Советник

Юридические услуги по корпоративному праву

Правила acl

Профили доступа и правила ACL

Списки управления доступом состоят из профилей доступа (Access Profile) и правил (Rule). Профили доступа определяют типы критериев фильтрации, которые должны проверяться в пакете данных (MAC-адрес, IP-адрес, номер порта, VLAN и т.д.), а в правилах непосредственно указываются значения их параметров. Каждый профиль может состоять из множества правил.

Когда коммутатор получает кадр, он проверяет его поля на совпадение с типами критериев фильтрации и их параметрами, заданными в профилях и правилах. Последовательность, в которой коммутатор проверяет кадр на совпадение с параметрами фильтрации, определяется порядковым номером профиля (Profile ID) и порядковым номером правила (Rule ID). Профили доступа и правила внутри них работают последовательно, в порядке возрастания их номеров, т.е. кадр проверяется на соответствие условиям фильтрации, начиная с первого профиля и первого правила в нем. Так, кадр сначала будет проверяться на соответствие условиям, определенным в правиле 1 профиля 1. Если параметры кадра не подходят под условия проверки, то далее кадр будет проверяться на совпадение с условиями, определенными в правиле 2 профиля 1 и т.д. Если ни одно из правил текущего профиля не совпало с параметрами кадра, то коммутатор продолжит проверку на совпадение параметров кадра с условиями правила 1 следующего профиля. При первом совпадении параметров кадра с правилом, к пакету данных будет применено одно из действий, определенных в правиле: «Запретить», «Разрешить» или «Изменить содержимое поля пакета» (приоритет 802.1р/ DSCP). Далее пакет данных проверяться не будет. Если ни одно из правил не подходит, то применяется политика по умолчанию, разрешающая прохождение всего трафика.

Следует отметить, что коммутаторы имеют ограничения по количеству обрабатываемых профилей и правил. Информацию о максимальном количестве поддерживаемых профилей и правил можно найти в документации на используемое устройство.

5. Настройка прав доступа ACL¶

Для создания прав доступа к файлам Samba ресурса сервера используйте ACL (Access Control List — список контроля доступа). При помощи ACL вы можете установить доступ к файлам определенным группам, либо конечным пользователям.

Стандартные команды работы с ACL — setfacl и getfacl — подробно описаны в руководстве, поэтому здесь мы ограничимся примерами.

После настройки Samba сервера, создаётся путь для общей точки монтирования /var/calculate/server-data/samba/share.

Внимание. Убедитесь, что файловая система диска, содержащего указанную директорию, поддерживает ACL. Не забудьте в опции монтирования файловой системы указать параметр «acl» (для xfs не требуется).

Новый ресурс¶

Для примера допустим у вас в системе есть две группы manager и logist , а также два пользователя iivanov и apetrov .

Создадим директорию Менеджер для доступа на чтение и запись пользователям, входящим в группу manager .

Первая команда создаст директорию с правами чтения выполнения и изменения содержимого для пользователя root . Второй командой мы установим те же права для пользователей группы manager .

Файлы и директории, создаваемые пользователями этой группы, либо root -ом, будут наследовать атрибуты доступа.

Просмотр прав доступа¶

Права на доступ к директории, вы можете посмотреть из консоли, либо через файловый менеджер dolphin , с Calculate Linux Desktop (KDE версия).

Увидеть права доступа из консоли можно выполнив команду:

Программа выведет следующий текст:

Для просмотра прав из dolphin , нажмите на файле или директории правой кнопкой мыши, выберите вкладку Права , далее нажмите на кнопку Дополнительные права. Растяните открывшееся окно, чтобы увидеть все атрибуты.

Управление доступом¶

Для управлением доступом используется команда setfacl.
Для модификации или добавления правила используется параметр -m .

Если пользователь пропущен, то права назначаются владельцу файла.
Если группа пропущена, то права назначаются группе-владельцу файла.

Добавить право на чтение/запись файла secretinfo пользователям iivanov и apetrov :

Добавить право на чтение/выполнение файла runit группе :

Права можно комбинировать в одной строке.

Добавить для файла qwerty право чтения для пользователя iivanov , право чтение/запись для apetrov , чтение выполнение для группы logist , запретить группе workers выполнять какие либо действия.

Права по умолчанию¶

Для директорий можно указать ACL права, которые будут автоматически добавляться для файлов и директорий, создаваемых в ней. Для этого используется идентификатор default или параметр -d . На саму директорию права указанные в default не распространяются.

Для файлов и директорий, создаваемых в директории managerdata , добавить право чтение/записи для пользователя iivanov .

