我遇到了删除权限的ACL。 我的SSH默认用户是ddn和Apache用户www-data 。 我设置了如下的setfacl命令: setfacl -mu:www-data:rwx,u:ddn:rwx shared/web/cache setfacl -Rdm u:www-data:rwx,u:ddn:rwx shared/web/cache 但是,如果我尝试用find命令删除此文件夹中的某些文件,我被拒绝了权限: $ find shared/web/cache/ -type f -atime +70 -delete find: cannot delete `shared/web/cache/e/f/7/d/7/ef7d7d26367b934f6965b6492b7183058669c80f.jpeg': Permission denied find: cannot delete `shared/web/cache/f/e/7/f/0/fe7f09691670a1762c925d705135dc455752fb85.png': Permission denied find: cannot delete `shared/web/cache/f/b/9/d/7/fb9d77e331ff45de1468ac584fa57e0c3aa6477a.png': Permission denied find: cannot delete `shared/web/cache/f/1/e/f/9/f1ef953fde22f5d60f93dcc178130a894c2878f0.png': Permission denied find: cannot delete `shared/web/cache/f/0/c/2/1/f0c21c21ae7f95d712dbe2c9255429022e33f31f.jpeg': Permission denied find: cannot delete `shared/web/cache/2/f/8/f/7/2f8f78653021fffb99817b6a48c4d629a7de0aa6.png': Permission […]
我似乎无法得到这个权利。 我有一组用户, cn=noc,ou=groups,dc=company,dc=com ,他们应该能够在ou=internalLists,ou=mail,ou=service,dc=company,dc=com之间移动一个列表ou=internalLists,ou=mail,ou=service,dc=company,dc=com到ou=externalLists,ou=mail,ou=service,dc=company,dc=com 。 该列表的DN是: cn=mylist,ou=internalLists,ou=mail,ou=service,dc=company,dc=com 这是我对ou=mail,ou=service,dc=company,dc=com子树的ACL: access to dn.subtree="ou=externalLists,ou=mail,ou=service,dc=company,dc=com" by group/groupOfUniqueNames/uniqueMember="cn=noc,ou=Groups,dc=company,dc=com" write by * break access to dn.subtree="ou=internalLists,ou=mail,ou=service,dc=company,dc=com" by group/groupOfUniqueNames/uniqueMember="cn=noc,ou=Groups,dc=company,dc=com" write by * break access to dn.subtree="ou=mail,ou=service,dc=company,dc=com" by group/groupOfUniqueNames/uniqueMember="cn=ops,ou=Groups,dc=company,dc=com" write by * read 上面的ACL工作,但他们也给组的'noc'访问移动其他列表以及。 我只是想限制为只有一个列表(cn = mylist)。 所以,我尝试了以下几点: access to dn.subtree="ou=externalLists,ou=mail,ou=service,dc=company,dc=com" filter="(cn=mylist)" by group/groupOfUniqueNames/uniqueMember="cn=noc,ou=Groups,dc=company,dc=com" write by * break access to dn.subtree="ou=internalLists,ou=mail,ou=service,dc=company,dc=com" filter="(cn=mylist)" by […]
这与在同一文件夹上给SFTP用户和Apache写入权限有关因此,我正在使用ACL为/var/www提供写入权限。 当开发人员login用户在/var/www里面上传新文件时,它是完美的,但是当他们尝试覆盖root拥有的文件时会发生问题。 我有一个脚本,在/var/www下创build文件夹和文件,所以权限被自动设置为root:root ,所以为了让开发者login覆盖/编辑现有的文件,我必须每次都运行chown developer:root 。 所以,我需要一种开发者login的方式可以覆盖root:root所拥有的文件。 请build议我的解决scheme。 谢谢。
旧的Windows 2003框持有共享文件夹正在退役。 有一个文件夹被共享,在这个文件夹内是每个用户一个文件夹。 每个文件夹都将该用户添加到具有完全权限的安全性中。 然后,任何用户创build子文件夹下面… 我想这样做,所以他们只能在退役前的下个月从他们的文件夹中读取。 因此,删除完整和写入权限,为每个用户。 在Linux中这将是chmod -R 550。 (之前他们有类似770的东西) 它看起来像CACLS将是我想在Windows世界中使用,但它看起来像你将不得不为它指定一个用户名。 我不能剥夺*的写入权限。 所以我需要在Windows 2003盒子上有几千个文件夹的recursion批处理脚本来读取用户名,文件,并修改该用户名的文件权限。 这看起来很头疼,即使它有效(我不相信它不会破坏一切)。 有更容易的方法吗? 例如,如果我将所有对象的权限添加到根文件夹并拒绝写入权限,那么这是否优先于用户个人权限? 或者有没有一种方法,我没有看到去除写入权限,而不是在脚本中定义每个用户/文件夹?
dn: olcDatabase={1}hdb,cn=config objectclass: olcDatabaseConfig objectclass: olcHdbConfig olcaccess: {0}to dn.subtree="ou=subtree,dc=domain,dc=tld" by self write by dn="cn=subadmin,dc=domain,dc=tld" write by users read by anonymous none olcaccess: {1}to attrs=userPassword,shadowLastChange by self write by anonymous auth by dn="cn=admin,dc=mpbteam,dc=de" write by * none olcaccess: {2}to dn.base="" by * read olcaccess: {3}to * by self write by dn="cn=admin,dc=domain,dc=tld" write by * read 我陷入了理解ACL顺序。 […]
原文问题: 我想将密码设置为后端pipe理员,以便我可以将LDAP ACL更改为我需要的内容…不用说,我不希望将我的configuration发布到所有地方,再加上.ldif文件是正确的。 我只是无法连接到ldapi:///服务器。 (只是…) 直到最后一次更新,我的LDAP构build脚本一直没有问题(不包括一点儿摆弄),这个版本的openLDAP我已经看到了很多关于错误报告的问题,在这里,但没有解决这个问题(我找不到一个工作…)。 我正在运行最新的Ubuntu MATE。 防火墙已closures。 尝试访问服务器,因此: ldapi://localhost:389 ldapi:/// ldapi:///:389 ldapi://:389` tried `ldapadd … 这是对数据库的调用,当服务器是ldapi://localhost:389时,错误消息是ldapi://localhost:389 : sudo ldapmodify -Y EXTERNAL -H ldapi://localhost:389 -f ./mcUser/management/LDAP/LDIFs/RPW.ldif MODIFICATION attempt of ROOTPWD: ./mcUser/management/LDAP/LDIFs/RPW.ldif stdout: stderr: ldap_url_parse_ext(ldapi://localhost:389) ldap_initialize( ldapi://localhost:389/??base ) ldap_create ldap_url_parse_ext(ldapi://localhost:389/??base) ldap_sasl_interactive_bind: user selected: EXTERNAL ldap_int_sasl_bind: EXTERNAL ldap_new_connection 1 1 0 ldap_int_open_connection ldap_connect_to_path ldap_new_socket: 5 ldap_connect_to_path: […]
我有一个网站在IIS目录浏览启用(这也是一个FTP站点)。 我最近切换到表单身份validation,而不是基本身份validation。 每个人都可以访问根文件夹。 然后每个文件夹都可以访问不同的组。 我可以访问根文件夹然后当我尝试访问一个子文件夹,我redirect到login页面。 login后我可以访问子文件夹。 但即使我不在组中,我也可以访问所有其他子文件夹。 (不好) 所以基本上如果我login我有访问无处不在,ACL没有影响我可以访问。 ACL仍然适用于FTP。 当我从基本身份validation切换到窗体身份validation时会发生此问题
我使用php-fpm自定义编译的Apache 2.4.17运行FreeBSD 10.2。 默认池( [www] ,几乎是一个股票php-fpm设置)在用户/组nobody / nobody 。 Apache在用户/组daemon / daemon 。 它可以很好地连接到一个插槽,有几个不同的站点都运行在库存池中。 他们是低优先级的网站使用PHP的东西,如显示时间。 从长远来看,我想制定一些更好的特权分离。 我在用户rcuser ,group rcuser (基本上是一个普通的FreeBSD shell帐户)拥有的单独的虚拟主机上创build了一个roundcube安装池。 根据习惯,我将networking虚拟主机放在/usr/vhosts/ ,所以这个网站会通过/usr/vhosts/webmail/htdocs/存储到/usr/vhosts/webmail/htdocs/ 。 整个webmail树属于用户和组rcuser。 这个树中的目录都有750个,文件有640个权限。 游泳池看起来像这样: [rcuser] user = rcuser group = rcuser listen = /var/run/php5-fpm-rcuser.sock listen.owner = rcuser listen.group = rcuser listen.mode = 0666 pm = dynamic pm.max_children = 5 pm.min_spare_servers = 1 […]
我知道这在技术上是不可能的,除了邮件安全组,所以我有点困惑。 我们有用户抱怨失去访问份额。 看ACL,我看到用户被删除的组。 ACE是一个分配组。 这怎么可能? ACL中列出的所有其他ACE都是pipe理组。 在这里input图像说明
在我们的服务器上有一个3-4Gbps的ICMP泛洪,我想知道..我有一个20Gbps的DDoS保护,但是这个testing对ICMP来说似乎是无效的(它很好的阻止了大量的TCP和UDP攻击过去它却因为停机而导致ICMP失败)。 以下是DDoS检测发布的stream量示例: http : //pastebin.com/raw.php? i= MW4gTN1C 问题是,我不知道这是什么样的ICMP数据包。 1-是否只能使用ICMP ECHO(ping数据包)进行这种攻击,或者是否存在可用于此类攻击的其他ICMP数据包types? 因为我没有看到自己能够反映ICMP数据包,除了回显请求。 2 – 我知道build议ICMP保持畅通,像MTU这样的一些东西,那么我应该避免使用什么样的ICMP数据包,或者限制速率(在某些情况下,对于快速networking操作来说,是必不可less的)? 3-现在我要求ICMP在数据中心的核心路由器完全被拒绝(我知道的想法不好,但我需要一个快速的解决scheme,它工作)。 ACL是 0: deny icmp any 104.xxx/29 1: permit ip any any 有没有更好的方法来阻止这种攻击? 你认为只有阻止ICMP回应请求才能摆脱攻击的影响? 总而言之,我试图想出一个ACL,完全过滤潜在危险的ICMP数据包,而不必完全摆脱它。 谢谢