是否可以启用/dev/pts下的文件的ACL? 操作系统是Gentoo Linux,内核是3.2.13的grsec。
我很困惑,因为我可以从192.168.1.10 ssh到这个路由器,但不是从192.168.30.3(按照acl 6)。 没有界面提到这些访问列表中的任何一个,所以我是否正确地假设这些是全局访问列表,适用于所有接口? 如果是这样,按什么顺序? 列表中有几个否定的规定使得某些规则无用或者一个最终否认任何规则? 如果我做一个访问列表3允许任何,这将允许我从192.168.0.0networking中的任何地方ssh进入这个路由器? 如果我为其中一个接口指定了特定的ACL,会发生什么情况? 其余的规则是否仍然适用? 以下是show access-list的清理输出: Standard IP access list 5 10 permit 144.1.1.1 (10000 matches) 20 permit 155.1.1.1 (10000 matches) 40 deny any (100000 matches) Standard IP access list 6 10 permit 192.168.0.0, wildcard bits 0.0.255.255 (100000 matches) 20 deny any (10 matches) Standard IP access list 7 10 […]
我有一个Windows Server 2003框充当文件服务器。 它承载了许多共享文件夹与不同的权限。 2003盒子不是域控制器/ Active Directory主机; Active Directory运行在我们控制之外的服务器上,但我们相信它是Server 2008 R2。 我发现通过远程桌面协议(RDP)保持login到Windows Server 2003框会导致Windows资源pipe理器中的安全权限变得过时,就像服务器正在caching之前的权限一样。 重现步骤: 转到在Windows资源pipe理器中托pipe共享驱动器的磁盘,例如Z: select共享的文件夹,右键单击并转到“属性”,然后单击“安全”选项卡。 观察那里的权限。 注销您的RDP会话,然后重新连接。 重复步骤2 – 3。 请注意,权限不匹配。 我100%确定没有其他用户或pipe理员正在修改权限。 共享文件夹的权限仅由login到此框的一位pipe理员修改。 在Windows资源pipe理器中按“F5”(刷新)不刷新权限。 这会使pipe理员相信文件夹上的权限不同于客户端看到的实际有效权限。 最让人困惑的是连接到共享文件夹的客户端(最终用户)可以看到实际的权限。 例如,如果用户实际上被拒绝访问文件夹,则授予其访问权限的caching权限可能会显示在服务器上,但客户端将无法访问该文件夹。 但是,权限更改将不会显示在服务器上,直到pipe理员注销,然后重新login。 有没有办法迫使系统自动更新权限,而不是caching它们,或手动这样做? 这是一个服务包解决的错误,还是这是一个“devise”function? 在用户被“caching”并且似乎被添加到文件夹的自定义权限列表的情况下,行为是最奇怪的:您可以更改用户的权限,例如从完全控制到拒绝所有权限并返回,没有操作系统报告的错误。 但是,进行这些更改并单击“应用”将不会对客户端产生可见的影响 ,并且在注销后重新login到服务器时,用户将不会出现在具有自定义权限的用户列表中!
我有这条线在fstab: /dev/sda3 / ext3 defaults 1 2 我想我应该改变它: /dev/sda3 / ext3 defaults,acl 1 2 我也想我应该运行: mount -t ext3 -o acl /dev/sda3 / 哦,但是我得到一个错误,它已经挂载或“/”正忙。 我如何做到这一点,而不会崩溃系统?
