Como um Administrador de Sistema, nossa primeira prioridade será proteger e garantir a segurança dos dados contra acessos não autorizados. Todos estamos cientes das permissões que definimos usando alguns comandos úteis do Linux como chmod, chown, chgrp… etc. No entanto, esses conjuntos de permissões padrão têm algumas limitações e às vezes podem não funcionar conforme nossas necessidades. Por exemplo, não podemos configurar conjuntos de permissões diferentes para diferentes usuários no mesmo diretório ou arquivo. Assim, foram implementadas as Listas de Controle de Acesso (ACLs).
Digamos que você tenha três usuários, ‘tecmint1’, ‘tecmint2’ e ‘tecmint3’. Cada um tendo um grupo em comum chamado ‘acl’. O usuário ‘tecmint1’ deseja que apenas o usuário ‘tecmint2’ possa ler e acessar arquivos de propriedade do ‘tecmint1’ e mais ninguém deve ter acesso a isso.
As ACLs permitem fazer esse truque. Essas ACLs nos permitem conceder permissões para um usuário, grupo e qualquer grupo de usuários que não estejam na lista de grupos de um usuário.
Observação: De acordo com a Documentação de Produto Redhat, ela fornece suporte de ACL para o sistema de arquivos ext3 e sistemas de arquivos exportados via NFS.
Como Verificar o Suporte de ACL em Sistemas Linux
Antes de prosseguir, você deve ter suporte para ACLs no Kernel atual e nos sistemas de arquivos montados.
1. Verificar o Suporte de ACL no Kernel
Execute o seguinte comando para verificar o Suporte de ACL para o sistema de arquivos e a opção POSIX_ACL=Y (se houver N em vez de Y, então significa que o Kernel não suporta ACL e precisa ser recompilado).
[root@linux ~]# grep -i acl /boot/config* CONFIG_EXT4_FS_POSIX_ACL=y CONFIG_REISERFS_FS_POSIX_ACL=y CONFIG_JFS_POSIX_ACL=y CONFIG_XFS_POSIX_ACL=y CONFIG_BTRFS_FS_POSIX_ACL=y CONFIG_FS_POSIX_ACL=y CONFIG_GENERIC_ACL=y CONFIG_TMPFS_POSIX_ACL=y CONFIG_NFS_V3_ACL=y CONFIG_NFSD_V2_ACL=y CONFIG_NFSD_V3_ACL=y CONFIG_NFS_ACL_SUPPORT=m CONFIG_CIFS_ACL=y CONFIG_9P_FS_POSIX_ACL=y
2. Verificar os Pacotes Necessários
Antes de começar a trabalhar com ACLs, certifique-se de que os pacotes necessários estão instalados. Abaixo estão os pacotes necessários que precisam ser instalados usando yum ou apt-get.
[root@linux ~]# yum install nfs4-acl-tools acl libacl [on RedHat based systems]
[tecmint@linux ~]$ sudo apt-get install nfs4-acl-tools acl [on Debian based systems]
3. Verificar o Suporte de ACLs no Sistema de Arquivos Montado
Agora, verifique o sistema de arquivos montado para saber se está montado com a opção de ACL ou não. Podemos usar o comando ‘mount’ para verificar o mesmo, como mostrado abaixo.
[root@linux ~]# mount | grep -i root /dev/mapper/fedora-root on / type ext4 (rw,relatime,data=ordered)
Mas no nosso caso, não está mostrando acl por padrão. Portanto, a próxima opção é remontar a partição montada novamente usando a opção acl. No entanto, antes de prosseguir, temos outra opção para garantir que a partição está montada com a opção acl ou não, pois para sistemas mais recentes pode estar integrado com a opção de montagem padrão.
[root@linux ~]# tune2fs -l /dev/mapper/fedora-root | grep acl Default mount options: user_xattr acl
No resultado acima, você pode ver que a opção de montagem padrão já tem suporte para acl. Outra opção é remontar a partição, como mostrado abaixo.
[root@linux ~]# mount -o remount,acl /
Em seguida, adicione a entrada abaixo ao arquivo ‘/etc/fstab’ para torná-la permanente.
