Como usar o ACL estendido no AIX?

2

Usando o AIX (6.1) FTPD, um usuário precisa efetuar login e deve atingir apenas dois diretórios (leitura / gravação) no sistema, ex .:

/foo/sth1

e

/foo2/sth2

No diretório inicial dos usuários, ele não deve alcançar nada. Esses dois diretórios são usados por outros também.

Como podemos fazer isso? Não podemos fazê-lo com ACLs normais, porque nesse caso IMHO precisamos remover a "outra" permissão de todos os arquivos que não estão nos dois caminhos mencionados.

Ouvi dizer que podemos fazer isso com as ACL estendidas . Mas como?

    
por gasko peter 14.02.2013 / 06:59

1 resposta

1

Eu sei que isso pode não ser a resposta que você está procurando, mas ACL (Access Control List) é uma permissão muito granular, atribuída a cada arquivo , não a usuários ou diretórios. E, até onde eu sei, não existe uma ACL estendida no AIX. Existem permissões de arquivo base, como em Owner: rwx, Group: rwx e Others: rwx, que são conhecimento comum do UNIX. Então vem os atributos, ou seja, setuid, setgid e savetext, que são menos conhecidos, mas para um administrador unix experiente, eles devem ser bastante óbvios. Por último, vêm os atributos estendidos que são comumente referidos como ACLs, atribuídos a cada arquivo, um por um. Estes são (copiados diretamente das definições da IBM):

allow: Concede ao usuário ou grupo o acesso especificado ao arquivo

deny: Restringe o usuário ou grupo de usar o acesso especificado ao arquivo

especifica: define com precisão o acesso ao arquivo para o usuário ou grupo

Para o uso exato de como esses valores podem ser definidos ou removidos, você precisa ver a página do manual para acledit em seu sistema AIX.

Depois de ter dito tudo isso, eu não acredito que isso é o que você precisa considerando o seu caso especial com ftp jailing. Se você planeja ter o tipo anônimo ftp e não deseja que as partes de entrada acessem acima do diretório base que você definiu para esse (s) usuário (s), será necessário ver o documento no site da IBM, orientando você passo a passo, para habilitar o ftp anônimo. Documento pode ser encontrado em: link

Se ftp anônimo não é sua preocupação, mas você quer criar um ambiente de FTP preso para um usuário que fará login com um nome de usuário e senha predefinidos, você deve considerar algo como um proftpd, detalhes de instalação e uso ser encontrado em:

link

É em francês, mas tenho certeza de que você pode usar o google translate para torná-lo inglês, se quiser. O proftpd é um pacote rpm instalável em servidores da série IBM P que executam o AIX. O documento diz o AIX v5.2, mas não deve haver muita mudança para versões 5.3 e posteriores.

Espero que isso lhe dê um ponto de partida. Mas, novamente, mentes curiosas podem se perguntar, nos dias de hoje, onde a segurança é um conceito crítico, por que alguém pode querer usar um protocolo inseguro como ftp em vez de usar algo como scp. Basta pensar nisso.

    
por 25.02.2013 / 23:31

Tags