Рекурсивная установка прав¶

Для установки прав для всех файлов и директорий внутри директории используется параметр -R . Так как для того, чтобы читать файл необходимы права на чтение r , а для того чтобы читать директорию необходимы права на чтение и выполнение rx , то можно при указании прав вместо х указывать X . Флаг X устанавливает права на выполнение только для директорий и файлов, которые уже имеют право на выполнение. Флаг X вычисляется на момент запуска setfacl , поэтому в default правилах она интерпретируется как x .

Разрешить пользователю apetrov читать все файлы и просматривать директории в folder .

Обе команды имеют недостаток, который проявляется при создании новых файлов и директорий. Разница в том, что в первом случае пользователь apetrov получит право на выполнение всех новых файлов создаваемых в folder и вложенных директориях, а во втором случае пользователь не сможет просматривать новые директории.

Удаление прав¶

Для удаления правила для пользователя или группы используется параметр -x .

Удалить права доступа к файлу secretfile для пользователя iivanov .

Удалить права доступа ко всем файлам и директориям внутри folder для пользователя apetrov .

Очистка правил¶

Для удаления всех ACL правил используется опция -b . Ее также можно использовать совместно с -m , для того, чтобы заместить права.

Удалить все ACL правила и разрешить пользователю iivanov читать secretfile .

Копирование ACL¶

Для того, чтобы установить ACL на файл аналогичный какому-либо другому файлу используется команда:

В этом случае файл targetfile будет иметь такие же права как и basefile . Это достигается за счет параметра M , при помощи которого можно задавать права из файла (или стандартного потока ввода ).

Эффективная маска¶

Эффективная маска используется для ограничения определенного действия для всех пользователей и групп описанных в ACL. То есть можно например запретить всем писать в файл установив эффективную маску r-x .

Иногда эффективная маска вычисляется автоматически (например при действии chmod , а также при создании файла, так как применяется права umask ). Для отмены маски ее следует установить в значение rwx .

Порядок определения доступа к файлу.¶

Может ли пользователь выполнить действие над файлом или директорией определяются следующим образом.

  1. Используются права владельца, если пользователь им является.
  2. Используются права, указанные конкретно для этого пользователя.
  3. Если действие разрешено хотя бы для одной из группы в которую входит пользователь.
  4. Если пользователь не входит ни в одну группу описанную в ACL, то используются права для other .

Блог о системном администрировании. Статьи о Linux, Windows, СХД NetApp и виртуализации.

Привет, посетитель и постоянный читатель блога! Сегодня небольшая заметка о тюнинге squid. Причина размещения данной статьи следующая: очень часто на форумах встречаю как TC приводят примеры своих конфигов с чудовищной мешаниной директив acl и http_access, особенно в темах рассматривающих проблемы с доступом к squid. Настраивая какую-либо систему я стараюсь придерживаться какого-то логичного порядка. Постараюсь сегодня Вам донести, какого порядка http_access придерживаюсь я.

Основная идея заключается во фразе выдернутой из сквидового мануала по http_access :

Я уже рассматривал некоторые советы и правила в статье SQUID вводный пост. Сейчас постараюсь донести свое видение порядка acl и http_access. Собственно, порядок директив acl абсолютно не имеет никакого значения. Главное, чтобы acl были определены ДО правил http_access (я не нашел этому подтверждения в мануалах, но я имел некоторые проблемы с доступом при размещении acl после http_access). Я стараюсь группировать acl по одинаковым типам.

Настройка http_access в squid

Именно порядком размещения директив http_access определяется, получит клиент доступ к кэшу или нет. Алгоритм обработки запроса к кэшу следующий:

  1. Каждый запрос последовательно сравнивается с каждой строчкой правил http_access.
  2. Пока запрос не совпадет с одним из правил access или deny он будет следовать от правила к правилу и сверять свои полномочия.
    Тут все просто. Давайте разберем следующие правила:
  3. Если в http_access указано несколько acl, то применяется логическое И. Пример:
  4. Если запрос не попал ни под какое правило, то по-умолчанию, squid использует правило противоположное последнему.

Это основы основ. Но есть некоторые нюансы, выявленные при эксплуатации.

