Access Control List: Difference between revisions

From ICO wiki
Jump to navigationJump to search
Kroasto (talk | contribs)
Kroasto (talk | contribs)
Line 42: Line 42:
==Käsu formaat==
==Käsu formaat==


Peamiselt kasutatakse kahte käsku oma võtmetega.


<font size="4">'''getfacl'''  [võti] fail ...</font>


  <font size="4">'''getfacl'''  [võti] fail ...</font>
  <font size="4">'''setfacl'''  [võti] { -m|-M|-x|-X ... } fail ...</font>


<h5>Võtmete kirjeldusi</h5>
<h5>Võtmete kirjeldusi</h5>
Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:


{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
Line 52: Line 56:
| style="width: 150px;" |'''-h'''  
| style="width: 150px;" |'''-h'''  
|style="width: 150px;" |'''--help'''
|style="width: 150px;" |'''--help'''
|käsu info, siit leiab lisa võtmeid
|käsu info


|-
|-
Line 58: Line 62:
|'''--version'''
|'''--version'''
|versiooni info   
|versiooni info   
|}
getfacl võtmed


{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|-
|'''-a'''
|'''-a'''
Line 88: Line 96:
|}
|}


settfacl võtmed
{| class="wikitable" border="1" style="border-style:solid; border-color:#EEEEEE;"
|-
|'''-m'''
|'''--modify=acl'''
|mudab praegust faili ACLi
|-
|'''-M'''
|'''--modify-file=file'''
|loeb ACLi kirjet failist ning muudab vastavalt loetule       
|-
|'''-x'''
|'''--remove=acl'''
|eemaldab ACL kirjed faililt     
|-
|'''-b'''
|'''--remove-all'''
|eemaldab kõik laiendatud õigused
|}





Revision as of 14:13, 25 December 2014

Pääsupiiramisloend (ACL ehk Access Control List) on rida õigusi, mis on lisatud teatud objektile. Pääsupiiramisloend koosneb pääsupiiramiskirjetest, mis iseloomustab operatsioone, mis on kasutajal või grupil keelatud või lubatud. Pääsuloend täpsustab millised kasutajad või süsteemi protsessid on lubatud ligi pääseda teatud objektile ning millised operatsioonid on lubatud teha antud objektiga.

Autor

2014 teeb täiendusi Kadri Roasto AK21

2010 Arvi Alamaa

Kuidas pääsupiiramisloend toimib?

Tüüpilises pääsupiiramisloendis määratakse igas kirjes (ACE ehk Access Control Entrie) subjekt (näiteks User või Group) ja sellele kaasnevad õigused. Kui subjekt tahab sooritada mingeid operatsioone antud objektiga siis pääsupiiramisloendil põhinevas turvamudelis operatsioonisüsteem kõigepealt otsib loendist vastavad kirjed, et otsustada kas nõutud operatsioon on lubatud või mitte.

Pääsupiiramisloendi tüübid

System Access Control List (SACL)

SACL võimaldab administraatoritel pidada logi selle kohta, kes on üritanud ligipääseda kaitstud objektile ning milliseid operatsioone on seal sooritatud. Kuna iga kirje kajastab, mis tüüpi ligipääsuga on tegemist ning kes üritas ligi pääseda, salvestatakse need andmed logi faili (security event log), mida saab vaadata Event Viewer's. Pääsuloendi kirjed (Access Control Entries) SACL's saavad genereerida auditi salvestatud kirjeid, kui ligipääsu katse nurjub või õnnestub.

Discretionary Access Control List (DACL)

DACL ehk valikuline pääsupiiramisloend tähendab seda, et objekti omanikul või loojal on täielik õigus piirata ligipääsu antud objektile, samas ka niimoodi, et ligipääs lubatakse kõikidele teistele. Süsteemil on kohustuslik pääsupiirang siis, kui see allub üle terve süsteemi kehtivatele piirangutele, mis on pääsupiiramisloendis määratletud õigustest tähtsamad. Harilikud pääsupiiramisloendite süsteemid määravad õiguseid üksikutele kasutajatele, mis võib suure kasutajahulga puhul tülikaks osutuda. Uuemas, rollidel põhinevas pääsupiirangus, antakse õiguseid rollidele, ning rolle jaotatakse omakorda kasutajatele.


Network Access Control List

Networking ACL on pääsuloend, mis niiöelda filtreerib võrguliiklust. Ruuter vaatleb igat andmepaketti, et kindlaks teha, kas saata see edasi või jätta see maha, põhinedes pääsuloedisse määratud kriteeriumitest. Pääsuloednisse määratud kriteeriumid võivad olla näiteks kasutaja MAC aaddress, IP aadress ja pordi number.

