当前位置:Linux教程 - Linux资讯 - ea/acl访问控制系统介绍

ea/acl访问控制系统介绍

摘要   在众多的Linux访问控制系统中,Andreas Gruenbacher的Linux ACL工程(http://acl.bestbits.at/)是比较有影响力的一个,也是最容易使用的一个。它依赖于文件系统的扩展属性(Extended Attribute)。  简介      作为一种自由的操作系统,Linux的发展极为迅速,也出现了很多改进传统UNIX系统缺点的工程。这些工程通过不同的方式帮助系统管理员提高系统的安全性,例如:进程的能力,更细粒度的权限等。在上期我们介绍了Linux的能力特性,本文将介绍Linux的ACL系统。      传统UNIX系统的访问控制方法是非常简单的,它把用户分成三类:文件的拥有者、组成员和其他用户。很显然,这种访问控制模型过于简陋了。随着对Linux系统安全性要求的提高,需要一种更细粒度的访问控制模型来代替传统UNIX系统的访问控制模型。使用ACL(Access Control List,访问控制列表)系统,系统管理员能够为每个用户(包括root用户在内)对文件和目录的访问提供更好的访问控制。在POSIX中定义了一种访问控制叫做POSIX ACL,可以实现基于单独用户的控制,目前的大多数Linux访问控制工程都是以此为基础。      在众多的工程中,Andreas Gruenbacher的Linux ACL工程(http://acl.bestbits.at/)是比较有影响力的一个。它依赖于文件系统的扩展属性(Extended Attribute)。当前,Linux能够在ext2/ext3和SGI的XFS文件系统中支持POSIX ACL。其它类型的文件系统,例如:ReiserFS文件系统也很快会支持ACL。在网络文件系统中,Linux能够通过Samba共享支持ACL,不过目前的NFS还不能支持ACL。需要指出的是,目前使用磁盘限额的ext3文件系统对ACL的支持不是很好。    1.安装EA/ACL系统    1.1.下载ACL/EA内核补丁以及相关工具      安装ACL/EA系统,首先需要下载相关的内核补丁、工具以及辅助库。所有所需的软件包都可以从http://acl.bestbits.at/download.Html下载。      本文将讨论如何在RedHat7.3(内核使用编写本文时的最新版本2.4.19,在本文完成时linux-2.4.20刚刚发布,不过相关的ea/acl的补丁还不太稳定)中安装ACL系统。需要指出的是,最新版的RedHat 8中已经广泛使用了ea/acl。为了系统维护的方便,建议除了内核补丁使用源代码包之外,其余软件都是用RPM包进行安装。整个安装过程需要用到以下的软件包:     acl-2.0.18-0.src.rpm   attr-2.0.10-0.src.rpm   e2fsprogs-1.27ea-26.4.src.rpm   star-1.5a03-2.src.rpm   fileutils-4.1.18acl65.5.src.rpm   linux-2.4.19-xattr-0.8.50.diff.gz   linux-2.4.19-acl-0.8.50.diff.gz    1.2.安装内核      在下在了所需的软件之后,就可以进入实际的安装了。我们首先需要一个支持ACL的内核,以下是具体的操作步骤:    1)进入内核源代码所在的目录,使用EA/ACL补丁升级内核源代码:    $ cd linux-2.4.19  $ zcat ../linux-2.4.19-xttr-0.8.50.diff.gz patch -p1  $ zcat ../linux-2.4.19-acl-0.8.50.diff.gz patch -p1    2)执行如下命令进入内核选项配置界面    # make xconfig    3)选择File systems进入文件系统的配置界面(如下图)    点击查看大图   4)打开POSIX Access Control List选项,然后根据需要打开ext2/ext3文件系统的支持选项(如下图)。    点击查看大图    点击查看大图   5)完成配置之后,执行如下命令编译支持ACL的内核:  [[The No.4 Picture.]]   #make dep  #make bzImage  #make modules  #make modules_install  #cp arch/i386/boot/bzImage /boot/ACLKernel    6)最后使用自己喜欢的编辑器编辑/boot/grub/menu.lst文件,使我们刚才编译的内核能够启动。    