Siri RHCSA menggunakan ACLS (senarai kawalan akses) dan pemasangan saham Samba / NFS - Bahagian 7

Siri RHCSA menggunakan ACLS (senarai kawalan akses) dan pemasangan saham Samba / NFS - Bahagian 7

Dalam artikel terakhir (RHCSA Series Bahagian 6) kami mula menerangkan bagaimana untuk menubuhkan dan mengkonfigurasi penyimpanan sistem tempatan menggunakan berpisah dan SSM.

Siri RHCSA :: Konfigurasi saham ACL dan pemasangan NFS / Samba - Bahagian 7

Kami juga membincangkan cara membuat dan melancarkan jumlah yang disulitkan dengan kata laluan semasa boot sistem. Di samping itu, kami memberi amaran kepada anda untuk mengelakkan menjalankan operasi pengurusan penyimpanan kritikal pada sistem fail yang dipasang. Dengan itu, kami akan mengkaji format sistem fail yang paling banyak digunakan di Red Hat Enterprise Linux 7 dan kemudian terus menampung topik pemasangan, menggunakan, dan unmounting Kedua -dua sistem fail rangkaian secara manual dan secara automatik (CIFS dan NFS), bersama dengan pelaksanaan senarai kawalan akses untuk sistem anda.

Prasyarat

Sebelum meneruskan, sila pastikan anda mempunyai Samba pelayan dan a NFS pelayan tersedia (perhatikan bahawa NFSV2 tidak lagi disokong dalam RHEL 7).

Semasa panduan ini, kami akan menggunakan mesin dengan IP 192.168.0.10 dengan kedua -dua perkhidmatan berjalan di dalamnya sebagai pelayan, dan a RHEL 7 Kotak sebagai pelanggan dengan alamat IP 192.168.0.18. Kemudian dalam artikel kami akan memberitahu anda pakej mana yang perlu anda pasang pada pelanggan.

Format sistem fail di RHEL 7

Bermula dengan RHEL 7, Xfs telah diperkenalkan sebagai sistem fail lalai untuk semua seni bina kerana prestasi dan skalabiliti yang tinggi. Ia kini menyokong saiz sistem fail maksimum 500 TB Mengikut ujian terkini yang dilakukan oleh Red Hat dan rakannya untuk perkakasan arus perdana.

Juga, Xfs membolehkan user_xattr (atribut pengguna yang dilanjutkan) dan ACL (Senarai kawalan akses POSIX) Sebagai pilihan gunung lalai, tidak seperti ext3 atau ext4 (ext2 dianggap ditutup sebagai RHEL 7), yang bermaksud bahawa anda tidak perlu menentukan pilihan tersebut secara eksplisit sama ada pada baris arahan atau di /etc/fstab Semasa memasang sistem fail XFS (jika anda ingin melumpuhkan pilihan tersebut dalam kes terakhir ini, anda perlu menggunakan secara eksplisit no_acl dan no_user_xattr).

Perlu diingat bahawa atribut pengguna yang dilanjutkan boleh diberikan kepada fail dan direktori untuk menyimpan maklumat tambahan sewenang -wenang seperti jenis mime, set aksara atau pengekodan fail, sedangkan keizinan akses untuk atribut pengguna ditakrifkan oleh bit kebenaran fail biasa.

Senarai Kawalan Akses

Oleh kerana setiap pentadbir sistem, sama ada pemula atau pakar, mengenali kebenaran akses tetap pada fail dan direktori, yang menentukan keistimewaan tertentu (Baca, tulis, dan melaksanakan) untuk pemilik, kumpulan, dan "dunia" (semua yang lain). Walau bagaimanapun, jangan ragu untuk merujuk kepada bahagian 3 siri RHCSA jika anda perlu menyegarkan memori anda sedikit.

Walau bagaimanapun, sejak standard Ugo/RWX set tidak membenarkan untuk mengkonfigurasi kebenaran yang berbeza untuk pengguna yang berbeza, ACLS diperkenalkan untuk menentukan hak akses yang lebih terperinci untuk fail dan direktori daripada yang ditentukan oleh kebenaran biasa.

Sebenarnya, ACL ditakrifkan Kebenaran adalah superset keizinan yang ditentukan oleh bit kebenaran fail. Mari lihat bagaimana semua ini diterjemahkan di dunia nyata.

1. Terdapat dua jenis ACLS: ACLS ACLS, yang boleh digunakan untuk sama ada fail tertentu atau direktori), dan ACL lalai, yang hanya boleh digunakan untuk direktori. Sekiranya fail yang terkandung di dalamnya tidak mempunyai set ACL, mereka mewarisi ACL lalai direktori induk mereka.

