Articles of 访问控制列表

我为/var/log/squid3/和/var/log/squid3/access.log设置了一些扩展ACL条目。 sudo setfacl -mu:jetty:rx,g:adm:rx /var/log/squid3 sudo setfacl -mu:jetty:r–,g:adm:r– /var/log/squid3/access.log 因为日志每天都在轮换，所以我每天都会失去它。 我编辑sudo nano /etc/logrotate.d/squid3但它不工作。 running postrotate script setfacl: /var/log/squid3/access.log: No such file or directory error: error running shared postrotate script for '/var/log/squid3/*.log ' 我的squid3 logrotate片段： /var/log/squid3/*.log { daily compress delaycompress rotate 2 missingok nocreate sharedscripts prerotate test ! -x /usr/sbin/sarg-reports || /usr/sbin/sarg-reports endscript postrotate test ! […]

如果NTLM身份validation助手是AD组的成员，则该身份validation助手只能将其标记为授权用户。 Kerberos身份validation帮助程序将用户标记为授权用户（如果他能够login），Kerberos助手无法完成组检查，所以我需要一个外部ACL程序，通过LDAP检查是否允许此用户使用乌贼。 我必须只允许通过NTLM直接授权的用户，外部LDAP检查成功后，允许Kerberos授权用户使用。 Kerberos用户显示为sAMAccountName @ REALM，例如“[email protected]” NTLM用户显示为sAMAccountName，例如“user” 我有这个ACL： # External ACL helper returns OK (User is in given LDAP group) acl ldap_group_check external squid_kerb_ldap # Username contains character '@' acl kerberos_without_ldap_auth proxy_auth_regex (@) 而这个规则： # Default: Kerberos + LDAP group check http_access allow ldap_group_check # Fallback: NTLM http_access allow !kerberos_without_ldap_auth 在这里，我的问题是：规则是什么 http_access allow !kerberos_without_ldap_auth 意思？ […]

我试图find添加评论到我的访问列表的最佳方式。 就目前来说，我发现的唯一一个是： switch#conf t switch(config)#ip access-list extended VLAN-TEST3 switch(config-ext-nacl)#remark first remark switch(config-ext-nacl)#10 permit ip any any switch(config-ext-nacl)#remark second remark switch(config-ext-nacl)#20 deny ip any any switch(config-ext-nacl)#remark third remark 但是通过使用这个命令，我看不到使用命令sh ip access-list VLAN-TEST3的注释，它们只在我执行sh run时才会出现（这对于查看ACL来说不是最实用的）。 我也不能为注释指定一些行，我不能修改/删除它们。 什么是最好的办法呢？ 我正在使用Cisco 3750

美好的一天： 我有一个鱿鱼2.7 stable9安装工作。 它连接到LDAP，用户可以完美authentication。 我有不同的规则，例如在工作时间阻止几个网站。 现在我想让一些像老板这样的特殊用户能够在工作时间访问这些网站。 我可以通过mac地址来完成。 但他需要能够从不同的计算机访问，所以MAC地址规则是不实际的。 我需要能够阻止取决于用户名称。 比如我试过这个： acl SpecialUser ident abel pedro geronimo http_access allow SpecialUser http_access allow password localnet MorningWork !denySite http_access allow password localnet AfternoonWork !denySite http_access allow password localnet !MorningWork !AfternoonWork http_access deny all 但它不起作用。 我究竟做错了什么？ 问候并感谢你

我在前端使用了SSL的Haproxy 1.5.3安装程序，并将SSL发送到后端服务器。 模式是http并使用acls来确定粘性。 我的testing请求如下： wget https：//domain.com/ping?IPT=transpor6t&FROM_ADDRESS=409 wget https：//domain.com/ping?FROM_ADDRESS=409&IPT=transport6 真正的url将有5个不同的参数，FROM_ADDRESS将是第三个参数。 我需要在第三个参数上创build粘性请求，并且似乎有很多方法可以使用Haproxy来做到这一点，即使使用正则expression式代价昂贵，它也提供了最大的灵活性，所以这就是我们select的（在这个例子中，我们离开了正则expression式来简化问题，并决定只是看看参数的最后一个字符，所以要确保正则expression式不是问题。 我们的ACL设置（更多的testing床，看看我们能否得到它的工作） acl block_1 urlp_end(FROM_ADDRESS) 0 acl block_2 urlp_end(FROM_ADDRESS) 9 use_backend block_1_hosts if block_1 use_backend block_2_hosts if block_2 backend block_1_hosts option httpchk GET /ping server s1 s1.domain.com:443 weight 1 maxconn 2000 check ssl verify none inter 2000 server s2 s2.domain.com:443 weight 1 maxconn 2000 check ssl […]

