengid:rw- test</pre>
* tulemus vaadatud käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
user:toomas:rw-
group::rwx
group:tudengid:rw-
mask::rwx
other::r-x</pre>
Näeme, et nii kasutaja toomas kui grupp tudengid on lisandunud pääsupiiramisloendisse. Ning nad on saanud õigused r ja w kaustale test.
<h5>Näide 3</h5>
Mida tähendab pääsupiiramisloendis olev '''mask'''?
Maskiga on võimalik piirata ACLiga loodud kasutaja ja grupi õiguseid (omaniku õiguseid mask ei muuda). Mask määrab maksimaalsed õigused.
* Anname kasutajale jaan ja grupile tudengid nii vaatamise, muutmise kui käivitamsie õigused, kuid maskile määrame ainult vaatamise õigused
<pre size="3">setfacl -m u:jaan:rwx,g:marjuline:rwx test</pre>
<pre size="3">setfacl -m mask::r-- test</pre>
*tulemus vaadatuna käsuga getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rwx #effective:r--
user:toomas:rw- #effective:r--
group::rwx #effective:r--
group:tudengid:rwx #effective:r--
mask::r--
other::r-x
</pre>
Kuigi jaan sai õigused: rwx, on maski tõttu tal ainult õigus:r.
''effective'' näitab kehtivaid õiguseid

<h5>Näide 4</h5>
*ACL õiguste eemaldamine
<pre size="3">setfacl -x u:[kasutaja_nimi] [kausta/ faili nimi]</pre>
*eemaldame jaani ja toomase ACLiga antud õigused
<pre size="3">setfacl -x u:jaan,u:toomas test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
group:tudengid:rwx
mask::rwx
other::r-x
</pre>
Näeme, et jaani ja toomast ei ole enam pääsupiiramisloendis,küll aga on alles grupp tudengid
<h5>Näide 5</h5>
ACL õiguste täielik eemaldamine
<pre size="3">setfacl -b [kausta faili nimi]</pre>
<pre size="3">setfacl -b test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>
<h5>Näide 6</h5>
*määrame kaustale/ failile uued õigused
<pre size="3">setfacl --set u::[õigused],g::[õigused],o::[õigused],u:[kasutaja_nimi]:[õigused] [kasuta/ faili_nimi]</pre>
* määrame kaustale test uued õigused kasutades --set võtit. Antud võtit kasutades tuleb kindalsti määrata ka omaniku, grupi ning teiste õigused.
<pre size="3">setfacl --set u::rwx,g::rw,o::-,u:jaan:r test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:r--
group::rw-
mask::rw-
other::---</pre>
<h5>Näide 7</h5>
Kui on vajalik kasutada sarnaseid õiguseid mitmel korral tasub töö lihtsustamiseks luua tekstifail, mis sisaldab ACL õiguseid.
Nt võib faili sisu olla selline
<pre size="3">user:jaan:rw-
user:toomas:rw-
group:tudengid:r--
mask::rw-
other::---
</pre>
*Failis kirjeldatud õiguste kasutamine
<pre size="3">setfacl -M [fail_kus_on_õigustekirjeldus] [fail_millele_määran_õigused]</pre>
*määran failis minu_acl kirjeldatud õigused failidele test1, test2, test3

<pre size="3">setfacl -M minu_acl test*</pre>
*tulemus getfacl test1

<pre size="3"># file: test1
# owner: mari
# group: mari
user::rw-
user:jaan:rw-
user:toomas:rw-
group::rw-
group:tudengid:r--
mask::rw-
other::---</pre>

==mv ja cp==

*mv käsklus säilitab ACLiga määratud õigused alati kui see on võimalik, kui võimalus puudub, siis kuvatakse hoiatus
*cp säilitab ACL õigused, kui seda kasutatakse koos võtmega -p või -a

==Kokkuvõte==

ACL võimaldab paindlikumalt juurdepääsuõiguseid määrata ning lubab seda teha ka tavakasutajal.

== Kasutatud kirjandus ==
# http://www.vanemery.com/Linux/ACL/linux-acl.html
#
#

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Access Control List

2014-12-25T15:17:33Z

Kroasto:

==Autor==

2014/2015 Kadri Roasto AK21

2010 Arvi Alamaa

== Kuidas pääsupiiramisloend toimib? ==

Tüüpilises pääsupiiramisloendis määratakse igas kirjes <i>(ACE ehk Access Control Entrie)</i> subjekt <i>(näiteks User või Group)</i> ja sellele kaasnevad õigused. Kui subjekt tahab sooritada mingeid operatsioone antud objektiga siis pääsupiiramisloendil põhinevas turvamudelis operatsioonisüsteem kõigepealt otsib loendist vastavad kirjed, et otsustada kas nõutud operatsioon on lubatud või mitte.

== Pääsupiiramisloendi tüübid ==

=== System Access Control List (SACL) ===

SACL võimaldab administraatoritel pidada logi selle kohta, kes on üritanud ligipääseda kaitstud objektile ning milliseid operatsioone on seal sooritatud. Kuna iga kirje kajastab, mis tüüpi ligipääsuga on tegemist ning kes üritas ligi pääseda, salvestatakse need andmed logi faili <i>(security event log)</i>, mida saab vaadata Event Viewer's. Pääsuloendi kirjed <i>(Access Control Entries)</i> SACL's saavad genereerida auditi salvestatud kirjeid, kui ligipääsu katse nurjub või õnnestub.

=== Discretionary Access Control List (DACL) ===

DACL ehk valikuline pääsupiiramisloend tähendab seda, et objekti omanikul või loojal on täielik õigus piirata ligipääsu antud objektile, samas ka niimoodi, et ligipääs lubatakse kõikidele teistele. Süsteemil on kohustuslik pääsupiirang siis, kui see allub üle terve süsteemi kehtivatele piirangutele, mis on pääsupiiramisloendis määratletud õigustest tähtsamad. Harilikud pääsupiiramisloendite süsteemid määravad õiguseid üksikutele kasutajatele, mis võib suure kasutajahulga puhul tülikaks osutuda. Uuemas, rollidel põhinevas pääsupiirangus, antakse õiguseid rollidele, ning rolle jaotatakse omakorda kasutajatele.

== Network Access Control List ==

Networking ACL on pääsuloend, mis niiöelda filtreerib võrguliiklust. Ruuter vaatleb igat andmepaketti, et kindlaks teha, kas saata see edasi või jätta see maha, põhinedes pääsuloedisse määratud kriteeriumitest. Pääsuloednisse määratud kriteeriumid võivad olla näiteks kasutaja MAC aaddress, IP aadress ja pordi number.

== Filesystem Access Control List ==

Failisüsteemides on peamiseks piiramise vahendiks kasutajatunnus või grupi nimi, kus määratakse nende õigused. Loend on andmestruktuur, harilikult tabel, mis sisaldab kirjeid üksikute kasutajate või rühmade õigustest kindlatele süsteemiobjektidele, nagu programmid, protsessid, või failid. Linux-is, Mac OS X-is, OpenVS-is, ning Windows-is nimetatakse neid kirjeid pääsupiiramiskirjeteks <i>(ingl.k. Access Control Entries)</i>. Igal ligipääsetaval objektil on selle pääsupiiramisloendile suunav tunnus. Kindlaid ligipääsuõiguseid määravad õigused: näiteks kas kasutajal on lubatud objektist lugeda, sinna kirjutada, ning seda käivitada. Mõningad pääsupiiramisloendid on võimelised piirama seda, kas kasutajal või nende rühmal on lubatud objekti pääsupiiramisloendit muuta.

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) kolmele kasutajagrupile (''owner''-omanik, ''group''- grupp ja ''others''- teised). ACL võimaldab pääsupiiramisõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACLis määrata õigused nimeliselt lisa kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutajal kui tavakasutajal. Alljärgenva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.

== Kuidas kasutada pääsupiiramisloendit failisüsteemides? ==

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne. Et kindel olla, kas kasutatav failisüsteem toetab ACLi tuleb lugeda dokumentatsiooni.

==Käsu formaat==

Peamiselt kasutatakse kahte käsku oma võtmetega.

<font size="4">'''getfacl''' [võti] fail ...</font>

<font size="4">'''setfacl''' [võti] { -m|-M|-x|-X ... } fail ...</font>

<h5>Võtmete kirjeldusi</h5>

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
| style="width: 150px;" |'''-h'''
|style="width: 150px;" |'''--help'''
|käsu info

|-
|'''-v'''
|'''--version'''
|versiooni info
|}

getfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-a'''
|'''--access'''
|kuvab pääsukontrolli nimekirja

|-
|'''-c'''
|'''--omit-header'''
|pääsukontrolli nimekirja kuvamine kommentaarideta (kuvab pääsukontrollinimekirja ilma faili, omaniku ning grupi nimeta)

|-
|'''-n'''
|'''--numeric'''
|kuvab kasutajate/gruppide numbrilised ID-d

|-
|'''-R'''
|'''--recursive'''
|kuvab ka alamkataloogide ACL õigused
|}

settfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|muudab kehtivat faili ACLi

|-
|'''-M'''
|'''--modify-file=file'''
|loeb ACLi kirjet failist ning muudab vastavalt loetule

|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL kirjed faililt
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|-
|'''--set'''
|
|määrab ACLi failile, asendab kehtivad õigused
|}

==Näited==

Näited on teostatud tavakasutaja õigustes. Näidetes on määratud õigused kasutades viisi: r,w,x, võib kasutada ka numbrilist õiguste määramist.

<h5>Näide 1</h5>

* faili/kausta õiguste kuvamine
<pre size="3">getfacl <faili/kausta_nimi></pre>
* Kuvame kausta nimega test õigused:
<font size="3">getfacl test</font>
* tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>

Esimesed kolm rida väljastavad kausta nime, omaniku ning grupi, järgenvad kolm rida näitavad kasutaja, grupi ja teiste õiguseid. See on minimaalne ACL. Hetkel ei ole kuvatud infot, mida ei saaks mõne põhikäsuga.

* lisame kasutajale jaan õiguse vaadata ja muuta kausta test:

<pre size="3">setfacl -m u:jaan:rw- test</pre>
*tulemus vaadatuna käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
group::rwx
mask::rwx
other::r-x
</pre>
Näeme, et pääsupiiramisloendisse on lisandunud kasutaja jaan õigustega vaadata ja muuta kausta test.

*tulemus vaadatuna käsuga ls -l
<pre size="3">drwxrwxr-x+ 2 mari mari 4096 dets 25 14:55 test</pre>
Näeme, et kausta test õiguste lõpus on märk "+", see näitab, et kasutusel on ACL.

