Aumentando a segurança de pastas e arquivos com ACL

Publicado por Júnior Carreiro em 06/04/2011

[ Hits: 9.921 ]

Blog: http://webdefense.blogspot.com.br/

 


Aumentando a segurança de pastas e arquivos com ACL



O uso das ACLs podem ajudar e muito na segurança de arquivos e pastas, pois elas acrescentam um grau a mais nas permissões, permitindo assim que possamos definir permissões mais específicas para determinados usuários ou grupos.

Por exemplo, temos uma pasta da administração, onde somente o grupo ADMIN tem acesso, porém queremos que o usuário "teste" do grupo ESTAGIO possa acessá-la, esse acesso pode ser dado através do uso das ACLs da seguinte maneira:

# setfacl -m d:u:teste:rx /administracao
  • setfacl: comando usando para defini a ACL
  • -m: parâmetro para modificar a ACL
  • d: define a ACL como padrão para o diretório
  • u: usado para o usuário
  • teste: usuário em questão
  • rx: permissões de leitura e execução
  • /administracao: diretório

Outros parâmetros:
  • g: usado para grupos
  • -x: utilizado para remover uma ACL

Vamos ver a seguir como implementar as ACLs e mais alguns parâmetros.

Nas distribuições baseadas em Red Hat, a instalação já vem por padrão, nas baseadas em Debian é necessário instalar o pacote "ACL".

Podemos implementar as ACLs das seguintes maneiras.

Adicionando o parâmetro "acl" dentro do fstab:

acl,defaults

Utilizando o comando mount:

# mount -o remount,acl /dev/sdx

Para os sistemas de arquivos que foram criados após a instalação:

# tune2fs /dev/sdx -o acl (para habilitar)

# tune2fs -l /dev/sdx | grep options (para verificar)

Para verificar as permissões das ACLs:

# getfacl /home (a pasta "home" é usada como exemplo)
getfacl: Removing leading '/' from absolute path names
# file: home/
# owner: root
# group: root
user::rwx
group::r-x
other::r-x


Outras dicas deste autor

MySQL - Reset senha root e acesso localhost

Leitura recomendada

Instalando o modem smartlink no Slackware 12

Desvendado o aMSN para Ubuntu Linux rodando em MAC

PHP5 + MSSQL (FreeTDS) no Centos Linux 5.2

Instalação do browser Opera no Fedora Linux

Editores de Vídeo para Linux (Kdenlive, Cinelerra e Blender)

  

Comentários
[1] Comentário enviado por ricardoolonca em 07/04/2011 - 12:00h

No exemplo citado, não daria no mesmo colocar o usuário teste no grupo ADMIN?

Outra solução seria criar um grupo somente para acessar esta pasta e incluir nele os usuários.

Prá mim não ficou claro qual a real vantagem de usar acl, visto que, nas situações citadas na dica, daria prá fazer o mesmo usando outras ferramentas já largamente conhecidas e utilizadas.

[2] Comentário enviado por RamonMedeiros em 11/04/2011 - 11:51h

@maionesebr

O uso de ACL fica muito mais claro quando é necessario a gestão me muitos grupos e usuarios.

Imagina que voce tem q dar acesso a tres usuarios q estao em 3 grupos diferentes. Neste caso, vc teria q criar um novo grupo para os tres e dar a permissao.

Isso desorganizaria seu sistema.Com ACL, basta:

setfacl -m u:user1:rwx -m u:user2:rwx -m u:user2:rwx -m o::000 file




Contribuir com comentário