我有一个守护进程，轮询一个页面来监视系统状态，只要一切都开心magic_check.html将存在。 一旦出现问题，文件将被删除。 我有AWS ELBconfiguration检查这个URI，它运作良好，我遇到的问题是我不希望外部用户访问它。 我做了一些阅读，并尝试添加一个检查，只是寻找ELB设置它的x-forwarded-for标题的存在，不幸的是这是行不通的。 位置/magic_check.html { access_logclosures; 如果（$ http_x_forwarded_for）{ 返回444; } 允许192.168.0.0/16; 允许127.0.0.1; 否认一切; } 我错过了什么？ 编辑：还有一些其他页面，我掩盖如nginx_status和上游状态，他们目前阻止elb通过IP。

我试图build立我的第一个LDAP服务器。 即使一切似乎都在工作，我也无法让客户使用它进行身份validation。 我怀疑ACL可能是问题，因为我不能使用官方Ubuntu指南给出的命令看到ACL： ldapsearch -xLLL -b cn=config -D cn=admin,cn=config -W olcDatabase=hdb olcAccess 我可以看到他们使用这个命令，虽然： sudo ldapsearch -Q -LLL -Y EXTERNAL -H ldapi:/// -b cn=config '(olcDatabase={1}hdb)' olcAccess 第二个命令显示ACL中的第一个条目使用dc=nodomain ： dn: olcDatabase={1}hdb,cn=config olcAccess: {0}to attrs=userPassword,shadowLastChange by self write by anonymous auth by dn="cn=admin,dc=nodomain" write by * none olcAccess: {1}to dn.base="" by * read olcAccess: {2}to * by self […]

问题 我需要在已经被格式化为ext4的USB密钥上对“mongodb”系统组进行读/写访问。 似乎命令工作，但是当我尝试让系统用户写入此文件夹时，我得到一个权限错误： 2014-11-11T10:41:19.326-0500 [initandlisten] exception in initAndListen std::exception: boost::filesystem::status: Permission denied: "/media/me/mongotest/mongodb", terminating 这是我用来检查这个组是否有权访问的命令： me@medev:~$ getfacl /media/me/mongotest/mongodb/ getfacl: Removing leading '/' from absolute path names # file: media/me/mongotest/mongodb/ # owner: root # group: root user::rwx group::rx group:mongodb:rwx mask::rwx other::rx 附加testing 为了certificate它正在工作，我做了以下工作： 在ubuntu中创build一个名为“test”的新用户。 创build了一个名为testing者的新组 为testing人员添加testing。 将testing人员添加到usb上的/ media / me / mongotest / mongodb文件夹的ACL列表中： me@medev:~$ getfacl […]

当通过HTML表单将file upload到PHP脚本时，即使请求结束，并且该文件未被PHP代码明确删除，上传的文件仍将保留在upload_tmp_dir中。 预期行为：当请求结束时，未使用，未移动或删除file upload的临时文件将被PHP删除。 这也是php.net为file upload所描述的行为：“如果文件没有被移走或重命名，则文件将在请求结束时从临时目录中删除”，请参见： http : //php.net /manual/en/features.file-upload.post-method.php 这是，发生在引擎盖下： 该文件在upload_tmp_dir中创build。 该文件没有被PHP代码触及。 请求结束。 PHP试图删除临时文件，但访问被拒绝。 我们用procmon分析了这个。 你可以看到的是，php-cgi.exe进程看起来不像在move_uploaded_file（）那样模仿删除请求​​。 解决方法：如果我们为uploaded_tmp_dir上的IIS_IUSRS组添加了修改权限，则在请求按预期结束后，该文件将被删除。 环境：在IIS 7.x上通过FCGI的PHP 5.3 / 5.4 转载于WS2012，WS2008 R2。 我正在讨论这个在PHP的错误追踪，但他们不相信我： https ：//bugs.php.net/bug.php？id = 68535 我需要这个话题的一些支持。 Sombody可以重现吗？ 我做错了什么。

我尝试通过gpfs使用NFSv4，但我得到以下错误： # nfs4_getfacl file Operation to request attribute not supported. # nfs4_setfacl -e file Operation to request attribute not supported. Failed to instantiate ACL. 我在使用内核2.6.32的Linux RH 6上工作。 gpfs导出： /dev/gpfs1 on /gpfs type gpfs (rw,mtime,dev=gpfs1) 我怎么解决这个问题？