Filesystem Access Control List

Failisüsteemides on peamiseks piiramise vahendiks kasutajatunnus või grupi nimi, kus määratakse nende õigused. Loend on andmestruktuur, harilikult tabel, mis sisaldab kirjeid üksikute kasutajate või rühmade õigustest kindlatele süsteemiobjektidele, nagu programmid, protsessid, või failid. Linux-is, Mac OS X-is, OpenVS-is, ning Windows-is nimetatakse neid kirjeid pääsupiiramiskirjeteks (ingl.k. Access Control Entries). Igal ligipääsetaval objektil on selle pääsupiiramisloendile suunav tunnus. Kindlaid ligipääsuõiguseid määravad õigused: näiteks kas kasutajal on lubatud objektist lugeda, sinna kirjutada, ning seda käivitada. Mõningad pääsupiiramisloendid on võimelised piirama seda, kas kasutajal või nende rühmal on lubatud objekti pääsupiiramisloendit muuta.

Sissejuhatus

Antud dokumendis kirjeldatakse Access Control Listi (ACL) ehk pääsupiiramisloendi kasutamist Linux operatsioonisüsteemis. Traditsiooniliselt määratakse Linux süsteemi failisüsteemides kolme tüüpi õiguseid (read- lugemine, write- kirjutamine, execute- käivitamine) kolmele kasutajagrupile (owner-omanik, group- grupp ja others- teised). ACL võimaldab pääsupiiramisõiguseid määrata paindlikumalt. Lisaks omanikule, grupile ja teistele saab ACLis määrata õigused nimeliselt lisa kasutajale või grupile. ACL käsklusi on võimalik kasutada nii juurkasutajal kui tavakasutajal. Alljärgenva dokumentatsiooni kasutamiseks on vajalik omada algteadmiseid UNIXi-laadsetest operatsioonisüsteemidest ja käsureast.

Kuidas kasutada pääsupiiramisloendit failisüsteemides?

ACL on kasutatav mitmes Linuxi failisüsteemis nt: EXT2, EXT3, EXT4, XFS, Btfrs, jne. Et kindel olla, kas kasutatav failisüsteem toetab ACLi tuleb lugeda dokumentatsiooni.


Käsu formaat

Peamiselt kasutatakse kahte käsku oma võtmetega.

getfacl  [võti] fail ...
setfacl  [võti] { -m|-M|-x|-X ... } fail ...
Võtmete kirjeldusi

Mõlemal käsul on võimalik kasutada järgnevaid võtmeid:

-h --help käsu info
-v --version versiooni info

getfacl võtmed

-a --access kuvab pääsukontrolli nimekirja
-d --default kuvab vaikimisi pääsukontrolli nimekirja
-c --omit-header pääsukontrolli nimekirja kuvamine kommentaarideta
-e --all-effective kuvab kehtivad õigused
-n --numeric kuvab kasutajate/gruppide numbrilised ID-d
-R --recursive kuvab ka alamkataloogide ACL õigused

settfacl võtmed

-m --modify=acl mudab praegust faili ACLi
-M --modify-file=file loeb ACLi kirjet failist ning muudab vastavalt loetule
-x --remove=acl eemaldab ACL kirjed faililt
-b --remove-all eemaldab kõik laiendatud õigused



Esmalt tuleb valida soovitud objekt mille juurdepääsu soovite piirata. Seejärele vajutage paremat hiireklahvi objektil ning valige "Properties", sealt edasi valige "Security".


Uue vahelehe avanedes leiate te nimekirja kasutajatest ja gruppidest ning allpool, nendele antud juurdepääsu õigustest. Valides soovitud kasutaja või grupi ning vajutades "Edit" saate muuta vastava kasutaja või grupi juurdepääsuõigusi lisades soovitud pääsupiiramis kirje kastikesse linnukese (sinna klikkides). Vajutades aga "Advanced" avaneb teile aken uute vahelehtede ja suuremate võimalustega juurdepääsu piiramiseks.


Advanced akna avanedes näete nimekirja kasutajatest ja gruppidest ning tehes topelt-vajutus kirjele näete detailset loendit antud subjektile lubatud või keelatud operatsioonidest. Vajutades "Change Permissions", saate modifitseerida pääsupiiramisloendit.

Vajutades "Add" saate lisada uue kasutaja või grupi, kellele saate määrata juurdepääsu õigusi. Samuti võttes ära linnukese esimesest kastist ("Include inheritable permissions from this object's parents") saate soovitud kaustast eemaldada päritud juurdepääsuõigused, mis tulenevad kausta asukohast. Vajutades "Edit" avaneb aken, kust saate määrata spetsiifiliselt kellele ja milliseid operatsioone lubate.

Avanenud aknas saate valida kasutaja või grupi ("Change...") kellele soovite rakendada juurdepääsuõigust. Samuti saate valida "Apply to" nimekirjast millistele objektidele, selles kaustas, antud piirangud kehtivad. Pääsupiiramisloendist saate valida antud kasutajale lubatud ja keelatud operatsioonid pannes linnuke vastavasse kastikesse.

Kasutatud kirjandus