2. Untuk memulakan, ACLS boleh dikonfigurasi setiap pengguna, setiap kumpulan, atau setiap pengguna tidak dalam kumpulan yang memiliki fail.

3. ACLS ditetapkan (dan dikeluarkan) menggunakan setfacl, dengan sama ada -m atau -x Pilihan, masing -masing.

Contohnya, marilah kita membuat kumpulan bernama Tecmint dan tambah pengguna Johndoe dan Davenull Kepada itu:

# GroupAdd Tecmint # UserAdd Johndoe # UserAdd Davenull # usermod -a -g tecmint Johndoe # usermod -a -g tecmint Davenull 

Dan mari kita sahkan bahawa kedua -dua pengguna tergolong dalam kumpulan tambahan Tecmint:

# id johndoe # id Davenull 
Sahkan pengguna

Mari kita buat direktori yang dipanggil taman permainan dalam /mnt, dan fail yang dinamakan testfile.txt dalam. Kami akan menetapkan pemilik kumpulan ke Tecmint dan tukar lalai Ugo/RWX kebenaran kepada 770 (baca, tulis, dan laksanakan kebenaran yang diberikan kepada pemilik dan pemilik kumpulan fail):

# mkdir/mnt/taman permainan # sentuh/mnt/taman permainan/testfile.TXT # CHMOD 770/MNT/Taman Permainan/TestFile.txt 

Kemudian tukar pengguna ke Johndoe dan Davenull, dalam perintah itu, dan tulis ke fail:

echo "Nama saya John Doe">/Mnt/Playground/TestFile.txt echo "Nama saya Dave Null" >>/mnt/taman permainan/testfile.txt 

Setakat ini begitu baik. Sekarang mari kita mempunyai pengguna Gacanepa tulis ke fail - dan operasi menulis akan gagal, yang diharapkan.

Tetapi bagaimana jika kita benar -benar memerlukan pengguna Gacanepa (yang bukan ahli kumpulan Tecmint) mempunyai kebenaran menulis mengenai /mnt/taman permainan/testfile.txt? Perkara pertama yang mungkin datang ke fikiran anda ialah menambah akaun pengguna ke kumpulan Tecmint. Tetapi itu akan memberinya kebenaran menulis SEMUA Fail adalah bit menulis ditetapkan untuk kumpulan, dan kami tidak mahu itu. Kami hanya mahu dia dapat menulis /mnt/taman permainan/testfile.txt.

# sentuh/mnt/taman permainan/testfile.txt # chown: tecmint/mnt/taman permainan/testfile.TXT # CHMOD 777/MNT/Taman Permainan/TestFile.txt # su johndoe $ echo "Nama saya John Doe">/Mnt/Playground/TestFile.txt $ su Davenull $ echo "Nama saya Dave Null" >>/mnt/taman permainan/testfile.txt $ su gacanepa $ echo "Nama saya adalah Gabriel Canepa" >>/mnt/taman permainan/testfile.txt 
Menguruskan Kebenaran Pengguna

Mari Berikan Pengguna Gacanepa membaca dan menulis akses ke /mnt/taman permainan/testfile.txt.

Jalankan sebagai akar,

# setfacl -r -m u: gacanepa: rwx /mnt /taman permainan 

Dan anda akan berjaya menambah ACL yang membenarkan Gacanepa Untuk menulis ke fail ujian. Kemudian beralih ke pengguna Gacanepa dan cuba menulis ke fail lagi:

$ echo "Nama saya Gabriel Canepa" >>/mnt/taman permainan/testfile.txt 

Untuk melihat ACLS Untuk fail atau direktori tertentu, gunakan getfacl:

# getfacl/mnt/taman permainan/testfile.txt 
Semak ACLS fail

Untuk menetapkan a ACL lalai ke direktori (yang kandungannya akan mewarisi kecuali ditimpa sebaliknya), tambah D: Sebelum peraturan dan tentukan direktori dan bukannya nama fail:

# setfacl -m d: o: r /mnt /taman permainan 

ACL di atas akan membolehkan pengguna tidak dalam kumpulan pemilik telah membaca akses ke kandungan masa depan /mnt/taman permainan direktori. Perhatikan perbezaan dalam output getfacl /mnt /taman permainan sebelum dan selepas perubahan:

Tetapkan ACL lalai di Linux

Bab 20 dalam Panduan Pentadbiran Penyimpanan Rhel 7 Rasmi menyediakan lebih banyak contoh ACL, dan saya sangat mengesyorkan anda melihatnya dan berguna sebagai rujukan.

Halaman: 1 2