<h5>Näide 2</h5>

* lisa kasutajale ja lisa grupile õiguste andmine
<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused],g:[grupi_nimi]:[õigused] [kausta/faili nimi]</pre>
* lisame kasutajale toomas ja grupile tudengid õiguse vaadata ja muuta kausta test
<pre size="3">setfacl -m u:toomas:rw-,g:tudengid:rw- test</pre>
* tulemus vaadatud käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
user:toomas:rw-
group::rwx
group:tudengid:rw-
mask::rwx
other::r-x</pre>
Näeme, et nii kasutaja toomas kui grupp tudengid on lisandunud pääsupiiramisloendisse. Ning nad on saanud õigused r ja w kaustale test.
<h5>Näide 3</h5>
Mida tähendab pääsupiiramisloendis olev '''mask'''?
Maskiga on võimalik piirata ACLiga loodud kasutaja ja grupi õiguseid (omaniku õiguseid mask ei muuda). Mask määrab maksimaalsed õigused.
* Anname kasutajale jaan ja grupile tudengid nii vaatamise, muutmise kui käivitamsie õigused, kuid maskile määrame ainult vaatamise õigused
<pre size="3">setfacl -m u:jaan:rwx,g:marjuline:rwx test</pre>
<pre size="3">setfacl -m mask::r-- test</pre>
*tulemus vaadatuna käsuga getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rwx #effective:r--
user:toomas:rw- #effective:r--
group::rwx #effective:r--
group:tudengid:rwx #effective:r--
mask::r--
other::r-x
</pre>
Kuigi jaan sai õigused: rwx, on maski tõttu tal ainult õigus:r.
''effective'' näitab kehtivaid õiguseid

<h5>Näide 4</h5>
*ACL õiguste eemaldamine
<pre size="3">setfacl -x u:[kasutaja_nimi] [kausta/ faili nimi]</pre>
*eemaldame jaani ja toomase ACLiga antud õigused
<pre size="3">setfacl -x u:jaan,u:toomas test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
group:tudengid:rwx
mask::rwx
other::r-x
</pre>
Näeme, et jaani ja toomast ei ole enam pääsupiiramisloendis,küll aga on alles grupp tudengid
<h5>Näide 5</h5>
ACL õiguste täielik eemaldamine
<pre size="3">setfacl -b [kausta faili nimi]</pre>
<pre size="3">setfacl -b test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>
<h5>Näide 6</h5>
*määrame kaustale/ failile uued õigused
<pre size="3">setfacl --set u::[õigused],g::[õigused],o::[õigused],u:[kasutaja_nimi]:[õigused] [kasuta/ faili_nimi]</pre>
* määrame kaustale test uued õigused kasutades --set võtit. Antud võtit kasutades tuleb kindalsti määrata ka omaniku, grupi ning teiste õigused.
<pre size="3">setfacl --set u::rwx,g::rw,o::-,u:jaan:r test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:r--
group::rw-
mask::rw-
other::---</pre>
<h5>Näide 7</h5>
Kui on vajalik kasutada sarnaseid õiguseid mitmel korral tasub töö lihtsustamiseks luua tekstifail, mis sisaldab ACL õiguseid.
Nt võib faili sisu olla selline
<pre size="3">user:jaan:rw-
user:toomas:rw-
group:tudengid:r--
mask::rw-
other::---
</pre>
*Failis kirjeldatud õiguste kasutamine
<pre size="3">setfacl -M [fail_kus_on_õigustekirjeldus] [fail_millele_määran_õigused]</pre>
*määran failis minu_acl kirjeldatud õigused failidele test1, test2, test3

<pre size="3">setfacl -M minu_acl test*</pre>
*tulemus getfacl test1

<pre size="3"># file: test1
# owner: mari
# group: mari
user::rw-
user:jaan:rw-
user:toomas:rw-
group::rw-
group:tudengid:r--
mask::rw-
other::---</pre>

==mv ja cp==

*mv käsklus säilitab ACLiga määratud õigused alati kui see on võimalik, kui võimalus puudub, siis kuvatakse hoiatus
*cp säilitab ACL õigused, kui seda kasutatakse koos võtmega -p või -a

==Kokkuvõte==

ACL võimaldab paindlikumalt juurdepääsuõiguseid määrata ning lubab seda teha ka tavakasutajal.

== Kasutatud kirjandus ==
# http://www.vanemery.com/Linux/ACL/linux-acl.html
#
#

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Access Control List

2014-12-25T15:17:13Z

Kroasto:

'''Pääsupiiramisloend(ACL ehk Access Control List)'''

==Autor==

2014/2015 Kadri Roasto AK21

2010 Arvi Alamaa

== Kuidas pääsupiiramisloend toimib? ==

Tüüpilises pääsupiiramisloendis määratakse igas kirjes <i>(ACE ehk Access Control Entrie)</i> subjekt <i>(näiteks User või Group)</i> ja sellele kaasnevad õigused. Kui subjekt tahab sooritada mingeid operatsioone antud objektiga siis pääsupiiramisloendil põhinevas turvamudelis operatsioonisüsteem kõigepealt otsib loendist vastavad kirjed, et otsustada kas nõutud operatsioon on lubatud või mitte.

== Pääsupiiramisloendi tüübid ==

=== System Access Control List (SACL) ===

SACL võimaldab administraatoritel pidada logi selle kohta, kes on üritanud ligipääseda kaitstud objektile ning milliseid operatsioone on seal sooritatud. Kuna iga kirje kajastab, mis tüüpi ligipääsuga on tegemist ning kes üritas ligi pääseda, salvestatakse need andmed logi faili <i>(security event log)</i>, mida saab vaadata Event Viewer's. Pääsuloendi kirjed <i>(Access Control Entries)</i> SACL's saavad genereerida auditi salvestatud kirjeid, kui ligipääsu katse nurjub või õnnestub.

=== Discretionary Access Control List (DACL) ===

DACL ehk valikuline pääsupiiramisloend tähendab seda, et objekti omanikul või loojal on täielik õigus piirata ligipääsu antud objektile, samas ka niimoodi, et ligipääs lubatakse kõikidele teistele. Süsteemil on kohustuslik pääsupiirang siis, kui see allub üle terve süsteemi kehtivatele piirangutele, mis on pääsupiiramisloendis määratletud õigustest tähtsamad. Harilikud pääsupiiramisloendite süsteemid määravad õiguseid üksikutele kasutajatele, mis võib suure kasutajahulga puhul tülikaks osutuda. Uuemas, rollidel põhinevas pääsupiirangus, antakse õiguseid rollidele, ning rolle jaotatakse omakorda kasutajatele.

== Network Access Control List ==

Networking ACL on pääsuloend, mis niiöelda filtreerib võrguliiklust. Ruuter vaatleb igat andmepaketti, et kindlaks teha, kas saata see edasi või jätta see maha, põhinedes pääsuloedisse määratud kriteeriumitest. Pääsuloednisse määratud kriteeriumid võivad olla näiteks kasutaja MAC aaddress, IP aadress ja pordi number.

== Filesystem Access Control List ==

Failisüsteemides on peamiseks piiramise vahendiks kasutajatunnus või grupi nimi, kus määratakse nende õigused. Loend on andmestruktuur, harilikult tabel, mis sisaldab kirjeid üksikute kasutajate või rühmade õigustest kindlatele süsteemiobjektidele, nagu programmid, protsessid, või failid. Linux-is, Mac OS X-is, OpenVS-is, ning Windows-is nimetatakse neid kirjeid pääsupiiramiskirjeteks <i>(ingl.k. Access Control Entries)</i>. Igal ligipääsetaval objektil on selle pääsupiiramisloendile suunav tunnus. Kindlaid ligipääsuõiguseid määravad õigused: näiteks kas kasutajal on lubatud objektist lugeda, sinna kirjutada, ning seda käivitada. Mõningad pääsupiiramisloendid on võimelised piirama seda, kas kasutajal või nende rühmal on lubatud objekti pääsupiiramisloendit muuta.

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) kolmele kasutajagrupile (''owner''-omanik, ''group''- grupp ja ''others''- teised). ACL võimaldab pääsupiiramisõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACLis määrata õigused nimeliselt lisa kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutajal kui tavakasutajal. Alljärgenva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.

== Kuidas kasutada pääsupiiramisloendit failisüsteemides? ==

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne. Et kindel olla, kas kasutatav failisüsteem toetab ACLi tuleb lugeda dokumentatsiooni.

==Käsu formaat==

Peamiselt kasutatakse kahte käsku oma võtmetega.

<font size="4">'''getfacl''' [võti] fail ...</font>

<font size="4">'''setfacl''' [võti] { -m|-M|-x|-X ... } fail ...</font>

<h5>Võtmete kirjeldusi</h5>

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
| style="width: 150px;" |'''-h'''
|style="width: 150px;" |'''--help'''
|käsu info

|-
|'''-v'''
|'''--version'''
|versiooni info
|}

getfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-a'''
|'''--access'''
|kuvab pääsukontrolli nimekirja

|-
|'''-c'''
|'''--omit-header'''
|pääsukontrolli nimekirja kuvamine kommentaarideta (kuvab pääsukontrollinimekirja ilma faili, omaniku ning grupi nimeta)

|-
|'''-n'''
|'''--numeric'''
|kuvab kasutajate/gruppide numbrilised ID-d

|-
|'''-R'''
|'''--recursive'''
|kuvab ka alamkataloogide ACL õigused
|}

settfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|muudab kehtivat faili ACLi

|-
|'''-M'''
|'''--modify-file=file'''
|loeb ACLi kirjet failist ning muudab vastavalt loetule

|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL kirjed faililt
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|-
|'''--set'''
|
|määrab ACLi failile, asendab kehtivad õigused
|}

==Näited==

Näited on teostatud tavakasutaja õigustes. Näidetes on määratud õigused kasutades viisi: r,w,x, võib kasutada ka numbrilist õiguste määramist.

<h5>Näide 1</h5>

* faili/kausta õiguste kuvamine
<pre size="3">getfacl <faili/kausta_nimi></pre>
* Kuvame kausta nimega test õigused:
<font size="3">getfacl test</font>
* tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>

Esimesed kolm rida väljastavad kausta nime, omaniku ning grupi, järgenvad kolm rida näitavad kasutaja, grupi ja teiste õiguseid. See on minimaalne ACL. Hetkel ei ole kuvatud infot, mida ei saaks mõne põhikäsuga.

* lisame kasutajale jaan õiguse vaadata ja muuta kausta test:

<pre size="3">setfacl -m u:jaan:rw- test</pre>
*tulemus vaadatuna käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
group::rwx
mask::rwx
other::r-x
</pre>
Näeme, et pääsupiiramisloendisse on lisandunud kasutaja jaan õigustega vaadata ja muuta kausta test.

*tulemus vaadatuna käsuga ls -l
<pre size="3">drwxrwxr-x+ 2 mari mari 4096 dets 25 14:55 test</pre>
Näeme, et kausta test õiguste lõpus on märk "+", see näitab, et kasutusel on ACL.

<h5>Näide 2</h5>

* lisa kasutajale ja lisa grupile õiguste andmine
<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused],g:[grupi_nimi]:[õigused] [kausta/faili nimi]</pre>
* lisame kasutajale toomas ja grupile tudengid õiguse vaadata ja muuta kausta test
<pre size="3">setfacl -m u:toomas:rw-,g:tudengid:rw- test</pre>
* tulemus vaadatud käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
user:toomas:rw-
group::rwx
group:tudengid:rw-
mask::rwx
other::r-x</pre>
Näeme, et nii kasutaja toomas kui grupp tudengid on lisandunud pääsupiiramisloendisse. Ning nad on saanud õigused r ja w kaustale test.
<h5>Näide 3</h5>
Mida tähendab pääsupiiramisloendis olev '''mask'''?
Maskiga on võimalik piirata ACLiga loodud kasutaja ja grupi õiguseid (omaniku õiguseid mask ei muuda). Mask määrab maksimaalsed õigused.
* Anname kasutajale jaan ja grupile tudengid nii vaatamise, muutmise kui käivitamsie õigused, kuid maskile määrame ainult vaatamise õigused
<pre size="3">setfacl -m u:jaan:rwx,g:marjuline:rwx test</pre>
<pre size="3">setfacl -m mask::r-- test</pre>
*tulemus vaadatuna käsuga getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rwx #effective:r--
user:toomas:rw- #effective:r--
group::rwx #effective:r--
group:tudengid:rwx #effective:r--
mask::r--
other::r-x
</pre>
Kuigi jaan sai õigused: rwx, on maski tõttu tal ainult õigus:r.
''effective'' näitab kehtivaid õiguseid

<h5>Näide 4</h5>
*ACL õiguste eemaldamine
<pre size="3">setfacl -x u:[kasutaja_nimi] [kausta/ faili nimi]</pre>
*eemaldame jaani ja toomase ACLiga antud õigused
<pre size="3">setfacl -x u:jaan,u:toomas test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
group:tudengid:rwx
mask::rwx
other::r-x
</pre>
Näeme, et jaani ja toomast ei ole enam pääsupiiramisloendis,küll aga on alles grupp tudengid
<h5>Näide 5</h5>
ACL õiguste täielik eemaldamine
<pre size="3">setfacl -b [kausta faili nimi]</pre>
<pre size="3">setfacl -b test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>
<h5>Näide 6</h5>
*määrame kaustale/ failile uued õigused
<pre size="3">setfacl --set u::[õigused],g::[õigused],o::[õigused],u:[kasutaja_nimi]:[õigused] [kasuta/ faili_nimi]</pre>
* määrame kaustale test uued õigused kasutades --set võtit. Antud võtit kasutades tuleb kindalsti määrata ka omaniku, grupi ning teiste õigused.
<pre size="3">setfacl --set u::rwx,g::rw,o::-,u:jaan:r test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:r--
group::rw-
mask::rw-
other::---</pre>
<h5>Näide 7</h5>
Kui on vajalik kasutada sarnaseid õiguseid mitmel korral tasub töö lihtsustamiseks luua tekstifail, mis sisaldab ACL õiguseid.
Nt võib faili sisu olla selline
<pre size="3">user:jaan:rw-
user:toomas:rw-
group:tudengid:r--
mask::rw-
other::---
</pre>
*Failis kirjeldatud õiguste kasutamine
<pre size="3">setfacl -M [fail_kus_on_õigustekirjeldus] [fail_millele_määran_õigused]</pre>
*määran failis minu_acl kirjeldatud õigused failidele test1, test2, test3

<pre size="3">setfacl -M minu_acl test*</pre>
*tulemus getfacl test1

<pre size="3"># file: test1
# owner: mari
# group: mari
user::rw-
user:jaan:rw-
user:toomas:rw-
group::rw-
group:tudengid:r--
mask::rw-
other::---</pre>

==mv ja cp==

*mv käsklus säilitab ACLiga määratud õigused alati kui see on võimalik, kui võimalus puudub, siis kuvatakse hoiatus
*cp säilitab ACL õigused, kui seda kasutatakse koos võtmega -p või -a

==Kokkuvõte==

ACL võimaldab paindlikumalt juurdepääsuõiguseid määrata ning lubab seda teha ka tavakasutajal.

