我正在尝试使用ACL在共享目录上设置适当的ACL权限模型,但是我遇到了问题。 即使我已经设置了一个默认的“user:user1:rwx”,由user2创build的文件由于掩码计算而不能被user1写入。 它说有效是“r–”。 根据手册页,掩码是通过进行拥有组,其他命名组和命名用户的联合来计算的。 只有拥有所有这些权限的权限才能在掩码(联合部分)中启用。 但为什么? 如果是这样,我怎么才能说“用户user1可以读写,总是”? 另外,user1不能写入由user2创build的文件,但它可以删除它们… 编辑:澄清: 这是有问题的目录的当前acl: # file: NNHD/ # owner: user1 # group: user1 user::rwx user:user1:rwx user:user2:rwx group::rx mask::rwx other::— default:user::rwx default:user:user1:rwx default:user:user2:rwx default:group::rwx default:mask::rwx default:other::— 这有适当的面具。 当user2在该目录中创build一个文件时,给出这个: # file: test # owner: user2 # group: user2 user::rw- user:user1:rwx #effective:r– user:user2:rwx #effective:r– group::rwx #effective:r– mask::r– other::— 我不明白为什么会发生这种情况…我必须做什么才能使其对user1可写?
我正在寻找一种recursion方式来遍历我的整个文件共享(相当大的3TB的文件),并列出所有我没有访问的文件/文件夹。 由于迁移和一些大的path错误(超过255个字符),我们发现一些文件夹/文件已经失去了所有的权限,并需要一种方法来find他们。 目前作为域pipe理员用户,我无法列出权限或所有者。 我可以控制它,并重置权限,但我有这么多文件/文件夹我想输出到CSV文件或其他东西。 我已经尝试了以下内容: get-childitem "\,\fileshare\f$\folder\etc" -recurse | get-acl 这似乎工作得很好,它给了我存在的所有文件/文件夹的ACL,并有适当的权限。 但是一旦它碰到一个我无法访问的文件夹,我得到以下错误: Get-Acl : Attempted to perform an unauthorized operation. At line:1 char:133 + get-childitem "\,\fileshare\f$\folder\etc" -re curse | get-acl <<<< + CategoryInfo : NotSpecified: (:) [Get-Acl], UnauthorizedAccessException + FullyQualifiedErrorId : System.UnauthorizedAccessException,Microsoft.PowerShell.Commands.GetAclCommand 这些是我想logging到CSV / TXT文件的错误,并且忽略所有剩余的权限,如果这可能以更多的错误输出到一行中,这将是理想的。 只是想知道如果有人有一个想法或暗示我应该如何进行? (请注意上面的path中有逗号,目的是不解决真正的path \,\fileshare\f$\folder\etc) 谢谢!
我试图隔离在VLAN上的stream量,因为一个是我们的访客VLAN(VLAN 3是来宾局域网)。 这是一个Cisco 881W路由器。 这是我的VLANconfiguration: 接口Vlan2 IP地址10.10.100.1 255.255.255.0 没有IPredirect 没有ip unreachables 没有IP代理ARP ipstream入口 ip nat里面 IP虚拟重组 区域成员安全区域 ! 接口Vlan3 IP地址10.100.10.1 255.255.255.0 没有IPredirect 没有ip unreachables 没有IP代理ARP ipstream入口 ip nat里面 IP虚拟重组 区域成员安全区域 ! 这是我的ACL 访问列表1注释INSIDE_IF = Vlan1 访问列表1注释CCP_ACL类别= 2 访问列表1许可证10.10.10.0 0.0.0.255 访问列表2注释CCP_ACL类别= 2 访问列表2许可证10.10.10.0 0.0.0.255 访问列表3注释CCP_ACL类别= 2 access-list 3 permit 10.10.100.0 0.0.0.255 访问列表4注释CCP_ACL类别= 2 访问列表4许可证10.100.10.0 0.0.0.255 访问列表100注释CCP_ACL类别= […]
我希望Linux文件系统设置一个特定的组,当新的文件和目录由不同的用户在特定的目录下创build时。 我知道我可以使用chmod来改变现有的文件和目录,但我希望它自动发生。 有谁知道如何?