1.3.安装辅助工具    完成内核的安装之后,我们还需要安装用户空间的工具和库以便对ACL进行日常维护。    1)安装attr库    # rpm --rebuild attr-2.0.10-0.src.rpm  # rpm -ihv /usr/src/redhat/RPMS/i386/attr-2.0.10-0.i386.rpm  # rpm -ihv /usr/src/redhat/RPMS/i386/attr-devel-2.0.10-0.i386.rpm  # rpm -ihv /usr/src/redhat/RPMS/i386/libattr-2.0.10-0.i386.rpm    2)安装acl库    # rpm --rebuild acl-2.0.18-0.src.rpm  # rpm -ihv /usr/src/redhat/RPMS/i386/acl-2.0.18-0.i386.rpm  # rpm -ihv /usr/src/redhat/RPMS/i386/acl-devel-2.0.18-0.i386.rpm  # rpm -ihv /usr/src/redhat/RPMS/i386/libacl-2.0.18-0.i386.rpm    3)安装支持ACL的fileutils软件包。它比原始的fileutils软件包增加了维护ACL的工具。    # rpm --rebuild fileutils-4.1.18acl65.5.src.rpm  # rpm -Uhv /usr/src/redhat/RPMS/i386/fileutils-4.1.8acl-65.5.i386.rpm    4)安装支持文件系统的扩展属性(Extended Attribute)的e2fsprogs软件包。    # rpm --rebuild e2fsprogs-1.27ea-26.4.src.rpm  # rpm -Uhv /usr/src/redhat/RPMS/i386/e2fsprogs-1.27ea-26.4.i386.rpm    5)安装star。Star是一个类似于tar,支持ACL的快速归档工具。    # rpm --rebuild star-1.5a03-2.src.rpm  # rpm -Uhv /usr/src/redhat/RPMS/i386/    1.4.安装完成之后的设置      如果使用0.8.50版本的EA/ACL内核补丁,内核重新启动之后不会自动打开ACL功能,我们需要使用acl或者user_xattr选项mount文件系统才能使ACL生效。例如,笔者系统的/home目录位于/dev/hda7分区,我可以使用如下命令使/home分区支持访问控制列表:    # mount -o remount,acl /dev/hda7      为了方便使用(毕竟每次重新启动系统都是用手工打开ACL是很麻烦的),可以直接修改/etc/fstab文件,还是以笔者的系统为例,下面/etc/fstab文件的节选:    LABEL=/ / ext2 defaults 1 1  LABEL=/boot /boot ext2 defaults    1 2  LABEL=/home /home ext3 defaults    1 2  LABEL=/usr /usr ext3 defaults    1 2      如果需要使这几个分区支持文件系统的扩展属性和访问控制列表,只要在选项栏加入acl选项,然后执行#mount -remount -a命令即可:    LABEL=/ / ext2 defaults,acl   1 1  LABEL=/boot /boot ext2 defaults,acl    1 2  LABEL=/home /home ext3 defaults,acl    1 2    LABEL=/usr /usr ext3 defaults,acl    1 2    2.Linux EA/ACL的语法      安装了ACL系统之后,系统中的每个对象(文件和目录)都有一个ACL项目控制对这个目标的访问。每个目录之内所有对象的初始访问控制由目录的默认ACL项目决定。      每个ACL项目由一系列ACL规则组成,这些规则设置单独用户或者一组用户对目标的访问权限,包括:读、写和搜索/执行。每个ACL条目被冒号分为三个部分:规则标签类型(tag type)、规则限制符(qualifier)和访问权限(access permission)。规则标签类型包括以下关键词:    user--以user关键词开头的ACL规则设置对象拥有者或者其他用户对对象的访问权限。