== Kasutatud kirjandus ==
# http://www.vanemery.com/Linux/ACL/linux-acl.html
#
#

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Access Control List

2014-12-25T15:10:37Z

Kroasto: /* Kasutatud kirjandus */

'''Pääsupiiramisloend''' <i>(ACL ehk Access Control List)</i> on rida õigusi, mis on lisatud teatud objektile. Pääsupiiramisloend koosneb pääsupiiramiskirjetest, mis iseloomustab operatsioone, mis on kasutajal või grupil keelatud või lubatud. Pääsuloend täpsustab millised kasutajad või süsteemi protsessid on lubatud ligi pääseda teatud objektile ning millised operatsioonid on lubatud teha antud objektiga.

==Autor==

2014/2015 Kadri Roasto AK21

2010 Arvi Alamaa

== Kuidas pääsupiiramisloend toimib? ==

Tüüpilises pääsupiiramisloendis määratakse igas kirjes <i>(ACE ehk Access Control Entrie)</i> subjekt <i>(näiteks User või Group)</i> ja sellele kaasnevad õigused. Kui subjekt tahab sooritada mingeid operatsioone antud objektiga siis pääsupiiramisloendil põhinevas turvamudelis operatsioonisüsteem kõigepealt otsib loendist vastavad kirjed, et otsustada kas nõutud operatsioon on lubatud või mitte.

== Pääsupiiramisloendi tüübid ==

=== System Access Control List (SACL) ===

SACL võimaldab administraatoritel pidada logi selle kohta, kes on üritanud ligipääseda kaitstud objektile ning milliseid operatsioone on seal sooritatud. Kuna iga kirje kajastab, mis tüüpi ligipääsuga on tegemist ning kes üritas ligi pääseda, salvestatakse need andmed logi faili <i>(security event log)</i>, mida saab vaadata Event Viewer's. Pääsuloendi kirjed <i>(Access Control Entries)</i> SACL's saavad genereerida auditi salvestatud kirjeid, kui ligipääsu katse nurjub või õnnestub.

=== Discretionary Access Control List (DACL) ===

DACL ehk valikuline pääsupiiramisloend tähendab seda, et objekti omanikul või loojal on täielik õigus piirata ligipääsu antud objektile, samas ka niimoodi, et ligipääs lubatakse kõikidele teistele. Süsteemil on kohustuslik pääsupiirang siis, kui see allub üle terve süsteemi kehtivatele piirangutele, mis on pääsupiiramisloendis määratletud õigustest tähtsamad. Harilikud pääsupiiramisloendite süsteemid määravad õiguseid üksikutele kasutajatele, mis võib suure kasutajahulga puhul tülikaks osutuda. Uuemas, rollidel põhinevas pääsupiirangus, antakse õiguseid rollidele, ning rolle jaotatakse omakorda kasutajatele.

== Network Access Control List ==

Networking ACL on pääsuloend, mis niiöelda filtreerib võrguliiklust. Ruuter vaatleb igat andmepaketti, et kindlaks teha, kas saata see edasi või jätta see maha, põhinedes pääsuloedisse määratud kriteeriumitest. Pääsuloednisse määratud kriteeriumid võivad olla näiteks kasutaja MAC aaddress, IP aadress ja pordi number.

== Filesystem Access Control List ==

Failisüsteemides on peamiseks piiramise vahendiks kasutajatunnus või grupi nimi, kus määratakse nende õigused. Loend on andmestruktuur, harilikult tabel, mis sisaldab kirjeid üksikute kasutajate või rühmade õigustest kindlatele süsteemiobjektidele, nagu programmid, protsessid, või failid. Linux-is, Mac OS X-is, OpenVS-is, ning Windows-is nimetatakse neid kirjeid pääsupiiramiskirjeteks <i>(ingl.k. Access Control Entries)</i>. Igal ligipääsetaval objektil on selle pääsupiiramisloendile suunav tunnus. Kindlaid ligipääsuõiguseid määravad õigused: näiteks kas kasutajal on lubatud objektist lugeda, sinna kirjutada, ning seda käivitada. Mõningad pääsupiiramisloendid on võimelised piirama seda, kas kasutajal või nende rühmal on lubatud objekti pääsupiiramisloendit muuta.

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) kolmele kasutajagrupile (''owner''-omanik, ''group''- grupp ja ''others''- teised). ACL võimaldab pääsupiiramisõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACLis määrata õigused nimeliselt lisa kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutajal kui tavakasutajal. Alljärgenva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.

== Kuidas kasutada pääsupiiramisloendit failisüsteemides? ==

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne. Et kindel olla, kas kasutatav failisüsteem toetab ACLi tuleb lugeda dokumentatsiooni.

==Käsu formaat==

Peamiselt kasutatakse kahte käsku oma võtmetega.

<font size="4">'''getfacl''' [võti] fail ...</font>

<font size="4">'''setfacl''' [võti] { -m|-M|-x|-X ... } fail ...</font>

<h5>Võtmete kirjeldusi</h5>

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
| style="width: 150px;" |'''-h'''
|style="width: 150px;" |'''--help'''
|käsu info

|-
|'''-v'''
|'''--version'''
|versiooni info
|}

getfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-a'''
|'''--access'''
|kuvab pääsukontrolli nimekirja

|-
|'''-c'''
|'''--omit-header'''
|pääsukontrolli nimekirja kuvamine kommentaarideta (kuvab pääsukontrollinimekirja ilma faili, omaniku ning grupi nimeta)

|-
|'''-n'''
|'''--numeric'''
|kuvab kasutajate/gruppide numbrilised ID-d

|-
|'''-R'''
|'''--recursive'''
|kuvab ka alamkataloogide ACL õigused
|}

settfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|muudab kehtivat faili ACLi

|-
|'''-M'''
|'''--modify-file=file'''
|loeb ACLi kirjet failist ning muudab vastavalt loetule

|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL kirjed faililt
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|-
|'''--set'''
|
|määrab ACLi failile, asendab kehtivad õigused
|}

==Näited==

Näited on teostatud tavakasutaja õigustes. Näidetes on määratud õigused kasutades viisi: r,w,x, võib kasutada ka numbrilist õiguste määramist.

<h5>Näide 1</h5>

* faili/kausta õiguste kuvamine
<pre size="3">getfacl <faili/kausta_nimi></pre>
* Kuvame kausta nimega test õigused:
<font size="3">getfacl test</font>
* tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>

Esimesed kolm rida väljastavad kausta nime, omaniku ning grupi, järgenvad kolm rida näitavad kasutaja, grupi ja teiste õiguseid. See on minimaalne ACL. Hetkel ei ole kuvatud infot, mida ei saaks mõne põhikäsuga.

* lisame kasutajale jaan õiguse vaadata ja muuta kausta test:

<pre size="3">setfacl -m u:jaan:rw- test</pre>
*tulemus vaadatuna käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
group::rwx
mask::rwx
other::r-x
</pre>
Näeme, et pääsupiiramisloendisse on lisandunud kasutaja jaan õigustega vaadata ja muuta kausta test.

*tulemus vaadatuna käsuga ls -l
<pre size="3">drwxrwxr-x+ 2 mari mari 4096 dets 25 14:55 test</pre>
Näeme, et kausta test õiguste lõpus on märk "+", see näitab, et kasutusel on ACL.

<h5>Näide 2</h5>

* lisa kasutajale ja lisa grupile õiguste andmine
<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused],g:[grupi_nimi]:[õigused] [kausta/faili nimi]</pre>
* lisame kasutajale toomas ja grupile tudengid õiguse vaadata ja muuta kausta test
<pre size="3">setfacl -m u:toomas:rw-,g:tudengid:rw- test</pre>
* tulemus vaadatud käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
user:toomas:rw-
group::rwx
group:tudengid:rw-
mask::rwx
other::r-x</pre>
Näeme, et nii kasutaja toomas kui grupp tudengid on lisandunud pääsupiiramisloendisse. Ning nad on saanud õigused r ja w kaustale test.
<h5>Näide 3</h5>
Mida tähendab pääsupiiramisloendis olev '''mask'''?
Maskiga on võimalik piirata ACLiga loodud kasutaja ja grupi õiguseid (omaniku õiguseid mask ei muuda). Mask määrab maksimaalsed õigused.
* Anname kasutajale jaan ja grupile tudengid nii vaatamise, muutmise kui käivitamsie õigused, kuid maskile määrame ainult vaatamise õigused
<pre size="3">setfacl -m u:jaan:rwx,g:marjuline:rwx test</pre>
<pre size="3">setfacl -m mask::r-- test</pre>
*tulemus vaadatuna käsuga getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rwx #effective:r--
user:toomas:rw- #effective:r--
group::rwx #effective:r--
group:tudengid:rwx #effective:r--
mask::r--
other::r-x
</pre>
Kuigi jaan sai õigused: rwx, on maski tõttu tal ainult õigus:r.
''effective'' näitab kehtivaid õiguseid

<h5>Näide 4</h5>
*ACL õiguste eemaldamine
<pre size="3">setfacl -x u:[kasutaja_nimi] [kausta/ faili nimi]</pre>
*eemaldame jaani ja toomase ACLiga antud õigused
<pre size="3">setfacl -x u:jaan,u:toomas test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
group:tudengid:rwx
mask::rwx
other::r-x
</pre>
Näeme, et jaani ja toomast ei ole enam pääsupiiramisloendis,küll aga on alles grupp tudengid
<h5>Näide 5</h5>
ACL õiguste täielik eemaldamine
<pre size="3">setfacl -b [kausta faili nimi]</pre>
<pre size="3">setfacl -b test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>
<h5>Näide 6</h5>
*määrame kaustale/ failile uued õigused
<pre size="3">setfacl --set u::[õigused],g::[õigused],o::[õigused],u:[kasutaja_nimi]:[õigused] [kasuta/ faili_nimi]</pre>
* määrame kaustale test uued õigused kasutades --set võtit. Antud võtit kasutades tuleb kindalsti määrata ka omaniku, grupi ning teiste õigused.
<pre size="3">setfacl --set u::rwx,g::rw,o::-,u:jaan:r test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:r--
group::rw-
mask::rw-
other::---</pre>
<h5>Näide 7</h5>
Kui on vajalik kasutada sarnaseid õiguseid mitmel korral tasub töö lihtsustamiseks luua tekstifail, mis sisaldab ACL õiguseid.
Nt võib faili sisu olla selline
<pre size="3">user:jaan:rw-
user:toomas:rw-
group:tudengid:r--
mask::rw-
other::---
</pre>
*Failis kirjeldatud õiguste kasutamine
<pre size="3">setfacl -M [fail_kus_on_õigustekirjeldus] [fail_millele_määran_õigused]</pre>
*määran failis minu_acl kirjeldatud õigused failidele test1, test2, test3

<pre size="3">setfacl -M minu_acl test*</pre>
*tulemus getfacl test1

<pre size="3"># file: test1
# owner: mari
# group: mari
user::rw-
user:jaan:rw-
user:toomas:rw-
group::rw-
group:tudengid:r--
mask::rw-
other::---</pre>

==mv ja cp==

*mv käsklus säilitab ACLiga määratud õigused alati kui see on võimalik, kui võimalus puudub, siis kuvatakse hoiatus
*cp säilitab ACL õigused, kui seda kasutatakse koos võtmega -p või -a

==Kokkuvõte==

ACL võimaldab paindlikumalt juurdepääsuõiguseid määrata ning lubab seda teha ka tavakasutajal.