Тюнинг http_access )

Мы знаем, что существуют acl, использующие внешние модули аутентификации. Либо другие модули (например, srcdomain и srcdom_regex требующие DNS резолвинга). Можно сделать логический теоретический вывод, что данные acl могут работать несколько медленней, нежели acl src или dst или аналогичные. Согласно wiki, разработчики делят быстрые\медленные acl по следующим группам (с версии squid 3.1.0.7):

  • all (built-in)
  • src
  • dstdomain
  • dstdom_regex
  • myip
  • arp
  • src_as
  • peername
  • time
  • url_regex
  • urlpath_regex
  • port
  • myport
  • myportname
  • proto
  • method
  • http_status
  • browser
  • referer_regex
  • snmp_community
  • maxconn
  • max_user_ip
  • req_mime_type
  • req_header
  • rep_mime_type
  • user_cert
  • ca_cert
  • dst
  • dst_as
  • srcdomain
  • srcdom_regex
  • ident
  • ident_regex
  • proxy_auth
  • proxy_auth_regex
  • external
  • ext_user
  • ext_user_regex

Соответственно, если мы указываем первыми правила запрета, особенно если они «быстрые» (например такие

) то они очень быстро отрабатывают, снижая нагрузку за счет того, что до правил использующих аутентификацию доходят меньше запросов, те которые действительно в этом нуждаются. Итак, старайтесь размещать запрещающие правила http_access, использующие acl без внешних модулей как можно выше, далее размещайте разрешающие правила. Ну и последним не забываем указать deny all (to avoid potential confusion).

Траблшуттинг acl и http_access

Если при компоновке директивы http_access все же есть некоторые проблемы и нужный пользователь не получает доступа можно попытаться использовать опцию debug_options в squid. Пример:

Быстрое редактирование Cisco ACL

Одной из наиболее часто встречающихся задач по администрированию маршрутизаторов Cisco является настройка списков контроля доступа (ACL). К сожалению, управление списками контроля доступа с помошью традиционного интерфейса командной строки реализовано не вполне удобно. В режиме настройки маршрутизатора Cisco вы можете только добавлять правила в конец списка контроля доступа, не имея возможности редактировать или удалять правила из середины списка. Таким образом, для того, чтобы исправить правило в списке контроля доступа, вам необходимо сначала удалить весь список, а затем заново создать его, внося необходимые исправления по мере добавления правил. Нет нужды доказывать, что редактирование списков контроля доступа таким образом крайне неудобно.

Для того, чтобы избежать необходимости создания списка вручную, можно скопировать файл конфигурации на сервер TFTP, отредактировать его в текстовом редакторе, после чего скопировать файл конфигурации обратно на устройство. Подобный подход экономит время в случае редактирования больших списоков контроля доступа. Однако, он все равно требует определенного объема работы: необходимо развернуть сервер TFTP, вручную выполнить ряд команд для копирования конфигурационныех файлов. К тому же, в случае, если устройство находится за NAT либо фильтрующим файрволом, определенную сложность представляет настройка сервера TFTP.

Использование IOS Config Editor для быстрого редактирования списков контроля доступа

WinAgents IOS Config Editor упрощает редактирование списков контроля доступа. Программа содержит встроенный сервер TFTP, поддерживающий работу через файрвол либо NAT. Используя протокол SNMP, программа выполняет копирование файлов конфигурации устройства на внутренний сервер TFTP. Полученные файлы вы редактируете в удобном редакторе с подсветкой синтаксиса, внося необходимые изменения в списки контроля доступа. Как только исправления будут внесены, вы можете скопировать конфигурационные файлы обратно на устройство одним щелчком мыши. При сохранении конфигурации вы можете выбрать способ копирования – копирование либо объединение изменений со стартовым и выполняемым файлами конфигурации устройства.

Рассмотрим процесс редактирования списка контроля доступа подробнее. Предположим, у нас имеется следующий список контроля доступа:

Путь требуется добавить в начало списка строку:

Для этого мы добавим наше устройство в дерево устройств IOS Config Editor (смотрите соответствующий раздел документации для получения дополнительной информации). Затем развернем добавленное устройство и получим файл конфигурации, сделав двойной щелчек по одному из узлов конфигурации устройства. Программа подключится к устройству и откроет файл конфигурации устройства в редакторе. Найдем интересующий нас список контроля доступа и вставим перед ним команду удаления (no access-list 101). Это необходимо для первоначальной очистки списка. Затем вставим новое правило в список. Список контроля доступа примет следующий вид:

Зеленым цветом выделены строки, добавленные нами. После того, как изменения будут внесены, сохраним их в памяти устройства с помошью команды ‘Devices->Upload Device Config’. Программа предложит выбрать один из способов сохранения конфигурации устройства. В зависимости от версии IOS, установленной на вашем устройстве, некоторые способы сохранения могут быть недоступны. Нажмите кнопку ‘OK’ для сохранения конфигурации.