在Debian 7.0上,我已经在我的mount上安装了文件系统访问控制列表 mx:/srv/www$ mount | grep acl /dev/xvda on / type ext3 (rw,relatime,errors=remount-ro,acl,data=ordered) 现在我只是想新创build的文件和目录具有www-data组。 sudo setfacl -Rm d:g:www-data:rX,g:www-data:rX /srv/www/ 现在它有以下设置: mx:/srv/www$ getfacl . # file: . # owner: hendry # group: root user::rwx group::rx group:www-data:rx mask::rx other::rx default:user::rwx default:group::rx default:group:www-data:rx default:mask::rx default:other::rx 为了testing,我做了一个: mx:/srv/www$ touch test mx:/srv/www$ ll test -rw-r–r–+ 1 hendry hendry 0 Mar […]
我想启用我的远程服务器上的ACL。 所以我input下面的命令df来知道我是哪个分区:结果如下: Filesystem 1K-blocks Used Available Use% Mounted on /dev/simfs 26214400 1202356 25012044 5% / none 52432 1048 51384 2% /run none 5120 0 5120 0% /run/lock none 262144 0 262144 0% /run/shm 现在,这里是我的/ etc / fstab文件: proc /proc proc defaults 0 0 none /dev/pts devpts rw 0 0 2个问题: 在哪一行我必须添加',acl'和 那么我将不得不重新安装我的分区使用mount -o remount **folder?**我不知道哪个文件夹: […]
在部署我们的服务器应用程序时,在Windows Sever 2008 R2上,我们使用本地pipe理员用户在“C:\ Program Files”中创build一个文件夹,并将该文件夹的所有者更改为特定域用户的文件夹。 当该应用程序在该域用户下运行时,它在尝试创build子文件夹时被拒绝访问。 我的假设是: 就ACL而言,域用户或本地用户是文件夹的所有者之间几乎没有区别。 作为文件夹的所有者,他们具有“创build者所有者”权限。 通过成为“创build者所有者”,他们拥有必要的权限来读取/写入文件夹的权限,而不需要任何额外的ACL更改。 没有父文件夹,即“程序文件”施加任何限制。 毕竟,用户是所有者和“创作者所有者”。 由于域用户无法创build子文件夹,请问我可以告诉我什么是错误的假设?
我有一个文件夹有很多的子文件夹 d:\ DATA \ Subfolder1 d:\ DATA \ Subfolder2 d:\ DATA \ Subfolder3 d:\ DATA \ Subfolder4 d:\ DATA \ Subfolder5 … 我需要像这样为每个子文件夹创build三个活动目录组。 FS_Data-Subfolder1_Read FS_Data-Subfolder1_Change FS_Data-Subfolder1_Full 在完成之后,我必须映射文件夹,Activedirectory组和权限。 设置权限是困难的部分。 这是我有多远。 我不知道如何将组绑定到权限,然后将其应用到文件夹。 $SharePath = "\\fs\data\" $FSGroupPath = "OU=GROUPS,OU=Data,DC=DOMAIN,DC=LOCAL" Get-ChildItem $SharePath | ForEach-Object { $GroupNameRead = "FS_Data-" + $_ + "_Read" $GroupNameChange = "FS_Data-" + $_ + "_Change" […]
我有一个积极的生产Azure云服务与几个Webangular色运行一个ASP .NET MVC应用程序,每个angular色有几个虚拟机。 我最近添加了一台运行Redis服务器的Linux机器来提升性能,我想隐藏这个服务器,目前这个虚拟机有一个公共的IP,可以直接连接到它。 我看到ACLconfiguration,但它需要我允许IP范围(CIDR),但我不知道如何找出我的networkingangular色的范围 任何人都有一个想法,如何完全删除公共IP或如何找出我的networkingangular色的IP范围将是伟大的。
我有兴趣设置防火墙。 这将包括您通常的NAT,以及传入连接的端口转发。 不过,我希望传出连接使用主机名的白名单。 我也希望同一台设备充当我的电脑使用的DNS服务器,所以当电脑试图连接时,它总是知道白名单上任何主机名的最新IP。 这可以是推荐的Cisco IOS,也可以是Illumos或Linux服务器。 我在想,使用服务器会给我更多的灵活性,但我愿意提供build议。 这是我想要发生的事情:(从我的networking上的用户传出的连接) 用户的PC为给定站点执行DNS查询(即serverfault.com) 防火墙服务器将其与主机名的白名单进行比较,如果允许,则将得到的IP地址传回PC。 如果允许DNS查找,那么IP访问列表将立即用来自DNS的最新结果更新。 (合理到期) 如果一台PC发起一个任意IP地址的连接,而这个IP地址没有在任何被批准的DNS响应中列出,那么可以拒绝任意的数据包。 (可选,但更可取)嗅探TCP连接以validationHTTP或HTTPS连接的主机名。 通过这种方式,我们可以阻止访问可能存在于共享的白名单IP上的非白名单站点。 我认为我可以用ipfilter来完成项目1-3,并结合自定义的DNS服务器来处理白名单,并触发ipfilter的添加。 这听起来是否合理,还是会有不可避免的问题与ipfilter没有立即认识到变化? 我很确定ipfilter将与Linux / Illumos NAT一起工作。 Linux或Illumos的应用程序是否已经实现了DNS触发的IP白名单? (阻止我重新发明车轮) 我还没有听说过运行DNS服务器的IOS。 在Cisco IOS中有解决办法吗? 有一个明显的解决scheme,我应该知道,或者这只是一个不寻常的防火墙设置?