== Kasutatud kirjandus ==
# http://www.vanemery.com/Linux/ACL/linux-acl.html
#
#

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Access Control List

2014-12-25T15:07:48Z

Kroasto: /* Kasutatud kirjandus */

'''Pääsupiiramisloend''' <i>(ACL ehk Access Control List)</i> on rida õigusi, mis on lisatud teatud objektile. Pääsupiiramisloend koosneb pääsupiiramiskirjetest, mis iseloomustab operatsioone, mis on kasutajal või grupil keelatud või lubatud. Pääsuloend täpsustab millised kasutajad või süsteemi protsessid on lubatud ligi pääseda teatud objektile ning millised operatsioonid on lubatud teha antud objektiga.

==Autor==

2014/2015 Kadri Roasto AK21

2010 Arvi Alamaa

== Kuidas pääsupiiramisloend toimib? ==

Tüüpilises pääsupiiramisloendis määratakse igas kirjes <i>(ACE ehk Access Control Entrie)</i> subjekt <i>(näiteks User või Group)</i> ja sellele kaasnevad õigused. Kui subjekt tahab sooritada mingeid operatsioone antud objektiga siis pääsupiiramisloendil põhinevas turvamudelis operatsioonisüsteem kõigepealt otsib loendist vastavad kirjed, et otsustada kas nõutud operatsioon on lubatud või mitte.

== Pääsupiiramisloendi tüübid ==

=== System Access Control List (SACL) ===

SACL võimaldab administraatoritel pidada logi selle kohta, kes on üritanud ligipääseda kaitstud objektile ning milliseid operatsioone on seal sooritatud. Kuna iga kirje kajastab, mis tüüpi ligipääsuga on tegemist ning kes üritas ligi pääseda, salvestatakse need andmed logi faili <i>(security event log)</i>, mida saab vaadata Event Viewer's. Pääsuloendi kirjed <i>(Access Control Entries)</i> SACL's saavad genereerida auditi salvestatud kirjeid, kui ligipääsu katse nurjub või õnnestub.

=== Discretionary Access Control List (DACL) ===

DACL ehk valikuline pääsupiiramisloend tähendab seda, et objekti omanikul või loojal on täielik õigus piirata ligipääsu antud objektile, samas ka niimoodi, et ligipääs lubatakse kõikidele teistele. Süsteemil on kohustuslik pääsupiirang siis, kui see allub üle terve süsteemi kehtivatele piirangutele, mis on pääsupiiramisloendis määratletud õigustest tähtsamad. Harilikud pääsupiiramisloendite süsteemid määravad õiguseid üksikutele kasutajatele, mis võib suure kasutajahulga puhul tülikaks osutuda. Uuemas, rollidel põhinevas pääsupiirangus, antakse õiguseid rollidele, ning rolle jaotatakse omakorda kasutajatele.

== Network Access Control List ==

Networking ACL on pääsuloend, mis niiöelda filtreerib võrguliiklust. Ruuter vaatleb igat andmepaketti, et kindlaks teha, kas saata see edasi või jätta see maha, põhinedes pääsuloedisse määratud kriteeriumitest. Pääsuloednisse määratud kriteeriumid võivad olla näiteks kasutaja MAC aaddress, IP aadress ja pordi number.

== Filesystem Access Control List ==

Failisüsteemides on peamiseks piiramise vahendiks kasutajatunnus või grupi nimi, kus määratakse nende õigused. Loend on andmestruktuur, harilikult tabel, mis sisaldab kirjeid üksikute kasutajate või rühmade õigustest kindlatele süsteemiobjektidele, nagu programmid, protsessid, või failid. Linux-is, Mac OS X-is, OpenVS-is, ning Windows-is nimetatakse neid kirjeid pääsupiiramiskirjeteks <i>(ingl.k. Access Control Entries)</i>. Igal ligipääsetaval objektil on selle pääsupiiramisloendile suunav tunnus. Kindlaid ligipääsuõiguseid määravad õigused: näiteks kas kasutajal on lubatud objektist lugeda, sinna kirjutada, ning seda käivitada. Mõningad pääsupiiramisloendid on võimelised piirama seda, kas kasutajal või nende rühmal on lubatud objekti pääsupiiramisloendit muuta.

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) kolmele kasutajagrupile (''owner''-omanik, ''group''- grupp ja ''others''- teised). ACL võimaldab pääsupiiramisõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACLis määrata õigused nimeliselt lisa kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutajal kui tavakasutajal. Alljärgenva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.

== Kuidas kasutada pääsupiiramisloendit failisüsteemides? ==

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne. Et kindel olla, kas kasutatav failisüsteem toetab ACLi tuleb lugeda dokumentatsiooni.

==Käsu formaat==

Peamiselt kasutatakse kahte käsku oma võtmetega.

<font size="4">'''getfacl''' [võti] fail ...</font>

<font size="4">'''setfacl''' [võti] { -m|-M|-x|-X ... } fail ...</font>

<h5>Võtmete kirjeldusi</h5>

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
| style="width: 150px;" |'''-h'''
|style="width: 150px;" |'''--help'''
|käsu info

|-
|'''-v'''
|'''--version'''
|versiooni info
|}

getfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-a'''
|'''--access'''
|kuvab pääsukontrolli nimekirja

|-
|'''-c'''
|'''--omit-header'''
|pääsukontrolli nimekirja kuvamine kommentaarideta (kuvab pääsukontrollinimekirja ilma faili, omaniku ning grupi nimeta)

|-
|'''-n'''
|'''--numeric'''
|kuvab kasutajate/gruppide numbrilised ID-d

|-
|'''-R'''
|'''--recursive'''
|kuvab ka alamkataloogide ACL õigused
|}

settfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|muudab kehtivat faili ACLi

|-
|'''-M'''
|'''--modify-file=file'''
|loeb ACLi kirjet failist ning muudab vastavalt loetule

|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL kirjed faililt
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|-
|'''--set'''
|
|määrab ACLi failile, asendab kehtivad õigused
|}

==Näited==

Näited on teostatud tavakasutaja õigustes. Näidetes on määratud õigused kasutades viisi: r,w,x, võib kasutada ka numbrilist õiguste määramist.

<h5>Näide 1</h5>

* faili/kausta õiguste kuvamine
<pre size="3">getfacl <faili/kausta_nimi></pre>
* Kuvame kausta nimega test õigused:
<font size="3">getfacl test</font>
* tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>

Esimesed kolm rida väljastavad kausta nime, omaniku ning grupi, järgenvad kolm rida näitavad kasutaja, grupi ja teiste õiguseid. See on minimaalne ACL. Hetkel ei ole kuvatud infot, mida ei saaks mõne põhikäsuga.

* lisame kasutajale jaan õiguse vaadata ja muuta kausta test:

<pre size="3">setfacl -m u:jaan:rw- test</pre>
*tulemus vaadatuna käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
group::rwx
mask::rwx
other::r-x
</pre>
Näeme, et pääsupiiramisloendisse on lisandunud kasutaja jaan õigustega vaadata ja muuta kausta test.

*tulemus vaadatuna käsuga ls -l
<pre size="3">drwxrwxr-x+ 2 mari mari 4096 dets 25 14:55 test</pre>
Näeme, et kausta test õiguste lõpus on märk "+", see näitab, et kasutusel on ACL.

<h5>Näide 2</h5>

* lisa kasutajale ja lisa grupile õiguste andmine
<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused],g:[grupi_nimi]:[õigused] [kausta/faili nimi]</pre>
* lisame kasutajale toomas ja grupile tudengid õiguse vaadata ja muuta kausta test
<pre size="3">setfacl -m u:toomas:rw-,g:tudengid:rw- test</pre>
* tulemus vaadatud käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
user:toomas:rw-
group::rwx
group:tudengid:rw-
mask::rwx
other::r-x</pre>
Näeme, et nii kasutaja toomas kui grupp tudengid on lisandunud pääsupiiramisloendisse. Ning nad on saanud õigused r ja w kaustale test.
<h5>Näide 3</h5>
Mida tähendab pääsupiiramisloendis olev '''mask'''?
Maskiga on võimalik piirata ACLiga loodud kasutaja ja grupi õiguseid (omaniku õiguseid mask ei muuda). Mask määrab maksimaalsed õigused.
* Anname kasutajale jaan ja grupile tudengid nii vaatamise, muutmise kui käivitamsie õigused, kuid maskile määrame ainult vaatamise õigused
<pre size="3">setfacl -m u:jaan:rwx,g:marjuline:rwx test</pre>
<pre size="3">setfacl -m mask::r-- test</pre>
*tulemus vaadatuna käsuga getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rwx #effective:r--
user:toomas:rw- #effective:r--
group::rwx #effective:r--
group:tudengid:rwx #effective:r--
mask::r--
other::r-x
</pre>
Kuigi jaan sai õigused: rwx, on maski tõttu tal ainult õigus:r.
''effective'' näitab kehtivaid õiguseid

<h5>Näide 4</h5>
*ACL õiguste eemaldamine
<pre size="3">setfacl -x u:[kasutaja_nimi] [kausta/ faili nimi]</pre>
*eemaldame jaani ja toomase ACLiga antud õigused
<pre size="3">setfacl -x u:jaan,u:toomas test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
group:tudengid:rwx
mask::rwx
other::r-x
</pre>
Näeme, et jaani ja toomast ei ole enam pääsupiiramisloendis,küll aga on alles grupp tudengid
<h5>Näide 5</h5>
ACL õiguste täielik eemaldamine
<pre size="3">setfacl -b [kausta faili nimi]</pre>
<pre size="3">setfacl -b test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>
<h5>Näide 6</h5>
*määrame kaustale/ failile uued õigused
<pre size="3">setfacl --set u::[õigused],g::[õigused],o::[õigused],u:[kasutaja_nimi]:[õigused] [kasuta/ faili_nimi]</pre>
* määrame kaustale test uued õigused kasutades --set võtit. Antud võtit kasutades tuleb kindalsti määrata ka omaniku, grupi ning teiste õigused.
<pre size="3">setfacl --set u::rwx,g::rw,o::-,u:jaan:r test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:r--
group::rw-
mask::rw-
other::---</pre>
<h5>Näide 7</h5>
Kui on vajalik kasutada sarnaseid õiguseid mitmel korral tasub töö lihtsustamiseks luua tekstifail, mis sisaldab ACL õiguseid.
Nt võib faili sisu olla selline
<pre size="3">user:jaan:rw-
user:toomas:rw-
group:tudengid:r--
mask::rw-
other::---
</pre>
*Failis kirjeldatud õiguste kasutamine
<pre size="3">setfacl -M [fail_kus_on_õigustekirjeldus] [fail_millele_määran_õigused]</pre>
*määran failis minu_acl kirjeldatud õigused failidele test1, test2, test3

<pre size="3">setfacl -M minu_acl test*</pre>
*tulemus getfacl test1

<pre size="3"># file: test1
# owner: mari
# group: mari
user::rw-
user:jaan:rw-
user:toomas:rw-
group::rw-
group:tudengid:r--
mask::rw-
other::---</pre>

==mv ja cp==

*mv käsklus säilitab ACLiga määratud õigused alati kui see on võimalik, kui võimalus puudub, siis kuvatakse hoiatus
*cp säilitab ACL õigused, kui seda kasutatakse koos võtmega -p või -a

==Kokkuvõte==

ACL võimaldab paindlikumalt juurdepääsuõiguseid määrata ning lubab seda teha ka tavakasutajal.