Как настроить функцию «Контроль доступа» (ACL) на ADSL роутерах TP-Link (решение TrendChip)

1. Шаг 1.
Откройте веб-браузер и наберите адрес роутера (по умолчанию 192.168.1.1) в адресной строке. Нажмите Enter.

2. Шаг 2.
Введите имя пользователя и пароль в появившимся окне. По умолчанию, имя пользователя – admin, пароль – admin. Нажмите Ok для доступа на страницу.

3. Шаг 3.
Зайдите в раздел Access ManagementACL. Здесь вы можете указать параметры доступа к ADSL роутеру, установив IP адрес клиента как безопасный адрес.

ACL: если включено, то IP адреса, указанные в списке могут получить доступ к роутеру. Если отключено, все клиенты могут получить доступ.
ACL Rule Index: выберете номер правила для настройки.
Active: включает правило.
Secure IP Address: введите IP-адреса, которым будет разрешен доступ на маршрутизатор. Со значением по умолчанию 0.0.0.0 доступ будет открыт всем IP-адресам.
Application: выберете приложение для ACL правила и тогда вы сможете получать доступ к роутеру через него. Если вы хотите получить удаленный доступ через интернет, измените значение на WEB.
Interface: Выберете интерфейс для доступа: LAN, WAN или оба.
Access Control of Listing: эта таблица отображает информацию о всех ACL правилах.

Шаг 4.
После изменения настроек нажмите Save.

Это интересно:

  • Сценарий на развод 5 преступных сценариев, или как не стать жертвой мошенников у себя дома Новостей об изобретательных мошенниках с каждым днем становится все больше, как и самих схем для обмана доверчивых граждан. По статистике МВД России, на долю краж, грабежей и мошенничеств в стране ежегодно […]
  • Правила оформления км Правила оформления км Система проектной документации для строительства ПРАВИЛА ВЫПОЛНЕНИЯ ПРОЕКТНОЙ И РАБОЧЕЙ ДОКУМЕНТАЦИИ МЕТАЛЛИЧЕСКИХ КОНСТРУКЦИЙ System of design documents for construction. Execution rules of design and working documents for metal structures Дата введения 2009-01-01 […]
  • Приказ 157 от 25032018 Приказ Министерства транспорта РФ от 18 апреля 2017 г. № 157 “О внесении изменений в приложения № 1, 2, 3 к приказу Министерства транспорта Российской Федерации от 15 марта 2016 г. № 64 «Об утверждении границ зон (районов) Единой системы организации воздушного движения Российской […]
  • Закон больших чисел в статистике это Закон больших чисел в статистике это Часть 1. Фундамент прикладной статистики 1.4.1. Законы больших чисел Законы больших чисел позволяют описать поведение сумм случайных величин. Примером является следующий результат, обобщающий полученный ранее в подразделе 1.2.2. Там было доказано […]
  • Применить законы сложения для упрощения вычислений Конспект урока по математике на тему "Сложение. Законы сложения. С/р." (5 класс) Успейте воспользоваться скидками до 60% на курсы «Инфоурок» Напоминаем, что в соответствии с профстандартом педагога (утверждён Приказом Минтруда России), если у Вас нет соответствующего преподаваемому […]
  • Битрикс правило обработки адресов Обработка адресов - ЧПУ Доброе время суток! Есть запись обработки адресов: Условие: #^/page/([0-9]+)/#Компонент: bitrix:news.listФайл: /news/index.phpПравило: /news/index.php?ID=$1 ЧПУ настроил, пытаюсь из адреса /page/X/ вытащить чило (Х) и подставить в адрес /news/index.php?ID=$1 Не […]
  • Ит ет правило Личные окончания глаголов настоящего и будущего времени Глаголы в настоящем и будущем времени изменяются по лицам и числам (это называется спряжением). По своим личным окончаниям глаголы делятся на два типа: I спряжения: -у ( -ю ), -ешь , -ет , -ем , -ете , -ут ( -ют ) II спряжения: -у ( […]
  • Дэз иск Организация ГУП Г.МОСКВЫ "ДЭЗ, ИСК" Адрес: Г МОСКВА,УЛ ВЕРХНЯЯ ПЕРВОМАЙСКАЯ, Д 49, КОРП 2 Юридический адрес: 105264, МОСКВА Г, ПЕРВОМАЙСКАЯ ВЕРХН. УЛ, 49, 2 ОКФС: 13 - Собственность субъектов Российской Федерации ОКОГУ: 2300230 - Органы исполнительной власти субъектов Российской […]
Все права защищены. 2018