我inheritance了我最近升级到版本9的FreeNAS安装。我有一些像这样挂载的ZFS安装: data1/data on /mnt/data1/data (zfs, NFS exported, local, nfsv4acls) data1/lan on /mnt/data1/lan (zfs, NFS exported, local, nfsv4acls) 我有一些权限问题。 我认为这与ACL有关,但我不太确定。 我怎样才能完全禁用ACL并回退到标准的Unix样式的权限(这是完全适合我的设置)?
系统ACE(本地帐户/组)使用什么术语,以及域ACE(域帐户/组)使用什么术语?
使用在Ubuntu 12.04上运行的Haproxy 1.5.12 我需要限制访问我的网站要求来自某些IP或在请求中有一个定义的参数。 因此,例如,以下请求应该只能从授权的IP工作: http://www-test.example.com/page.php 这个请求应该从任何知识产权(包括允许的知识产权)中完成: http://www-test.example.com/page.php?devtool=1 我的ACL是: acl is_test hdr(host) -m sub test acl is_allowed src -f /etc/haproxy/allowed_ips acl is_devtool urlp(devtool) 1 acl is_devtool hdr_sub(Referer) devtool=1 并且如果专门使用,它们工作得很好 http-request deny if is_test ! is_allowed 要么 http-request deny if is_test ! is_devtool 但是,如果我把它们与一个或者我无法从一个允许的IP访问URL(反转testing没有帮助): http-request deny if is_test ! is_allowed || is_test ! is_devtool 任何想法如何做到这一点? 谢谢
有没有办法让现有的文件系统对象inheritance新设置的父目录的默认ACL设置? 我需要这样做的原因是我有一个用户通过SFTP连接到我的服务器。 他们能够更改他们的FTP客户端中的目录,并查看根文件夹和服务器的其余部分。 他们没有权限来更改或编辑除自己的用户目录之外的任何内容,但是我想阻止他们查看其他目录的内容。 有没有比ACL更好的方法呢? 如果ACL是要走的路,我假设根目录下的默认ACL将是限制访问的最佳方式。 然后,我可以select性地授予用户查看某些目录的权限。 问题是默认的ACL只能被新的文件系统对象inheritance而不存在。
我想创buildACL允许从外部端口22,80,443,并放弃任何其他服务。 你能向我解释怎么做吗?
我使用带有两个子网(公用和专用)的VPC向导创build了VPC,并在专用子网前面创build了一个NAT。 查看子网的ACL,有一条规则允许0.0.0.0/0所有INBOUND通信。 我想禁止任何来自NAT(IP 10.0.0.8)的入站stream量,因此我将ACL更改为类似于http://docs.aws.amazon.com/AmazonVPC中的Scenario 2中的stream量/latest/UserGuide/VPC_Appendix_NACLs.html 。 也就是说, ALLOW来自10.0.0.0/16所有端口上的所有协议,禁止0.0.0.0/0 。 这似乎没有正常工作,因为我的实例没有互联网访问。 还有什么我需要设置/更改以使其工作?
我需要一个双向信任的客户(源公司不希望我们有完整的pipe理权限,所以我们有许多权限问题)。 我们实际上需要域pipe理员权限,但仅限于单个OU。 如果我将一个帐户放入域pipe理安全组,然后对所有其他OU应用显式拒绝权限,会发生什么? 域pipe理员甚至会受到显式拒绝的影响吗?
我们在同一个域上有两台机器:机器A(Windows 2003)和机器B(Windows 2003)。 两者都有一组相同的文件,并通过预定的过程保持相同。 但是,机器A现在是脱机的(即不在networking上,但是我仍然可以物理访问机器),并且我们意识到ACL是不相同的。 机器A处于脱机状态时,复制ACL的最优雅的方法是什么?
使用Windows Server 2008。 我想允许所有用户映射到一个通用的networking驱动器,并能够浏览它。 但是,我只希望他们能够看到他们实际拥有访问权限的子文件夹。 这是可行的吗? 例 我有一个共享两个文件夹, \\域\共享\ FolderA \\域\共享\ FolderB中 有了三个不同的安全组,我想将所有三个networking驱动器映射到\\ domain \ share。 但是,对于group1,我希望他们只能看到FolderA,group2只应该看到FolderB和group3应该看到两个。 我不只是在谈论拒绝访问实际的文件夹,这很容易,我不希望用户甚至能够看到该文件夹存在。 换句话说,当组1login并执行“dir n:\”时,他们应该看到 N:\ FolderA 当组2login时,他们应该看到 N:\ FolderB中 当组3login时应该看到 N:\ Folder A N:\ Folder B 我的一半解决scheme 如果我完全禁止访问根目录,那么我无法将驱动器映射到它。 我可以给每个人的权利,然后允许用户映射驱动器。 但是,如果group1或group2的成员尝试去“N:\”,他们会得到一个访问被拒绝的错误。 如果他们去N:\ FolderA(对于组1),那么它的工作。 所以,这样的工作,但是如果用户可以真正浏览到N:\并且只能看到他们有权访问的子文件夹,那将会更好。 我很确定我已经看到了这一点,但不知道如何自己做。 任何build议将不胜感激。
我有两个Win2k8森林,我维护。 这两个森林有完整的双向外部,彼此不可传递的信任。 我在林X中有一个文件夹,域countryX.mycompany.com只能由名为$ group的全局安全组访问。 在Y森林中,域countryY.mycompany.com,countryY \ user1,countryY \ user2等需要访问该文件夹。 自然的本能是把user1,user2等放到$组中。 但是,将用户添加到组中的方法都不起作用,因为看起来AD在其他林中找不到组。 问题:1.如何让森林看到对方的安全团队,并能够添加? 2.实际上,build议用户访问其他林中的文件夹/文件的方式是什么?