== Kasutatud kirjandus ==
#
#
#
#http://setacl.sourceforge.net/html/doc-basics.html
# http://www.tekbar.net/hackers-and-security/acl-enhance-safety-margin.html

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Access Control List

2014-12-25T15:07:27Z

Kroasto: /* Kasutatud kirjandus */

'''Pääsupiiramisloend''' <i>(ACL ehk Access Control List)</i> on rida õigusi, mis on lisatud teatud objektile. Pääsupiiramisloend koosneb pääsupiiramiskirjetest, mis iseloomustab operatsioone, mis on kasutajal või grupil keelatud või lubatud. Pääsuloend täpsustab millised kasutajad või süsteemi protsessid on lubatud ligi pääseda teatud objektile ning millised operatsioonid on lubatud teha antud objektiga.

==Autor==

2014/2015 Kadri Roasto AK21

2010 Arvi Alamaa

== Kuidas pääsupiiramisloend toimib? ==

Tüüpilises pääsupiiramisloendis määratakse igas kirjes <i>(ACE ehk Access Control Entrie)</i> subjekt <i>(näiteks User või Group)</i> ja sellele kaasnevad õigused. Kui subjekt tahab sooritada mingeid operatsioone antud objektiga siis pääsupiiramisloendil põhinevas turvamudelis operatsioonisüsteem kõigepealt otsib loendist vastavad kirjed, et otsustada kas nõutud operatsioon on lubatud või mitte.

== Pääsupiiramisloendi tüübid ==

=== System Access Control List (SACL) ===

SACL võimaldab administraatoritel pidada logi selle kohta, kes on üritanud ligipääseda kaitstud objektile ning milliseid operatsioone on seal sooritatud. Kuna iga kirje kajastab, mis tüüpi ligipääsuga on tegemist ning kes üritas ligi pääseda, salvestatakse need andmed logi faili <i>(security event log)</i>, mida saab vaadata Event Viewer's. Pääsuloendi kirjed <i>(Access Control Entries)</i> SACL's saavad genereerida auditi salvestatud kirjeid, kui ligipääsu katse nurjub või õnnestub.

=== Discretionary Access Control List (DACL) ===

DACL ehk valikuline pääsupiiramisloend tähendab seda, et objekti omanikul või loojal on täielik õigus piirata ligipääsu antud objektile, samas ka niimoodi, et ligipääs lubatakse kõikidele teistele. Süsteemil on kohustuslik pääsupiirang siis, kui see allub üle terve süsteemi kehtivatele piirangutele, mis on pääsupiiramisloendis määratletud õigustest tähtsamad. Harilikud pääsupiiramisloendite süsteemid määravad õiguseid üksikutele kasutajatele, mis võib suure kasutajahulga puhul tülikaks osutuda. Uuemas, rollidel põhinevas pääsupiirangus, antakse õiguseid rollidele, ning rolle jaotatakse omakorda kasutajatele.

== Network Access Control List ==

Networking ACL on pääsuloend, mis niiöelda filtreerib võrguliiklust. Ruuter vaatleb igat andmepaketti, et kindlaks teha, kas saata see edasi või jätta see maha, põhinedes pääsuloedisse määratud kriteeriumitest. Pääsuloednisse määratud kriteeriumid võivad olla näiteks kasutaja MAC aaddress, IP aadress ja pordi number.

== Filesystem Access Control List ==

Failisüsteemides on peamiseks piiramise vahendiks kasutajatunnus või grupi nimi, kus määratakse nende õigused. Loend on andmestruktuur, harilikult tabel, mis sisaldab kirjeid üksikute kasutajate või rühmade õigustest kindlatele süsteemiobjektidele, nagu programmid, protsessid, või failid. Linux-is, Mac OS X-is, OpenVS-is, ning Windows-is nimetatakse neid kirjeid pääsupiiramiskirjeteks <i>(ingl.k. Access Control Entries)</i>. Igal ligipääsetaval objektil on selle pääsupiiramisloendile suunav tunnus. Kindlaid ligipääsuõiguseid määravad õigused: näiteks kas kasutajal on lubatud objektist lugeda, sinna kirjutada, ning seda käivitada. Mõningad pääsupiiramisloendid on võimelised piirama seda, kas kasutajal või nende rühmal on lubatud objekti pääsupiiramisloendit muuta.

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) kolmele kasutajagrupile (''owner''-omanik, ''group''- grupp ja ''others''- teised). ACL võimaldab pääsupiiramisõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACLis määrata õigused nimeliselt lisa kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutajal kui tavakasutajal. Alljärgenva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.

== Kuidas kasutada pääsupiiramisloendit failisüsteemides? ==

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne. Et kindel olla, kas kasutatav failisüsteem toetab ACLi tuleb lugeda dokumentatsiooni.

==Käsu formaat==

Peamiselt kasutatakse kahte käsku oma võtmetega.

<font size="4">'''getfacl''' [võti] fail ...</font>

<font size="4">'''setfacl''' [võti] { -m|-M|-x|-X ... } fail ...</font>

<h5>Võtmete kirjeldusi</h5>

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
| style="width: 150px;" |'''-h'''
|style="width: 150px;" |'''--help'''
|käsu info

|-
|'''-v'''
|'''--version'''
|versiooni info
|}

getfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-a'''
|'''--access'''
|kuvab pääsukontrolli nimekirja

|-
|'''-c'''
|'''--omit-header'''
|pääsukontrolli nimekirja kuvamine kommentaarideta (kuvab pääsukontrollinimekirja ilma faili, omaniku ning grupi nimeta)

|-
|'''-n'''
|'''--numeric'''
|kuvab kasutajate/gruppide numbrilised ID-d

|-
|'''-R'''
|'''--recursive'''
|kuvab ka alamkataloogide ACL õigused
|}

settfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|muudab kehtivat faili ACLi

|-
|'''-M'''
|'''--modify-file=file'''
|loeb ACLi kirjet failist ning muudab vastavalt loetule

|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL kirjed faililt
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|-
|'''--set'''
|
|määrab ACLi failile, asendab kehtivad õigused
|}

==Näited==

Näited on teostatud tavakasutaja õigustes. Näidetes on määratud õigused kasutades viisi: r,w,x, võib kasutada ka numbrilist õiguste määramist.

<h5>Näide 1</h5>

* faili/kausta õiguste kuvamine
<pre size="3">getfacl <faili/kausta_nimi></pre>
* Kuvame kausta nimega test õigused:
<font size="3">getfacl test</font>
* tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>

Esimesed kolm rida väljastavad kausta nime, omaniku ning grupi, järgenvad kolm rida näitavad kasutaja, grupi ja teiste õiguseid. See on minimaalne ACL. Hetkel ei ole kuvatud infot, mida ei saaks mõne põhikäsuga.

* lisame kasutajale jaan õiguse vaadata ja muuta kausta test:

<pre size="3">setfacl -m u:jaan:rw- test</pre>
*tulemus vaadatuna käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
group::rwx
mask::rwx
other::r-x
</pre>
Näeme, et pääsupiiramisloendisse on lisandunud kasutaja jaan õigustega vaadata ja muuta kausta test.

*tulemus vaadatuna käsuga ls -l
<pre size="3">drwxrwxr-x+ 2 mari mari 4096 dets 25 14:55 test</pre>
Näeme, et kausta test õiguste lõpus on märk "+", see näitab, et kasutusel on ACL.

<h5>Näide 2</h5>

* lisa kasutajale ja lisa grupile õiguste andmine
<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused],g:[grupi_nimi]:[õigused] [kausta/faili nimi]</pre>
* lisame kasutajale toomas ja grupile tudengid õiguse vaadata ja muuta kausta test
<pre size="3">setfacl -m u:toomas:rw-,g:tudengid:rw- test</pre>
* tulemus vaadatud käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
user:toomas:rw-
group::rwx
group:tudengid:rw-
mask::rwx
other::r-x</pre>
Näeme, et nii kasutaja toomas kui grupp tudengid on lisandunud pääsupiiramisloendisse. Ning nad on saanud õigused r ja w kaustale test.
<h5>Näide 3</h5>
Mida tähendab pääsupiiramisloendis olev '''mask'''?
Maskiga on võimalik piirata ACLiga loodud kasutaja ja grupi õiguseid (omaniku õiguseid mask ei muuda). Mask määrab maksimaalsed õigused.
* Anname kasutajale jaan ja grupile tudengid nii vaatamise, muutmise kui käivitamsie õigused, kuid maskile määrame ainult vaatamise õigused
<pre size="3">setfacl -m u:jaan:rwx,g:marjuline:rwx test</pre>
<pre size="3">setfacl -m mask::r-- test</pre>
*tulemus vaadatuna käsuga getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rwx #effective:r--
user:toomas:rw- #effective:r--
group::rwx #effective:r--
group:tudengid:rwx #effective:r--
mask::r--
other::r-x
</pre>
Kuigi jaan sai õigused: rwx, on maski tõttu tal ainult õigus:r.
''effective'' näitab kehtivaid õiguseid

<h5>Näide 4</h5>
*ACL õiguste eemaldamine
<pre size="3">setfacl -x u:[kasutaja_nimi] [kausta/ faili nimi]</pre>
*eemaldame jaani ja toomase ACLiga antud õigused
<pre size="3">setfacl -x u:jaan,u:toomas test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
group:tudengid:rwx
mask::rwx
other::r-x
</pre>
Näeme, et jaani ja toomast ei ole enam pääsupiiramisloendis,küll aga on alles grupp tudengid
<h5>Näide 5</h5>
ACL õiguste täielik eemaldamine
<pre size="3">setfacl -b [kausta faili nimi]</pre>
<pre size="3">setfacl -b test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>
<h5>Näide 6</h5>
*määrame kaustale/ failile uued õigused
<pre size="3">setfacl --set u::[õigused],g::[õigused],o::[õigused],u:[kasutaja_nimi]:[õigused] [kasuta/ faili_nimi]</pre>
* määrame kaustale test uued õigused kasutades --set võtit. Antud võtit kasutades tuleb kindalsti määrata ka omaniku, grupi ning teiste õigused.
<pre size="3">setfacl --set u::rwx,g::rw,o::-,u:jaan:r test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:r--
group::rw-
mask::rw-
other::---</pre>
<h5>Näide 7</h5>
Kui on vajalik kasutada sarnaseid õiguseid mitmel korral tasub töö lihtsustamiseks luua tekstifail, mis sisaldab ACL õiguseid.
Nt võib faili sisu olla selline
<pre size="3">user:jaan:rw-
user:toomas:rw-
group:tudengid:r--
mask::rw-
other::---
</pre>
*Failis kirjeldatud õiguste kasutamine
<pre size="3">setfacl -M [fail_kus_on_õigustekirjeldus] [fail_millele_määran_õigused]</pre>
*määran failis minu_acl kirjeldatud õigused failidele test1, test2, test3

<pre size="3">setfacl -M minu_acl test*</pre>
*tulemus getfacl test1

<pre size="3"># file: test1
# owner: mari
# group: mari
user::rw-
user:jaan:rw-
user:toomas:rw-
group::rw-
group:tudengid:r--
mask::rw-
other::---</pre>

==mv ja cp==

*mv käsklus säilitab ACLiga määratud õigused alati kui see on võimalik, kui võimalus puudub, siis kuvatakse hoiatus
*cp säilitab ACL õigused, kui seda kasutatakse koos võtmega -p või -a

==Kokkuvõte==

ACL võimaldab paindlikumalt juurdepääsuõiguseid määrata ning lubab seda teha ka tavakasutajal.

