Aumentando a segurança de pastas e arquivos com ACL

Publicado por Júnior Carreiro em 06/04/2011

[ Hits: 11.237 ]

Blog: http://webdefense.blogspot.com.br/

 


Aumentando a segurança de pastas e arquivos com ACL



O uso das ACLs podem ajudar e muito na segurança de arquivos e pastas, pois elas acrescentam um grau a mais nas permissões, permitindo assim que possamos definir permissões mais específicas para determinados usuários ou grupos.

Por exemplo, temos uma pasta da administração, onde somente o grupo ADMIN tem acesso, porém queremos que o usuário "teste" do grupo ESTAGIO possa acessá-la, esse acesso pode ser dado através do uso das ACLs da seguinte maneira:

# setfacl -m d:u:teste:rx /administracao
  • setfacl: comando usando para defini a ACL
  • -m: parâmetro para modificar a ACL
  • d: define a ACL como padrão para o diretório
  • u: usado para o usuário
  • teste: usuário em questão
  • rx: permissões de leitura e execução
  • /administracao: diretório

Outros parâmetros:
  • g: usado para grupos
  • -x: utilizado para remover uma ACL

Vamos ver a seguir como implementar as ACLs e mais alguns parâmetros.

Nas distribuições baseadas em Red Hat, a instalação já vem por padrão, nas baseadas em Debian é necessário instalar o pacote "ACL".

Podemos implementar as ACLs das seguintes maneiras.

Adicionando o parâmetro "acl" dentro do fstab:

acl,defaults

Utilizando o comando mount:

# mount -o remount,acl /dev/sdx

Para os sistemas de arquivos que foram criados após a instalação:

# tune2fs /dev/sdx -o acl (para habilitar)

# tune2fs -l /dev/sdx | grep options (para verificar)

Para verificar as permissões das ACLs:

# getfacl /home (a pasta "home" é usada como exemplo)
getfacl: Removing leading '/' from absolute path names
# file: home/
# owner: root
# group: root
user::rwx
group::r-x
other::r-x


Outras dicas deste autor

MySQL - Reset senha root e acesso localhost

Leitura recomendada

Pronúncia de termos

Thunderbird no Debian Wheezy 7.8 64 bits

Corrigindo problema do OpenVPN no Ubuntu 10.04

Alternativas ao MS Paint pra Linux

Removendo softwares instalados no Slackware

  

Comentários
[1] Comentário enviado por ricardoolonca em 07/04/2011 - 12:00h

No exemplo citado, não daria no mesmo colocar o usuário teste no grupo ADMIN?

Outra solução seria criar um grupo somente para acessar esta pasta e incluir nele os usuários.

Prá mim não ficou claro qual a real vantagem de usar acl, visto que, nas situações citadas na dica, daria prá fazer o mesmo usando outras ferramentas já largamente conhecidas e utilizadas.

[2] Comentário enviado por RamonMedeiros em 11/04/2011 - 11:51h

@maionesebr

O uso de ACL fica muito mais claro quando é necessario a gestão me muitos grupos e usuarios.

Imagina que voce tem q dar acesso a tres usuarios q estao em 3 grupos diferentes. Neste caso, vc teria q criar um novo grupo para os tres e dar a permissao.

Isso desorganizaria seu sistema.Com ACL, basta:

setfacl -m u:user1:rwx -m u:user2:rwx -m u:user2:rwx -m o::000 file




Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts