我使用Mdaemon邮件服务器。 它可以从内部networking和互联网访问(使用邮件客户端和Web界面)。 问题是我需要限制哪些用户可以从互联网上访问他们的邮件。 我想过通过防火墙进行基于IP的过滤,但我无法控制哪些IP用户访问服务器。 有没有邮件服务器可以做我想要的? 任何其他方式我可以实现这个要求?
我正试图与两名听众成为一名蚊子经纪人。 一个不安全,一个TLS安全。 基本上,对于订阅(阅读)主题,你不必提供任何凭据和东西。 但它不起作用。 匿名用户仍然可以发布到主题。 我咨询了手册页 ,恕我直言,一切正确,但只要我有一行allow_anonymous true即使在第一行中的topic read #它允许匿名写。 我使用未包含在ACL中的用户来validationallow_anonymous false 。 在这种情况下,我仍然能够发布到像foo/generic/something主题,只是发生了变化,需要一个有效的用户,但ACL仍然不能像我所期望的那样工作。 所以基本上甚至是手册页都说明了 假设allow_anonymous为true,则将第一组主题应用于匿名客户端。 这是行不通的。 我究竟做错了什么? 我正在使用蚊子1.4.7。 我附加了我的configuration下面(path有点疯狂,因为我在共享的机器上) mosquitto.conf retry_interval 30 sys_interval 15 store_clean_interval 15 pid_file /home/johndoe/mosquitto/pidfile.pid port 61883 # tls listener listener 61884 cafile /home/johndoe/mosquitto/tls/ca.crt certfile /home/johndoe/mosquitto/tls/server.crt keyfile /home/johndoe/mosquitto/tls/server.key require_certificate false tls_version tlsv1.2 # acls acl_file /home/johndoe/etc/mosquitto/mosquitto.acl password_file /home/johndoe/etc/mosquitto/mosquitto.passwd allow_anonymous true mosquitto.acl […]
在SaltStack minion上有大约30个用户和30个目录结构: /home/user1/input/ /home/user2/input/ /home/user3/input/ /home/user4/input/ … 我知道如何通过salt更改单个文件的linux ACL。 在这个例子中,用户“foo”获取读访问权限: home_user1_input_readable: acl.present: – name: /home/user1/input – acl_type: user – acl_name: foo – perms: r 来源: https : //docs.saltstack.com/en/latest/ref/states/all/salt.states.linux_acl.html 但是我怎么能为N个用户做这个? 换句话说:有没有办法在这里做globbing?
在一台(旧的OS X 10.4)服务器上,我正在查找一些具有ACL的文件。 然后,我使用tar -xp将归档文件解压到一个新的10.6服务器上,该服务器上除了默认的pipe理员(UID 501)之外,没有configuration任何用户/组(这是有原因的,不要问!)。 显然,这意味着“ls -lne”会列出带有数字UID和GID的文件和ACL。 现在对于正常的文件权限是有道理的:你得到像“1037”这样的UID。 而对于一些ACL,也是有意义的:对于用户(0x1F5 = 0),对于组(0x402 = GID 1026)和“FFFFEEEE-DDDD-CCCC-BBBB-AAAA000001F5”,你得到诸如“AAAABBBB-CCCC- DDDD-EEEE- FFFF00000402” UID 501)。 但是,一些ACL具有像“E51DA674-AE70-41BC-8340-9B06C243A262”的UID或诸如“0A3FCD24-0012-46FA-B085-88519E55EF29”的GID,并且我完全不知道如何将这些ID转换回可能是匹配回原始ID(本例中分别为UID 1072和GID 1047)。 任何人都可以帮我翻译这些奇怪的长hexstring? (基本上我们正在从本地用户转移到Active Directory设置,所以我想将所有文件移到新的服务器上,并且权限不变,然后chmod,chgrp并设置ACL,以便将旧ID转换为新的AD ID。需要一些方法来映射集合,我不相信有一个更简单的方法来做到这一点?) 非常感谢, 奥利弗。
我们有一些Windows服务器。 他们正在运行各种服务,DNS,SQL Server,IIS,Oracle等。 我们想要build立几个AD组,比如说DBA,WebAdmin和SAPAdmin。 然后,我们要将这些组委托给这些Windows服务器上的权限。 这里有些例子 DBA只能在Oracle数据库相关服务和SQL Server相关服务上启动/停止服务,而不能启动/停止服务 DBA可以启动Oracle / SQL Server相关软件,但不能启动其他软件 DBA可以安装/卸载Oracle / SQL Server相关的修补程序,但不能安装其他程序 DBA可以触摸数据库文件或相关registry,但不能访问同一服务器上的其他数据库(例如Web服务器) 对WebAdmin和SAPAdmin也有类似的要求。 目前,我们允许所有这些用户login到服务器框并完成他们的工作,但不幸的是,我们无法find完全locking所有权限的方法。 我可以设置ACL的服务,registry和文件,以满足我的要求的一部分。 我现在有两个问题。 我仍然无法想出一个办法来阻止用户执行不相关的软件或安装不相关的软件/补丁。 我仍然无法想出一个方法来阻止特定的pipe理单元执行。 我可以阻止一个EXE文件执行通过设置其ACL,但我不能阻止一个特定的pipe理单元通过设置其DLL的ACL 如果没有办法直接解决上述问题,我很乐意采取任何解决方法。 底线是给予每个组最小的权限,避免不同的人在共享服务器上搞砸别人的软件。
我希望能够在Apache的httpdconfiguration中将一个VirtualHost中的“Deny From”分享给另一个,有没有办法做到这一点?
使用Linux ACL,你可以有多个组,默认访问一个文件夹? 我想要这个在不同的编码组+几个进程之间共享代码库。 我的想法是,如果来自一个组的用户在共享存储库内创build内容,即使所有者是该用户,默认权限也会传播到该新文件,而其他用户仍然可以访问该内容。 这是我作为根尝试的: mkdir / tmp / temp chmod 770 / tmp / temp setfacl -dm g:www-data:rx,g:sambashare:rx / tmp / temp getfacl / tmp / temp #file:temp #所有者:根 #组:根 用户:: RWX 组:: RWX 其他:: – – 默认:用户:: RWX 默认:组:: RWX 默认:组:WWW的数据:RX 默认:组:sambashare:RX 默认:面膜:: RWX 默认:其他:: — 作为testuser ID uid = 1004(testuser)gid = 1007(testuser)groups […]
我有几台RHEL6机器。 一个是导出一个nfs挂载到其余的。 我在服务器上设置了ACL(使用setfacl -m设置),但没有一个客户setfacl -m在查看它们中的任何一个。 这是我在server1上的导出: /myexport server2.example.com(rw,async,no_root_squash) 这是我在server2上的fstab: server1.example.com:/myexport /mnt nfs4 noatime,async,lock 0 0 我已经尝试添加acl到我的fstab安装选项没有运气。 任何人都知道为什么我不能在客户端看到ACL?
我正在尝试为组“Domain Users”添加一个ACL,但由于组名中有空格,因此chmod无法正确parsing: $ chmod -R +a 'DOMAIN\Domain Users allow list,search,readattr,readextattr,readsecurity,file_inherit,directory_inherit' shared Unable to translate 'DOMAIN\Domain' to a UID/GID 我如何逃离这个空间? 我用单引号,双引号和反斜杠尝试了所有明显的方法。
我想要做的是产生一个分离的屏幕会话,但作为创build它的命令行的一部分 – 也修改ACL列表。 所以现在我有 screen -dmS MySession "SomeProgram" "SomeArguments" 如果我想修改MySession的ACL来让另一个用户访问它,我必须运行第二个屏幕命令来在该会话上运行“屏幕”命令。 我需要做的是将ACL修改为用于生成会话的初始命令行的一部分。 有没有办法做到这一点?