== Kasutatud kirjandus ==
#
#
#
# http://alt.pluralsight.com/wiki/default.aspx/Keith.GuideBook/WhatIsAnAccessControlList.html
#http://setacl.sourceforge.net/html/doc-basics.html
# http://www.tekbar.net/hackers-and-security/acl-enhance-safety-margin.html

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Access Control List

2014-12-25T15:06:57Z

Kroasto: /* Kasutatud kirjandus */

'''Pääsupiiramisloend''' <i>(ACL ehk Access Control List)</i> on rida õigusi, mis on lisatud teatud objektile. Pääsupiiramisloend koosneb pääsupiiramiskirjetest, mis iseloomustab operatsioone, mis on kasutajal või grupil keelatud või lubatud. Pääsuloend täpsustab millised kasutajad või süsteemi protsessid on lubatud ligi pääseda teatud objektile ning millised operatsioonid on lubatud teha antud objektiga.

==Autor==

2014/2015 Kadri Roasto AK21

2010 Arvi Alamaa

== Kuidas pääsupiiramisloend toimib? ==

Tüüpilises pääsupiiramisloendis määratakse igas kirjes <i>(ACE ehk Access Control Entrie)</i> subjekt <i>(näiteks User või Group)</i> ja sellele kaasnevad õigused. Kui subjekt tahab sooritada mingeid operatsioone antud objektiga siis pääsupiiramisloendil põhinevas turvamudelis operatsioonisüsteem kõigepealt otsib loendist vastavad kirjed, et otsustada kas nõutud operatsioon on lubatud või mitte.

== Pääsupiiramisloendi tüübid ==

=== System Access Control List (SACL) ===

SACL võimaldab administraatoritel pidada logi selle kohta, kes on üritanud ligipääseda kaitstud objektile ning milliseid operatsioone on seal sooritatud. Kuna iga kirje kajastab, mis tüüpi ligipääsuga on tegemist ning kes üritas ligi pääseda, salvestatakse need andmed logi faili <i>(security event log)</i>, mida saab vaadata Event Viewer's. Pääsuloendi kirjed <i>(Access Control Entries)</i> SACL's saavad genereerida auditi salvestatud kirjeid, kui ligipääsu katse nurjub või õnnestub.

=== Discretionary Access Control List (DACL) ===

DACL ehk valikuline pääsupiiramisloend tähendab seda, et objekti omanikul või loojal on täielik õigus piirata ligipääsu antud objektile, samas ka niimoodi, et ligipääs lubatakse kõikidele teistele. Süsteemil on kohustuslik pääsupiirang siis, kui see allub üle terve süsteemi kehtivatele piirangutele, mis on pääsupiiramisloendis määratletud õigustest tähtsamad. Harilikud pääsupiiramisloendite süsteemid määravad õiguseid üksikutele kasutajatele, mis võib suure kasutajahulga puhul tülikaks osutuda. Uuemas, rollidel põhinevas pääsupiirangus, antakse õiguseid rollidele, ning rolle jaotatakse omakorda kasutajatele.

== Network Access Control List ==

Networking ACL on pääsuloend, mis niiöelda filtreerib võrguliiklust. Ruuter vaatleb igat andmepaketti, et kindlaks teha, kas saata see edasi või jätta see maha, põhinedes pääsuloedisse määratud kriteeriumitest. Pääsuloednisse määratud kriteeriumid võivad olla näiteks kasutaja MAC aaddress, IP aadress ja pordi number.

== Filesystem Access Control List ==

Failisüsteemides on peamiseks piiramise vahendiks kasutajatunnus või grupi nimi, kus määratakse nende õigused. Loend on andmestruktuur, harilikult tabel, mis sisaldab kirjeid üksikute kasutajate või rühmade õigustest kindlatele süsteemiobjektidele, nagu programmid, protsessid, või failid. Linux-is, Mac OS X-is, OpenVS-is, ning Windows-is nimetatakse neid kirjeid pääsupiiramiskirjeteks <i>(ingl.k. Access Control Entries)</i>. Igal ligipääsetaval objektil on selle pääsupiiramisloendile suunav tunnus. Kindlaid ligipääsuõiguseid määravad õigused: näiteks kas kasutajal on lubatud objektist lugeda, sinna kirjutada, ning seda käivitada. Mõningad pääsupiiramisloendid on võimelised piirama seda, kas kasutajal või nende rühmal on lubatud objekti pääsupiiramisloendit muuta.

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) kolmele kasutajagrupile (''owner''-omanik, ''group''- grupp ja ''others''- teised). ACL võimaldab pääsupiiramisõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACLis määrata õigused nimeliselt lisa kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutajal kui tavakasutajal. Alljärgenva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.

== Kuidas kasutada pääsupiiramisloendit failisüsteemides? ==

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne. Et kindel olla, kas kasutatav failisüsteem toetab ACLi tuleb lugeda dokumentatsiooni.

==Käsu formaat==

Peamiselt kasutatakse kahte käsku oma võtmetega.

<font size="4">'''getfacl''' [võti] fail ...</font>

<font size="4">'''setfacl''' [võti] { -m|-M|-x|-X ... } fail ...</font>

<h5>Võtmete kirjeldusi</h5>

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
| style="width: 150px;" |'''-h'''
|style="width: 150px;" |'''--help'''
|käsu info

|-
|'''-v'''
|'''--version'''
|versiooni info
|}

getfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-a'''
|'''--access'''
|kuvab pääsukontrolli nimekirja

|-
|'''-c'''
|'''--omit-header'''
|pääsukontrolli nimekirja kuvamine kommentaarideta (kuvab pääsukontrollinimekirja ilma faili, omaniku ning grupi nimeta)

|-
|'''-n'''
|'''--numeric'''
|kuvab kasutajate/gruppide numbrilised ID-d

|-
|'''-R'''
|'''--recursive'''
|kuvab ka alamkataloogide ACL õigused
|}

settfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|muudab kehtivat faili ACLi

|-
|'''-M'''
|'''--modify-file=file'''
|loeb ACLi kirjet failist ning muudab vastavalt loetule

|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL kirjed faililt
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|-
|'''--set'''
|
|määrab ACLi failile, asendab kehtivad õigused
|}

==Näited==

Näited on teostatud tavakasutaja õigustes. Näidetes on määratud õigused kasutades viisi: r,w,x, võib kasutada ka numbrilist õiguste määramist.

<h5>Näide 1</h5>

* faili/kausta õiguste kuvamine
<pre size="3">getfacl <faili/kausta_nimi></pre>
* Kuvame kausta nimega test õigused:
<font size="3">getfacl test</font>
* tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>

Esimesed kolm rida väljastavad kausta nime, omaniku ning grupi, järgenvad kolm rida näitavad kasutaja, grupi ja teiste õiguseid. See on minimaalne ACL. Hetkel ei ole kuvatud infot, mida ei saaks mõne põhikäsuga.

* lisame kasutajale jaan õiguse vaadata ja muuta kausta test:

<pre size="3">setfacl -m u:jaan:rw- test</pre>
*tulemus vaadatuna käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
group::rwx
mask::rwx
other::r-x
</pre>
Näeme, et pääsupiiramisloendisse on lisandunud kasutaja jaan õigustega vaadata ja muuta kausta test.

*tulemus vaadatuna käsuga ls -l
<pre size="3">drwxrwxr-x+ 2 mari mari 4096 dets 25 14:55 test</pre>
Näeme, et kausta test õiguste lõpus on märk "+", see näitab, et kasutusel on ACL.

<h5>Näide 2</h5>

* lisa kasutajale ja lisa grupile õiguste andmine
<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused],g:[grupi_nimi]:[õigused] [kausta/faili nimi]</pre>
* lisame kasutajale toomas ja grupile tudengid õiguse vaadata ja muuta kausta test
<pre size="3">setfacl -m u:toomas:rw-,g:tudengid:rw- test</pre>
* tulemus vaadatud käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
user:toomas:rw-
group::rwx
group:tudengid:rw-
mask::rwx
other::r-x</pre>
Näeme, et nii kasutaja toomas kui grupp tudengid on lisandunud pääsupiiramisloendisse. Ning nad on saanud õigused r ja w kaustale test.
<h5>Näide 3</h5>
Mida tähendab pääsupiiramisloendis olev '''mask'''?
Maskiga on võimalik piirata ACLiga loodud kasutaja ja grupi õiguseid (omaniku õiguseid mask ei muuda). Mask määrab maksimaalsed õigused.
* Anname kasutajale jaan ja grupile tudengid nii vaatamise, muutmise kui käivitamsie õigused, kuid maskile määrame ainult vaatamise õigused
<pre size="3">setfacl -m u:jaan:rwx,g:marjuline:rwx test</pre>
<pre size="3">setfacl -m mask::r-- test</pre>
*tulemus vaadatuna käsuga getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rwx #effective:r--
user:toomas:rw- #effective:r--
group::rwx #effective:r--
group:tudengid:rwx #effective:r--
mask::r--
other::r-x
</pre>
Kuigi jaan sai õigused: rwx, on maski tõttu tal ainult õigus:r.
''effective'' näitab kehtivaid õiguseid

<h5>Näide 4</h5>
*ACL õiguste eemaldamine
<pre size="3">setfacl -x u:[kasutaja_nimi] [kausta/ faili nimi]</pre>
*eemaldame jaani ja toomase ACLiga antud õigused
<pre size="3">setfacl -x u:jaan,u:toomas test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
group:tudengid:rwx
mask::rwx
other::r-x
</pre>
Näeme, et jaani ja toomast ei ole enam pääsupiiramisloendis,küll aga on alles grupp tudengid
<h5>Näide 5</h5>
ACL õiguste täielik eemaldamine
<pre size="3">setfacl -b [kausta faili nimi]</pre>
<pre size="3">setfacl -b test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>
<h5>Näide 6</h5>
*määrame kaustale/ failile uued õigused
<pre size="3">setfacl --set u::[õigused],g::[õigused],o::[õigused],u:[kasutaja_nimi]:[õigused] [kasuta/ faili_nimi]</pre>
* määrame kaustale test uued õigused kasutades --set võtit. Antud võtit kasutades tuleb kindalsti määrata ka omaniku, grupi ning teiste õigused.
<pre size="3">setfacl --set u::rwx,g::rw,o::-,u:jaan:r test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:r--
group::rw-
mask::rw-
other::---</pre>
<h5>Näide 7</h5>
Kui on vajalik kasutada sarnaseid õiguseid mitmel korral tasub töö lihtsustamiseks luua tekstifail, mis sisaldab ACL õiguseid.
Nt võib faili sisu olla selline
<pre size="3">user:jaan:rw-
user:toomas:rw-
group:tudengid:r--
mask::rw-
other::---
</pre>
*Failis kirjeldatud õiguste kasutamine
<pre size="3">setfacl -M [fail_kus_on_õigustekirjeldus] [fail_millele_määran_õigused]</pre>
*määran failis minu_acl kirjeldatud õigused failidele test1, test2, test3

<pre size="3">setfacl -M minu_acl test*</pre>
*tulemus getfacl test1

<pre size="3"># file: test1
# owner: mari
# group: mari
user::rw-
user:jaan:rw-
user:toomas:rw-
group::rw-
group:tudengid:r--
mask::rw-
other::---</pre>

==mv ja cp==

*mv käsklus säilitab ACLiga määratud õigused alati kui see on võimalik, kui võimalus puudub, siis kuvatakse hoiatus
*cp säilitab ACL õigused, kui seda kasutatakse koos võtmega -p või -a

==Kokkuvõte==

ACL võimaldab paindlikumalt juurdepääsuõiguseid määrata ning lubab seda teha ka tavakasutajal.

