我在CentOS 6上使用了最新的ZFS( ZFS for Linux )。创build成功的池,一切正常。 但我有一个问题。 我如何设置ZFS文件夹/文件的ACL? GNU ls,chmod等coreutils不支持(?)它。 在我使用的Solaris / OpenSolaris / OpenIndiana / Nexenta上 / usr / bin / chmod \ A = owner @:rwxpdDaARWcCos:fd —–:allow,group @:rwxpdDaARWcCos:fd —–:allow,everyone @:rwxpdDaARWcCos:fd —–:deny / ZFS / FOLDER / 我必须使用CentOS Linux?
我有ASPX网站运行在Windows 2008 R2,我想限制访问几个接口,但不是所有的人。 例如我有一个网站www.contoso.com的界面/admin ,但我只希望来自192.168.XX人访问这个特定的位置。 其余部分向公众开放。 但我检查了IISconfiguration,看起来像我只能设置全球IP访问与IPv4 Accress and Domain Restrictions ,有没有其他的解决scheme?
是否有可能创build一种VLAN或私有azure色的局域网thingy ..在哪里我可以把任何新的工人或虚拟机在该VLAN? 原因之一是因为我希望在虚拟机上创build一个SQL服务器(很好,这很简单),然后添加以下防火墙规则 =>阻止所有除外 a)我的工作是静态IP。 (简单) b)我的家庭静态IP。 (简单) c)这个私人azure色局域网的VLAN(不知道) 这里的想法是,我只希望我的工作人员(和我们的网站),这是我们的Azure订阅的一部分,是唯一的地方,可以访问SQL服务器+这两个“特殊”IP的。 当然,有人可以闯入其他虚拟机之一,然后“访问”sql-server-vm ..我明白了…但这只是加强我们的服务器的一部分。 可以这样做吗?
我有一个Cisco(877)路由器作为networking的主要网关; 它具有DSL连接,并执行从内部networking到其外部公共IP地址的NAT。 路由器允许SSH访问进行pipe理,并且使用访问列表限制了这一点: access-list 1 permit <internal network range> line vty 0 4 transport input ssh access-class 1 in 路由器的内部Web服务器没有启用,但是如果是这样,我知道它的访问可能会受到相同的逻辑限制: ip http access-class 1 现在,这个路由器也可以作为DNS服务器,将查询转发给外部服务器: ip name-server <ISP DNS 1> ip name-server <ISP DNS 2> ip dns server 我的问题是: 路由器非常乐意在外部接口上接收DNS查询时回答 。 如何阻止这种stream量,使路由器只回答来自内部networking的DNS查询?
编辑 :我知道, learn-address是我需要用来调用脚本(在openvpn-netfilter项目中指定)来设置防火墙规则。 我想我的问题更多地涉及到config.ovpn脚本。 你如何configurationclient.ovpn文件同时学习到用户需要哪些路由,同时也保持互联网stream量到用户的ISP? 我有一个关于如何做每个用户防火墙规则的问题,同时也不通过OpenVPN服务器路由Internetstream量。 我正在尝试为我和一群朋友build立VPN服务器,因为我们正在进行一个项目。 我将执行这样的Github项目: https : //github.com/gdestuynder/openvpn-netfilter 。 这将使VPN服务器能够为用户查找ACL,并在服务器端使用iptables来实现它们。 所有其他stream量将被丢弃。 对于我自己的私人家庭VPN,我知道我可以在我的client.ovpnconfiguration中使用以下内容, 不通过VPN路由Internetstream量: route-nopull route 192.168.1.0 255.255.255.0 其中, 192.168.1.0/24是我的家庭子网,而10.8.0.0/24 (未显示)是tun适配器的DHCP IP范围。 我知道把它放在客户端的configuration覆盖服务器设置push "redirect-gateway def1 bypass-dhcp" 。 这是我弄糊涂了:我已经知道我的家庭子网是192.168.1.0/24 ,所以我可以很容易地把它放在client.ovpn文件。 但是,如果我不了解我可以访问的子网/ IP(大多数用户不知道),那么OpenVPN如何dynamic地将每个用户的VPN规则推送到客户端? 换句话说,如果user1访问10.0.2.10和10.0.2.10 , user2访问10.0.2.10和10.0.3.4 ,OpenVPN如何知道如何将正确的路由推送给每个用户,同时使用相同的通用client.ovpn组态?