我目前只允许来自邮件过滤服务IP的端口25上的连接。 我有Exim在SMTP提交的备用端口上运行。 此端口现在需要允许非encryption的连接,所以我不能依靠在端口上强制TLS。 我想configurationExim在备用端口上放置未authentication的SMTP连接,以防止垃圾邮件发送者直接连接并发送垃圾邮件给用户。 我将如何configuration此ACL?
更具体地说,我有一个客户要求阻止中国的知识产权范围。 我知道如何做到这一点。 我将使用https://www.countryipblocks.net/e_country_data/CN_netmask.txt中的IP并创build一个ACL。 那么如果你看看有3,412个networking,我将不得不封锁。 我真正要问的是有一个方法可以制作一个超级大的ACL? 如果这是连续的IP空间,我可以超网,但事实并非如此。
出于某种原因,我不太明白,每个人都想为所有事情做好准备。 在工作中,我们甚至有许多条目可以读取日志文件(head / tail / cat / more,…)。 我想,sudo在这里击败。 我宁愿使用setgid / setuid目录的组合,并在这里和那里添加ACL,但我真的需要知道在启动之前什么是最佳实践。 我们的服务器有%pipe理员,%生产,%dba,%用户 – 许多组和许多用户。 每个服务(mysql,apache,…)都有自己的安装权限的方式,但%production组的成员必须能够查阅configuration文件甚至是日志文件。 仍然有解决scheme将它们添加到正确的组(mysql …),并设置良好的权限。 但我不想修改所有的用户,我不想修改标准的权限,因为每次升级都可能会改变。 另一方面,在目录中设置acls和/或混合setuid / setgid是我可以很容易地做的事情,而不用“标示”标准分发。 你怎么看待这件事 ? 以mysql为例,看起来像这样: setfacl d:g:production:rx,d:other::—,g:production:rx,other::— /var/log/mysql /etc/mysql 你认为这是好的做法还是我应该定义usermod -G mysql并使用标准权限系统来玩? 谢谢
有谁知道有多less用户ACL的ZFS可以处理? 换句话说:有多less用户可以为同一个目录设置这样的ACL? setfacl -m user:test1:rwxpDdaARWcCos:fd—-:allow /mnt/project1 或者估计也会很好。 比如说我们在说100,500,1000还是更多? 更新 121不是FreeBSD 9上的一个bug。 ZFS ACL限制为1024。 FreeBSD的ACL限制是254。 FreeBSD的NFSv4 ACL限制大约是254的一半。 请参阅/sys/sys/acl.h
我在我的haproxy.conf中有以下几行: acl valid_domains hdr(Host) -i mysite.com images.mysite.com docs.mysite.com admin.mysite.com redirect location http://mysite.com/invalid_domain if !valid_domains 我如何匹配任何子域名? 我试过了: acl valid_domains hdr(Host) -i *.mysite.com 和: acl valid_domains hdr(Host) -i [az]+.mysite.com …但都没有工作。 谢谢
我想通过Dovecot中的一组公共只读邮箱提供一些邮件列表。 我在我的dovecot(dovecot-2.0.9)configuration中定义了一个公共命名空间,如下所示: namespace { type = public separator = . prefix = news. location = maildir:/var/spool/news subscriptions = no } 我想使这个名字空间中的所有邮箱都是只读的。 我有ACL插件的以下configuration: plugin { acl = vfile:/etc/dovecot/acls:cache_secs=300 } 仔细阅读文档后,好像我有一个邮件文件/var/spool/news/.foo.bar ,我可以把以下内容放到/var/spool/news/.foo.bar/dovecot-acl : anyone rl 但是这没有任何影响。 我也尝试用相同的内容创build一个文件/usr/local/etc/dovecot/acls/news.foo.bar ,但是这也没有做任何事情。 我打开了邮件debugging: mail_debug = yes 但是日志不会产生任何与ACL处理相关的东西。 我很想知道是否有人得到这个工作正确,如果是的话,如果你可以提供一些configuration的例子。 此外,如果有任何方法可以做到这一点,不涉及每个邮箱的configuration(例如,将ACL应用于news.*或其他function),那就太棒了。 获取默认ACL的logging行为将是正确的一步。