== Kasutatud kirjandus ==
#
#
# http://www.pcguide.com/ref/hdd/file/ntfs/secAccess-c.html
# http://alt.pluralsight.com/wiki/default.aspx/Keith.GuideBook/WhatIsAnAccessControlList.html
#http://setacl.sourceforge.net/html/doc-basics.html
# http://www.tekbar.net/hackers-and-security/acl-enhance-safety-margin.html

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Access Control List

2014-12-25T15:06:38Z

Kroasto: /* Kasutatud kirjandus */

'''Pääsupiiramisloend''' <i>(ACL ehk Access Control List)</i> on rida õigusi, mis on lisatud teatud objektile. Pääsupiiramisloend koosneb pääsupiiramiskirjetest, mis iseloomustab operatsioone, mis on kasutajal või grupil keelatud või lubatud. Pääsuloend täpsustab millised kasutajad või süsteemi protsessid on lubatud ligi pääseda teatud objektile ning millised operatsioonid on lubatud teha antud objektiga.

==Autor==

2014/2015 Kadri Roasto AK21

2010 Arvi Alamaa

== Kuidas pääsupiiramisloend toimib? ==

Tüüpilises pääsupiiramisloendis määratakse igas kirjes <i>(ACE ehk Access Control Entrie)</i> subjekt <i>(näiteks User või Group)</i> ja sellele kaasnevad õigused. Kui subjekt tahab sooritada mingeid operatsioone antud objektiga siis pääsupiiramisloendil põhinevas turvamudelis operatsioonisüsteem kõigepealt otsib loendist vastavad kirjed, et otsustada kas nõutud operatsioon on lubatud või mitte.

== Pääsupiiramisloendi tüübid ==

=== System Access Control List (SACL) ===

SACL võimaldab administraatoritel pidada logi selle kohta, kes on üritanud ligipääseda kaitstud objektile ning milliseid operatsioone on seal sooritatud. Kuna iga kirje kajastab, mis tüüpi ligipääsuga on tegemist ning kes üritas ligi pääseda, salvestatakse need andmed logi faili <i>(security event log)</i>, mida saab vaadata Event Viewer's. Pääsuloendi kirjed <i>(Access Control Entries)</i> SACL's saavad genereerida auditi salvestatud kirjeid, kui ligipääsu katse nurjub või õnnestub.

=== Discretionary Access Control List (DACL) ===

DACL ehk valikuline pääsupiiramisloend tähendab seda, et objekti omanikul või loojal on täielik õigus piirata ligipääsu antud objektile, samas ka niimoodi, et ligipääs lubatakse kõikidele teistele. Süsteemil on kohustuslik pääsupiirang siis, kui see allub üle terve süsteemi kehtivatele piirangutele, mis on pääsupiiramisloendis määratletud õigustest tähtsamad. Harilikud pääsupiiramisloendite süsteemid määravad õiguseid üksikutele kasutajatele, mis võib suure kasutajahulga puhul tülikaks osutuda. Uuemas, rollidel põhinevas pääsupiirangus, antakse õiguseid rollidele, ning rolle jaotatakse omakorda kasutajatele.

== Network Access Control List ==

Networking ACL on pääsuloend, mis niiöelda filtreerib võrguliiklust. Ruuter vaatleb igat andmepaketti, et kindlaks teha, kas saata see edasi või jätta see maha, põhinedes pääsuloedisse määratud kriteeriumitest. Pääsuloednisse määratud kriteeriumid võivad olla näiteks kasutaja MAC aaddress, IP aadress ja pordi number.

== Filesystem Access Control List ==

Failisüsteemides on peamiseks piiramise vahendiks kasutajatunnus või grupi nimi, kus määratakse nende õigused. Loend on andmestruktuur, harilikult tabel, mis sisaldab kirjeid üksikute kasutajate või rühmade õigustest kindlatele süsteemiobjektidele, nagu programmid, protsessid, või failid. Linux-is, Mac OS X-is, OpenVS-is, ning Windows-is nimetatakse neid kirjeid pääsupiiramiskirjeteks <i>(ingl.k. Access Control Entries)</i>. Igal ligipääsetaval objektil on selle pääsupiiramisloendile suunav tunnus. Kindlaid ligipääsuõiguseid määravad õigused: näiteks kas kasutajal on lubatud objektist lugeda, sinna kirjutada, ning seda käivitada. Mõningad pääsupiiramisloendid on võimelised piirama seda, kas kasutajal või nende rühmal on lubatud objekti pääsupiiramisloendit muuta.

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) kolmele kasutajagrupile (''owner''-omanik, ''group''- grupp ja ''others''- teised). ACL võimaldab pääsupiiramisõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACLis määrata õigused nimeliselt lisa kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutajal kui tavakasutajal. Alljärgenva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.

== Kuidas kasutada pääsupiiramisloendit failisüsteemides? ==

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne. Et kindel olla, kas kasutatav failisüsteem toetab ACLi tuleb lugeda dokumentatsiooni.

==Käsu formaat==

Peamiselt kasutatakse kahte käsku oma võtmetega.

<font size="4">'''getfacl''' [võti] fail ...</font>

<font size="4">'''setfacl''' [võti] { -m|-M|-x|-X ... } fail ...</font>

<h5>Võtmete kirjeldusi</h5>

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
| style="width: 150px;" |'''-h'''
|style="width: 150px;" |'''--help'''
|käsu info

|-
|'''-v'''
|'''--version'''
|versiooni info
|}

getfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-a'''
|'''--access'''
|kuvab pääsukontrolli nimekirja

|-
|'''-c'''
|'''--omit-header'''
|pääsukontrolli nimekirja kuvamine kommentaarideta (kuvab pääsukontrollinimekirja ilma faili, omaniku ning grupi nimeta)

|-
|'''-n'''
|'''--numeric'''
|kuvab kasutajate/gruppide numbrilised ID-d

|-
|'''-R'''
|'''--recursive'''
|kuvab ka alamkataloogide ACL õigused
|}

settfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|muudab kehtivat faili ACLi

|-
|'''-M'''
|'''--modify-file=file'''
|loeb ACLi kirjet failist ning muudab vastavalt loetule

|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL kirjed faililt
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|-
|'''--set'''
|
|määrab ACLi failile, asendab kehtivad õigused
|}

==Näited==

Näited on teostatud tavakasutaja õigustes. Näidetes on määratud õigused kasutades viisi: r,w,x, võib kasutada ka numbrilist õiguste määramist.

<h5>Näide 1</h5>

* faili/kausta õiguste kuvamine
<pre size="3">getfacl <faili/kausta_nimi></pre>
* Kuvame kausta nimega test õigused:
<font size="3">getfacl test</font>
* tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>

Esimesed kolm rida väljastavad kausta nime, omaniku ning grupi, järgenvad kolm rida näitavad kasutaja, grupi ja teiste õiguseid. See on minimaalne ACL. Hetkel ei ole kuvatud infot, mida ei saaks mõne põhikäsuga.

* lisame kasutajale jaan õiguse vaadata ja muuta kausta test:

<pre size="3">setfacl -m u:jaan:rw- test</pre>
*tulemus vaadatuna käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
group::rwx
mask::rwx
other::r-x
</pre>
Näeme, et pääsupiiramisloendisse on lisandunud kasutaja jaan õigustega vaadata ja muuta kausta test.

*tulemus vaadatuna käsuga ls -l
<pre size="3">drwxrwxr-x+ 2 mari mari 4096 dets 25 14:55 test</pre>
Näeme, et kausta test õiguste lõpus on märk "+", see näitab, et kasutusel on ACL.

<h5>Näide 2</h5>

* lisa kasutajale ja lisa grupile õiguste andmine
<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused],g:[grupi_nimi]:[õigused] [kausta/faili nimi]</pre>
* lisame kasutajale toomas ja grupile tudengid õiguse vaadata ja muuta kausta test
<pre size="3">setfacl -m u:toomas:rw-,g:tudengid:rw- test</pre>
* tulemus vaadatud käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
user:toomas:rw-
group::rwx
group:tudengid:rw-
mask::rwx
other::r-x</pre>
Näeme, et nii kasutaja toomas kui grupp tudengid on lisandunud pääsupiiramisloendisse. Ning nad on saanud õigused r ja w kaustale test.
<h5>Näide 3</h5>
Mida tähendab pääsupiiramisloendis olev '''mask'''?
Maskiga on võimalik piirata ACLiga loodud kasutaja ja grupi õiguseid (omaniku õiguseid mask ei muuda). Mask määrab maksimaalsed õigused.
* Anname kasutajale jaan ja grupile tudengid nii vaatamise, muutmise kui käivitamsie õigused, kuid maskile määrame ainult vaatamise õigused
<pre size="3">setfacl -m u:jaan:rwx,g:marjuline:rwx test</pre>
<pre size="3">setfacl -m mask::r-- test</pre>
*tulemus vaadatuna käsuga getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rwx #effective:r--
user:toomas:rw- #effective:r--
group::rwx #effective:r--
group:tudengid:rwx #effective:r--
mask::r--
other::r-x
</pre>
Kuigi jaan sai õigused: rwx, on maski tõttu tal ainult õigus:r.
''effective'' näitab kehtivaid õiguseid

<h5>Näide 4</h5>
*ACL õiguste eemaldamine
<pre size="3">setfacl -x u:[kasutaja_nimi] [kausta/ faili nimi]</pre>
*eemaldame jaani ja toomase ACLiga antud õigused
<pre size="3">setfacl -x u:jaan,u:toomas test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
group:tudengid:rwx
mask::rwx
other::r-x
</pre>
Näeme, et jaani ja toomast ei ole enam pääsupiiramisloendis,küll aga on alles grupp tudengid
<h5>Näide 5</h5>
ACL õiguste täielik eemaldamine
<pre size="3">setfacl -b [kausta faili nimi]</pre>
<pre size="3">setfacl -b test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>
<h5>Näide 6</h5>
*määrame kaustale/ failile uued õigused
<pre size="3">setfacl --set u::[õigused],g::[õigused],o::[õigused],u:[kasutaja_nimi]:[õigused] [kasuta/ faili_nimi]</pre>
* määrame kaustale test uued õigused kasutades --set võtit. Antud võtit kasutades tuleb kindalsti määrata ka omaniku, grupi ning teiste õigused.
<pre size="3">setfacl --set u::rwx,g::rw,o::-,u:jaan:r test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:r--
group::rw-
mask::rw-
other::---</pre>
<h5>Näide 7</h5>
Kui on vajalik kasutada sarnaseid õiguseid mitmel korral tasub töö lihtsustamiseks luua tekstifail, mis sisaldab ACL õiguseid.
Nt võib faili sisu olla selline
<pre size="3">user:jaan:rw-
user:toomas:rw-
group:tudengid:r--
mask::rw-
other::---
</pre>
*Failis kirjeldatud õiguste kasutamine
<pre size="3">setfacl -M [fail_kus_on_õigustekirjeldus] [fail_millele_määran_õigused]</pre>
*määran failis minu_acl kirjeldatud õigused failidele test1, test2, test3

<pre size="3">setfacl -M minu_acl test*</pre>
*tulemus getfacl test1

<pre size="3"># file: test1
# owner: mari
# group: mari
user::rw-
user:jaan:rw-
user:toomas:rw-
group::rw-
group:tudengid:r--
mask::rw-
other::---</pre>

==mv ja cp==

*mv käsklus säilitab ACLiga määratud õigused alati kui see on võimalik, kui võimalus puudub, siis kuvatakse hoiatus
*cp säilitab ACL õigused, kui seda kasutatakse koos võtmega -p või -a

==Kokkuvõte==

ACL võimaldab paindlikumalt juurdepääsuõiguseid määrata ning lubab seda teha ka tavakasutajal.

== Kasutatud kirjandus ==
#
# http://www.cisco.com/en/US/docs/ios/11_3/security/configuration/guide/scacls.html#wp1834
# http://www.pcguide.com/ref/hdd/file/ntfs/secAccess-c.html
# http://alt.pluralsight.com/wiki/default.aspx/Keith.GuideBook/WhatIsAnAccessControlList.html
#http://setacl.sourceforge.net/html/doc-basics.html
# http://www.tekbar.net/hackers-and-security/acl-enhance-safety-margin.html

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Access Control List

2014-12-25T15:05:51Z

Kroasto: /* Kasutatud kirjandus */

'''Pääsupiiramisloend''' <i>(ACL ehk Access Control List)</i> on rida õigusi, mis on lisatud teatud objektile. Pääsupiiramisloend koosneb pääsupiiramiskirjetest, mis iseloomustab operatsioone, mis on kasutajal või grupil keelatud või lubatud. Pääsuloend täpsustab millised kasutajad või süsteemi protsessid on lubatud ligi pääseda teatud objektile ning millised operatsioonid on lubatud teha antud objektiga.