/dev/mapper/fedora-root / ext4 defaults,acl 1 1
Novamente, remonte a partição.
[root@linux ~]# mount -o remount /
4. Para Servidor NFS
No servidor NFS, se o sistema de arquivos que é exportado pelo servidor NFS suportar ACL e as ACLs puderem ser lidas pelos Clientes NFS, então as ACLs são utilizadas pelo Sistema Cliente.
Para desabilitar ACLs em um compartilhamento NFS, você precisa adicionar a opção “no_acl” no arquivo ‘/etc/exportfs‘ no Servidor NFS. Para desabilitar no lado do cliente NFS, use a opção “no_acl” durante a montagem.
Como Implementar o Suporte a ACL em Sistemas Linux
Há dois tipos de ACLs:
- ACLs de Acesso: As ACLs de Acesso são usadas para conceder permissões em qualquer arquivo ou diretório.
- ACLs Padrão: As ACLs Padrão são usadas para conceder/configurar listas de controle de acesso em um diretório específico apenas.
Diferença entre ACL de Acesso e ACL Padrão:
- A ACL Padrão pode ser usada apenas no nível de diretório.
- Qualquer subdiretório ou arquivo criado dentro desse diretório herdará as ACLs do diretório pai. Por outro lado, um arquivo herda as ACLs padrão como suas ACLs de acesso.
- Nós utilizamos “-d” para configurar as ACLs padrão e as ACLs Padrão são opcionais.
Antes de Configurar ACLs Padrão
Para determinar as ACLs padrão de um arquivo ou diretório específico, use o comando ‘getfacl‘. No exemplo abaixo, o getfacl é usado para obter as ACLs padrão de uma pasta ‘Music’.
[root@linux ~]# getfacl Music/ # file: Music/ # owner: root # group: root user::rwx group::r-x other::r-x default:user::rwx default:group::r-x default:other::rw-
Depois de Configurar as ACLs Padrão
Para definir as ACLs padrão de um arquivo ou diretório específico, use o comando ‘setfacl‘. No exemplo abaixo, o comando setfacl definirá novas ACLs (leitura e execução) em uma pasta ‘Music’.
[root@linux ~]# setfacl -m d:o:rx Music/ [root@linux ~]# getfacl Music/ # file: Music/ # owner: root # group: root user::rwx group::r-x other::r-x default:user::rwx default:group::r-x default:other::r-x
Como definir novas ACLs
Use o comando ‘setfacl’ para definir ou modificar em qualquer arquivo ou diretório. Por exemplo, para dar permissões de leitura e escrita ao usuário ‘tecmint1‘.
# setfacl -m u:tecmint1:rw /tecmint1/example
Como visualizar as ACLs
Use o comando ‘getfacl‘ para visualizar a ACL em qualquer arquivo ou diretório. Por exemplo, para visualizar a ACL em ‘/tecmint1/exemplo‘ use o comando abaixo.
# getfacl /tecmint1/example # file: tecmint1/example/ # owner: tecmint1 # group: tecmint1 user::rwx user:tecmint1:rwx user:tecmint2:r-- group::rwx mask::rwx other::---
Como remover as ACLs
Para remover as ACLs de qualquer arquivo/diretório, utilizamos as opções x e b como mostrado abaixo.
# setfacl -x ACL file/directory # remove only specified ACL from file/directory. # setfacl -b file/directory #removing all ACL from file/direcoty
Vamos implementar ACLs no seguinte cenário.
Dois usuários (tecmint1 e tecmint2), ambos com um grupo secundário comum chamado ‘acl‘. Vamos criar um diretório de propriedade do ‘tecmint1‘ e fornecer permissão de leitura e execução nesse diretório para o usuário ‘tecmint2‘.
Passo 1: Crie dois usuários e remova a senha de ambos
[root@linux ~]# for user in tecmint1 tecmint2 > do > useradd $user > passwd -d $user > done Removing password for user tecmint1. passwd: Success Removing password for user tecmint2. passwd: Success
Passo 2: Crie um grupo e usuários para o grupo secundário
[root@linux ~]# groupadd acl [root@linux ~]# usermod -G acl tecmint1 [root@linux ~]# usermod -G acl tecmint2
Passo 3: Crie um diretório /tecmint e mude a propriedade para tecmint1.