例如:   user::rw- 表示对象拥有者的访问权限;  user:nixe0n:r-- 表示用户nixe0n拥有读对象的权限。    group--设定某个用户组对对象的访问权限。例如:   group::rw- 表示用户所在用户组拥有读写权限;  group:linuxaid:r-- 表示属于linuxaid组的用户拥有读权限。    mask--以mask关键词开头的ACL规则用来限制赋予用户的最大访问权限,对象拥有者除外。例如:   user::rw-   user:nixe0n:rw-   #有效的是user:nixe0n:r--  group::rw-      #有效的是group:r--  group:linuxaid::rw- #有效的是group:linuxaid:r--  mask::r--  other::r--    other--指定其他用户对对象的访问权限。        每条ACL规则的第二部分是包含用户或者用户组识别符。用户识别符可以是用户名或者十进制的用户ID号;用户组识别符可以是用户组名或者十进制的用户组ID号。空白表示对象的拥有者或者拥有者所在的用户组。      第三部分是对对象的访问权限。读、写和搜索(目录)/执行(文件)分别由x、w和x代表,和通常使用的权限表示方法完全相同。对应的权限被-代替表示不具有此权限。      除了以上的关键词之外,还有一个只用于目录的关键词default。由default关键词修饰的ACL条目表示目录下所有子目录和文件的默认访问控制列表。      为了方便,还有一种简化的ACL规则表示方式。user可以用u代替;g表示group;m表示mask;o表示other。简化方式的访问控制列表,条目之间使用逗号分割。这种表示方式为命令行设置访问控制列表提供了很大的便利。例如:    $setfacl -m u::rw-,u:floatboat:rw-,g::r--,g:nixe0n:rw-,m::r--,o::r-- foo.txt    3.访问控制列表的维护      ACL生效之后,在使用ls -l命令罗列文件时,你会看到具有访问控制规则的目录或者文件的权限域会有一个加号(+)。例如,在打开ACL功能之前的文件如下所示:    [nixe0n@nixe0n nixe0n]$ ls -l  -rw-rw-r--  1 nixe0n  nixe0n   11331 09-12 20:02 exam.txt      使ACL功能生效之后,ls -l命令得到如下结果:     [nixe0n@nixe0n nixe0n]$ ls -l  -rw-rw-r--+  1 nixe0n  nixe0n   11331 09-12 20:02 exam.txt    3.1.setfacl      setfacl工具设置文件和目录的访问控制列表,支持对ACL规则的设置(-s/-S)、修改(-m/-M)和删除(-x/-X)。我们可以使用自己喜欢的编辑器按照ACL语法事先编写好某个对象的访问控制列表,然后使用大写的命令行选项进行设置或者修改操作;我们也可以使用小写命令行选项直接修改对象的访问控制规则,例如:    [nixe0n@nixe0n nixe0n]$ setfacl -m -m u::rw-,u:floatboat:rw-,g::r--, - exam.txt    3.2.getfacl      ls命令能够获得某个对象的访问权限,与之类似,getfacl命令可以获得文件和目录的访问控制列表规则,其输出格式如下所示:    [nixe0n@nixe0n nixe0n]$ getfacl doc  # file: doc/  # owner: nixe0n  # group: linuxaid  user::rwx  user:floatboat:rwx          group::rwx              group:cool:r-x  mask:r-x  other:r-x  default:user::rwx  default:user:flatboat:rwx      default:group::r-x  default:mask:r-x  default:other:---    总结      以上,我们讨论了EA/ACL访问控制系统的安装和使用。相对于其它类似的系统,如:lids、grsecurity等,EA/ACL非常容易使用,和Linux内核的结合也好的多。而且,ea/acl已经合并到了2.5内核中。合理地利用访问控制列表对提高系统的安全性很有帮助。


[1] [2] 下一页 

 

(出处:http://www.sheup.com)


上一页 [1] [2]