==Autor==

2014/2015 Kadri Roasto AK21

2010 Arvi Alamaa

== Kuidas pääsupiiramisloend toimib? ==

Tüüpilises pääsupiiramisloendis määratakse igas kirjes <i>(ACE ehk Access Control Entrie)</i> subjekt <i>(näiteks User või Group)</i> ja sellele kaasnevad õigused. Kui subjekt tahab sooritada mingeid operatsioone antud objektiga siis pääsupiiramisloendil põhinevas turvamudelis operatsioonisüsteem kõigepealt otsib loendist vastavad kirjed, et otsustada kas nõutud operatsioon on lubatud või mitte.

== Pääsupiiramisloendi tüübid ==

=== System Access Control List (SACL) ===

SACL võimaldab administraatoritel pidada logi selle kohta, kes on üritanud ligipääseda kaitstud objektile ning milliseid operatsioone on seal sooritatud. Kuna iga kirje kajastab, mis tüüpi ligipääsuga on tegemist ning kes üritas ligi pääseda, salvestatakse need andmed logi faili <i>(security event log)</i>, mida saab vaadata Event Viewer's. Pääsuloendi kirjed <i>(Access Control Entries)</i> SACL's saavad genereerida auditi salvestatud kirjeid, kui ligipääsu katse nurjub või õnnestub.

=== Discretionary Access Control List (DACL) ===

DACL ehk valikuline pääsupiiramisloend tähendab seda, et objekti omanikul või loojal on täielik õigus piirata ligipääsu antud objektile, samas ka niimoodi, et ligipääs lubatakse kõikidele teistele. Süsteemil on kohustuslik pääsupiirang siis, kui see allub üle terve süsteemi kehtivatele piirangutele, mis on pääsupiiramisloendis määratletud õigustest tähtsamad. Harilikud pääsupiiramisloendite süsteemid määravad õiguseid üksikutele kasutajatele, mis võib suure kasutajahulga puhul tülikaks osutuda. Uuemas, rollidel põhinevas pääsupiirangus, antakse õiguseid rollidele, ning rolle jaotatakse omakorda kasutajatele.

== Network Access Control List ==

Networking ACL on pääsuloend, mis niiöelda filtreerib võrguliiklust. Ruuter vaatleb igat andmepaketti, et kindlaks teha, kas saata see edasi või jätta see maha, põhinedes pääsuloedisse määratud kriteeriumitest. Pääsuloednisse määratud kriteeriumid võivad olla näiteks kasutaja MAC aaddress, IP aadress ja pordi number.

== Filesystem Access Control List ==

Failisüsteemides on peamiseks piiramise vahendiks kasutajatunnus või grupi nimi, kus määratakse nende õigused. Loend on andmestruktuur, harilikult tabel, mis sisaldab kirjeid üksikute kasutajate või rühmade õigustest kindlatele süsteemiobjektidele, nagu programmid, protsessid, või failid. Linux-is, Mac OS X-is, OpenVS-is, ning Windows-is nimetatakse neid kirjeid pääsupiiramiskirjeteks <i>(ingl.k. Access Control Entries)</i>. Igal ligipääsetaval objektil on selle pääsupiiramisloendile suunav tunnus. Kindlaid ligipääsuõiguseid määravad õigused: näiteks kas kasutajal on lubatud objektist lugeda, sinna kirjutada, ning seda käivitada. Mõningad pääsupiiramisloendid on võimelised piirama seda, kas kasutajal või nende rühmal on lubatud objekti pääsupiiramisloendit muuta.

==Sissejuhatus==

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (''read''- lugemine, ''write''- kirjutamine, ''execute''- käivitamine) kolmele kasutajagrupile (''owner''-omanik, ''group''- grupp ja ''others''- teised). ACL võimaldab pääsupiiramisõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACLis määrata õigused nimeliselt lisa kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutajal kui tavakasutajal. Alljärgenva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.

== Kuidas kasutada pääsupiiramisloendit failisüsteemides? ==

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne. Et kindel olla, kas kasutatav failisüsteem toetab ACLi tuleb lugeda dokumentatsiooni.

==Käsu formaat==

Peamiselt kasutatakse kahte käsku oma võtmetega.

<font size="4">'''getfacl''' [võti] fail ...</font>

<font size="4">'''setfacl''' [võti] { -m|-M|-x|-X ... } fail ...</font>

<h5>Võtmete kirjeldusi</h5>

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
| style="width: 150px;" |'''-h'''
|style="width: 150px;" |'''--help'''
|käsu info

|-
|'''-v'''
|'''--version'''
|versiooni info
|}

getfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-a'''
|'''--access'''
|kuvab pääsukontrolli nimekirja

|-
|'''-c'''
|'''--omit-header'''
|pääsukontrolli nimekirja kuvamine kommentaarideta (kuvab pääsukontrollinimekirja ilma faili, omaniku ning grupi nimeta)

|-
|'''-n'''
|'''--numeric'''
|kuvab kasutajate/gruppide numbrilised ID-d

|-
|'''-R'''
|'''--recursive'''
|kuvab ka alamkataloogide ACL õigused
|}

settfacl võtmeid

{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|muudab kehtivat faili ACLi

|-
|'''-M'''
|'''--modify-file=file'''
|loeb ACLi kirjet failist ning muudab vastavalt loetule

|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL kirjed faililt
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|-
|'''--set'''
|
|määrab ACLi failile, asendab kehtivad õigused
|}

==Näited==

Näited on teostatud tavakasutaja õigustes. Näidetes on määratud õigused kasutades viisi: r,w,x, võib kasutada ka numbrilist õiguste määramist.

<h5>Näide 1</h5>

* faili/kausta õiguste kuvamine
<pre size="3">getfacl <faili/kausta_nimi></pre>
* Kuvame kausta nimega test õigused:
<font size="3">getfacl test</font>
* tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>

Esimesed kolm rida väljastavad kausta nime, omaniku ning grupi, järgenvad kolm rida näitavad kasutaja, grupi ja teiste õiguseid. See on minimaalne ACL. Hetkel ei ole kuvatud infot, mida ei saaks mõne põhikäsuga.

* lisame kasutajale jaan õiguse vaadata ja muuta kausta test:

<pre size="3">setfacl -m u:jaan:rw- test</pre>
*tulemus vaadatuna käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
group::rwx
mask::rwx
other::r-x
</pre>
Näeme, et pääsupiiramisloendisse on lisandunud kasutaja jaan õigustega vaadata ja muuta kausta test.

*tulemus vaadatuna käsuga ls -l
<pre size="3">drwxrwxr-x+ 2 mari mari 4096 dets 25 14:55 test</pre>
Näeme, et kausta test õiguste lõpus on märk "+", see näitab, et kasutusel on ACL.

<h5>Näide 2</h5>

* lisa kasutajale ja lisa grupile õiguste andmine
<pre size="3">setfacl -m u:[kasutaja_nimi]:[õigused],g:[grupi_nimi]:[õigused] [kausta/faili nimi]</pre>
* lisame kasutajale toomas ja grupile tudengid õiguse vaadata ja muuta kausta test
<pre size="3">setfacl -m u:toomas:rw-,g:tudengid:rw- test</pre>
* tulemus vaadatud käsuga: getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rw-
user:toomas:rw-
group::rwx
group:tudengid:rw-
mask::rwx
other::r-x</pre>
Näeme, et nii kasutaja toomas kui grupp tudengid on lisandunud pääsupiiramisloendisse. Ning nad on saanud õigused r ja w kaustale test.
<h5>Näide 3</h5>
Mida tähendab pääsupiiramisloendis olev '''mask'''?
Maskiga on võimalik piirata ACLiga loodud kasutaja ja grupi õiguseid (omaniku õiguseid mask ei muuda). Mask määrab maksimaalsed õigused.
* Anname kasutajale jaan ja grupile tudengid nii vaatamise, muutmise kui käivitamsie õigused, kuid maskile määrame ainult vaatamise õigused
<pre size="3">setfacl -m u:jaan:rwx,g:marjuline:rwx test</pre>
<pre size="3">setfacl -m mask::r-- test</pre>
*tulemus vaadatuna käsuga getfacl test
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:rwx #effective:r--
user:toomas:rw- #effective:r--
group::rwx #effective:r--
group:tudengid:rwx #effective:r--
mask::r--
other::r-x
</pre>
Kuigi jaan sai õigused: rwx, on maski tõttu tal ainult õigus:r.
''effective'' näitab kehtivaid õiguseid

<h5>Näide 4</h5>
*ACL õiguste eemaldamine
<pre size="3">setfacl -x u:[kasutaja_nimi] [kausta/ faili nimi]</pre>
*eemaldame jaani ja toomase ACLiga antud õigused
<pre size="3">setfacl -x u:jaan,u:toomas test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
group:tudengid:rwx
mask::rwx
other::r-x
</pre>
Näeme, et jaani ja toomast ei ole enam pääsupiiramisloendis,küll aga on alles grupp tudengid
<h5>Näide 5</h5>
ACL õiguste täielik eemaldamine
<pre size="3">setfacl -b [kausta faili nimi]</pre>
<pre size="3">setfacl -b test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
group::rwx
other::r-x
</pre>
<h5>Näide 6</h5>
*määrame kaustale/ failile uued õigused
<pre size="3">setfacl --set u::[õigused],g::[õigused],o::[õigused],u:[kasutaja_nimi]:[õigused] [kasuta/ faili_nimi]</pre>
* määrame kaustale test uued õigused kasutades --set võtit. Antud võtit kasutades tuleb kindalsti määrata ka omaniku, grupi ning teiste õigused.
<pre size="3">setfacl --set u::rwx,g::rw,o::-,u:jaan:r test</pre>
*tulemus
<pre size="3"># file: test
# owner: mari
# group: mari
user::rwx
user:jaan:r--
group::rw-
mask::rw-
other::---</pre>
<h5>Näide 7</h5>
Kui on vajalik kasutada sarnaseid õiguseid mitmel korral tasub töö lihtsustamiseks luua tekstifail, mis sisaldab ACL õiguseid.
Nt võib faili sisu olla selline
<pre size="3">user:jaan:rw-
user:toomas:rw-
group:tudengid:r--
mask::rw-
other::---
</pre>
*Failis kirjeldatud õiguste kasutamine
<pre size="3">setfacl -M [fail_kus_on_õigustekirjeldus] [fail_millele_määran_õigused]</pre>
*määran failis minu_acl kirjeldatud õigused failidele test1, test2, test3

<pre size="3">setfacl -M minu_acl test*</pre>
*tulemus getfacl test1

<pre size="3"># file: test1
# owner: mari
# group: mari
user::rw-
user:jaan:rw-
user:toomas:rw-
group::rw-
group:tudengid:r--
mask::rw-
other::---</pre>

==mv ja cp==

*mv käsklus säilitab ACLiga määratud õigused alati kui see on võimalik, kui võimalus puudub, siis kuvatakse hoiatus
*cp säilitab ACL õigused, kui seda kasutatakse koos võtmega -p või -a

==Kokkuvõte==

ACL võimaldab paindlikumalt juurdepääsuõiguseid määrata ning lubab seda teha ka tavakasutajal.

== Kasutatud kirjandus ==
# http://msdn.microsoft.com/en-us/library/aa374872(v=VS.85).aspx
# http://www.cisco.com/en/US/docs/ios/11_3/security/configuration/guide/scacls.html#wp1834
# http://www.pcguide.com/ref/hdd/file/ntfs/secAccess-c.html
# http://alt.pluralsight.com/wiki/default.aspx/Keith.GuideBook/WhatIsAnAccessControlList.html
#http://setacl.sourceforge.net/html/doc-basics.html
# http://www.tekbar.net/hackers-and-security/acl-enhance-safety-margin.html

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]