在我的环境中,我有几个涉及在多个文件服务器上运行NTFS ACL审计报告和各种ACL清理活动的项目。 我无法在服务器上本地执行这些活动有两个主要原因: 1)我没有本地访问服务器,因为它们实际上由另一家公司拥有和pipe理。 2)它们是运行修改后的Linux操作系统(称为GuardianOS)的SNAP NAS服务器 ,所以即使我可以获得本地访问权限,我也不确定是否有可用的工具来执行我所需要的操作。 这样一来,我就结束了自己的ACL审计报告工具,从一个指定的顶级path开始recursion文件系统,并将所有在ACL上遇到的组/用户的HTML报告吐出以及显示权限的变化,因为它下降了树。 在开发这个工具时,我发现networking开销是做这些操作最糟糕的部分,通过multithreading这个过程,我可以实现更高的性能。 但是,我仍然坚持find一个好的工具来执行ACL修改和清理。 您的标准开箱即用工具(cacls,xcacls,Explorer)似乎是单线程的,并且在通过networking时会受到显着的性能损失。 问题 有没有比Explorer或CACLS更快的工具在整个networking上执行NTFS ACL修改?
执行摘要:我想查找特定用户或组可以访问的所有目录和文件。 更详细地说:我正在寻找一个命令行工具来recursionsearchNTFS目录中的DACL中的ACE包含给定的用户或组的所有文件和目录。 如果我想修改权限,我会使用subinacl或SetACL 。 我想我也可以使用这些工具之一来search和显示,但是我很难find一个直接的解决scheme。 我可以像这样使用SetACL: setacl -on C:\SOME_DIR -ot file -actn list -lst "f:tab;w:d;i:y;" -rec cont 然后grep为感兴趣的用户,但我想要一个更优雅的解决scheme。 我可能在这里错过了一些东西。 有任何想法吗?
我有一个目录,可以读取和写入几个unix组。 这是通过使用ACL来实现的。 假设我是这样做的: mkdir /tmp/test setfacl -d -mg:group1:rwx /tmp/test 伟大的作品,整个组(和我添加的其他组)可以读/写这个目录。 但有一个例外:当有人使用mkdir -p创build子文件夹时,此目录是使用unix权限0755创build的,因为默认的umask是022.这会导致组中的其他用户无法再写入此问题子文件夹,因为ACL现在看起来像这样: group:group1:rwx #effective:rx 出于某种原因,使用“mkdir”(不带-p参数)时不会发生这种情况。 一种解决scheme是将umask设置为002,但这确实是一件坏事,因为这也会影响在受ACL控制的目录之外创build的文件和目录,并且这些文件在默认情况下不应该是组可写的。 所以我想知道是否有另一种可能性来解决这个问题。 完全禁用/忽略ACL控制的目录的旧的unix样式权限内容是完美的。 或者禁用这个“有效的ACL”的东西。 那可能吗? 还是有另一种方法来解决这样的程序,如“mkdir -p”造成的不可写目录的问题? 最后,我想要一个完全(和recursion)可读写的目录,根据我已经configuration的ACL,这应该永远不会改变(只有通过修改ACL本身)。 注意:重现问题: $ mkdir /tmp/test $ setfacl -d -mg:group1:rwx /tmp/test $ umask 0022 $ mkdir /tmp/test/aa $ mkdir -p /tmp/test/bb $ ls -log /tmp/test drwxrwxr-x+ 2 4096 Mar 9 23:38 aa drwxr-xr-x+ 2 […]
玩一个scilinux 6.1盒子。 fs是启用了acls的ext4。 如果我有一个目录/ pub,我希望它里面的所有东西总是没有例外地拥有一个预定义的所有者,预定义的组,预定义的权限集和一组预定义的acls,无论是谁拷贝了文件/目录/不pipe是不是nuthin',如果它变成了mv'ed,也没关系。 基本上,“顶”目录中的任何文件/目录(在/ pub中为/ pub,在/ usr / src中为src,在/ var / lib / html中为html)被拥有:按顶层目录的所有者:组分组,无论它如何到达那里,无论谁试图改变它。 无论什么或如何,权限将永远是无论是什么权限,而且无论在哪里,acl集总是相同的。 我如何configuration? 我知道这一定是一个常见问题解答,但如果我能得到它,就会被淹没。
这可能是晚上的时间,但这令我感到困惑。 图片如下。 [root@node1 acltest]# getfacl foo/ # file: foo # owner: root # group: testuser user::rwx group::rx other::— [root@node1 acltest]# ls -la . total 24 drwxr-xr-x 3 root root 4096 Feb 9 21:53 . drwxr-xr-x 25 root root 4096 Feb 9 21:54 .. drwxr-x— 2 root testuser 4096 Feb 9 21:53 foo [root@node1 acltest]# setfacl […]