[root@linux ~]# mkdir /tecmint1 [root@linux ~]# chown tecmint1 /tecmint1/
[root@linux ~]# ls -ld /tecmint1/ drwxr-xr-x 2 tecmint1 root 4096 Apr 17 14:46 /tecmint1/
[root@linux ~]# getfacl /tecmint1 getfacl: Removing leading '/' from absolute path names # file: tecmint1 # owner: tecmint1 # group: root user::rwx group::r-x other::r-x
Passo 4: Faça login com tecmint1 e crie um diretório na pasta /tecmint.
[tecmint@linux ~]$ su - tecmint1 Last login: Thu Apr 17 14:49:16 IST 2014 on pts/4
[tecmint1@linux ~]$ cd /tecmint1/ [tecmint1@linux tecmint1]$ mkdir example
[tecmint1@linux tecmint1]$ ll total 4 drwxrwxr-x 2 tecmint1 tecmint1 4096 Apr 17 14:50 example
[tecmint1@linux tecmint1]$ whoami tecmint1
Passo 5: Agora defina ACL usando ‘setfacl‘, para que ‘tecmint1’ tenha todas as permissões rwx, ‘tecmint2’ terá apenas permissão de leitura na pasta ‘exemplo‘ e outros não terão permissões.
$ setfacl -m u:tecmint1:rwx example/ $ setfacl -m u:tecmint2:r-- example/ $ setfacl -m other:--- example/ $ getfacl example/ # file: example # owner: tecmint1 # group: tecmint1 user::rwx user:tecmint1:rwx user:tecmint2:r-- group::r-x mask::rwx other::---
Passo 6: Agora faça login com outro usuário, ou seja, ‘tecmint2’, em outro terminal e mude o diretório para ‘/tecmint1’. Tente visualizar o conteúdo usando o comando ‘ls’ e depois tente mudar de diretório para ver a diferença como abaixo.
[tecmint@linux ~]$ su - tecmint2 Last login: Thu Apr 17 15:03:31 IST 2014 on pts/5
[tecmint2@linux ~]$ cd /tecmint1/ [tecmint2@linux tecmint1]$ ls -lR example/ example/: total 0
[tecmint2@linux tecmint1]$ cd example/ -bash: cd: example/: Permission denied
[tecmint2@linux tecmint1]$ getfacl example/ # file: example # owner: tecmint1 # group: tecmint1 user::rwx user:tecmint1:rwx user:tecmint2:r-- group::rwx mask::rwx other::---
Passo 7: Agora dê permissão de ‘execução’ para ‘tecmint2’ na pasta ‘exemplo’ e depois use o comando ‘cd’ para ver o efeito. Agora ‘tecmint2’ tem permissão para visualizar e mudar de diretório, mas não possui permissões para escrever nada.
[tecmint1@linux tecmint1]$ setfacl -m u:tecmint2:r-x example/ [tecmint1@linux tecmint1]$ getfacl example/ # file: example # owner: tecmint1 # group: tecmint1 user::rwx user:tecmint1:rwx user:tecmint2:r-x group::rwx mask::rwx other::---
[tecmint@linux ~]$ su - tecmint2 Last login: Thu Apr 17 15:09:49 IST 2014 on pts/5
[tecmint2@linux ~]$ cd /tecmint1/ [tecmint2@linux tecmint1]$ cd example/ [tecmint2@linux example]$ getfacl .
[tecmint2@linux example]$ mkdir test mkdir: cannot create directory ‘test’: Permission denied
[tecmint2@linux example]$ touch test touch: cannot touch ‘test’: Permission denied
Nota: Após implementar o ACL, você verá um sinal extra de ‘+’ na saída ‘ls -l’ como abaixo.
[root@linux tecmint1]# ll total 4 drwxrwx---+ 2 tecmint1 tecmint1 4096 Apr 17 17:01 example
Links de Referência
Source:
https://www.tecmint.com/secure-files-using-acls-in-linux/