{"id":667,"date":"2014-08-08T10:29:33","date_gmt":"2014-08-08T13:29:33","guid":{"rendered":"http:\/\/blog.abratel.com.br\/?p=667"},"modified":"2014-08-08T10:29:33","modified_gmt":"2014-08-08T13:29:33","slug":"checando-acl-em-um-diretorio-linux","status":"publish","type":"post","link":"https:\/\/blog.abratel.com.br\/?p=667","title":{"rendered":"Checando ACL em um diret\u00f3rio linux"},"content":{"rendered":"

Para uma perfeita integra\u00e7\u00e3o \u00e9 necess\u00e1rio os diret\u00f3rios devem ter permiss\u00f5es semelhantes:<\/p>\n

Ativar ACL no diret\u00f3rio:
\n[root@vpn cliente1]# cat \/etc\/fstab<\/p>\n

# Home em passwd fica com \/chroot\/\/home\/cliente3\/cliente3
\n\/home\/cliente3 \/chroot\/home\/cliente3 auto bind,acl,user_xattr 0 0
\n\/home\/cliente1 \/chroot\/home\/cliente1 auto bind,acl,user_xattr 0 0<\/p>\n

[root@vpn cliente1]# ls -lah \/home\/cliente2\/cliente2\/
\ntotal 44K
\ndrwxrwx—+ 5 cliente2 cliente2 4.0K Jun 26 2012 .
\ndrwxrwx—+ 3 cliente2 cliente2 4.0K Jun 26 2012 ..
\n-rwxrwx—+ 1 cliente2 cliente2 178 Nov 5 2013 .bash_history
\ndrwxrwx—+ 2 cliente2 cliente2 4.0K Jun 10 10:59 inbound
\ndrwxrwx–x+ 2 cliente2 cliente2 4.0K Nov 7 2013 outbound
\ndrwx—— 2 cliente2 cliente2 4.0K Jun 21 2012 .ssh<\/p>\n

[root@vpn cliente1]# getfacl \/home\/cliente2\/cliente2\/outbound\/
\ngetfacl: Removing leading ‘\/’ from absolute path names
\n# file: home\/cliente2\/cliente2\/outbound
\n# owner: cliente2
\n# group: cliente2
\nuser::rwx
\nuser:profit:rwx
\nuser:monitor:rwx
\nuser:cliente2:rwx
\ngroup::–x
\nmask::rwx
\nother::–x
\ndefault:user::rwx
\ndefault:user:profit:rwx
\ndefault:user:monitor:rwx
\ndefault:user:cliente2:rwx
\ndefault:group::–x
\ndefault:mask::rwx
\ndefault:other::–x<\/p>\n

[root@vpn cliente1]# ls -lah \/home\/cliente2\/
\ntotal 24K
\ndrwxrwx—+ 3 cliente2 cliente2 4.0K Jun 26 2012 .
\ndrwxrwx–x+ 32 root root 4.0K Sep 17 2013 ..
\ndrwxrwx—+ 5 cliente2 cliente2 4.0K Jun 26 2012 cliente2<\/p>\n

Personalizando\/refinando permiss\u00f5es de arquivo com ACL<\/p>\n

Para utilizar as ACL vamos usar 2 comandos basicos, setfacl e getfacl, o set \u00e9 para definir e o get \u00e9 para saber quais foram as permiss\u00f5es definidas (ou seja o que tem por tr\u00e1s do +)<\/p>\n

Supondo que eu tenha o grupo “edita” e quero que esse grupo tenha controle total para a pasta1, voc\u00ea deve utilizar o seguinte comando:<\/p>\n

Primeiramente vamos criar o diret\u00f3rio<\/p>\n

# mkdir pasta1<\/p>\n

Definir para controle total do grupo e usu\u00e1rio (root), e leitura e execu\u00e7\u00e3o para outros<\/p>\n

# chmod 775 pasta1\/<\/p>\n

Agora vamos executar o comando ls -l para ver o como est\u00e1 sendo exibido:<\/p>\n

# ls -l<\/p>\n

total 2
\ndrwxrwxr-x 2 root root 1024 2008-05-06 11:41 pasta1<\/p>\n

Vamos ent\u00e3o aplicar uma ACL simples para que o grupo edita possa ter execu\u00e7\u00e3o total<\/p>\n

# setfacl -m g:edita:rwx pasta1\/<\/p>\n

Executando o comando ls -l<\/p>\n

# ls -l<\/p>\n

total 2
\ndrwxrwxr-x+ 2 root root 1024 2008-05-06 11:41 pasta1<\/p>\n

Reparem que agora existe um + ap\u00f3s os 9 digitos bin\u00e1rios, o que significa que existem permiss\u00f5es extras al\u00e9m do j\u00e1 permitido por padr\u00e3o.<\/p>\n

Vamos pegar o resultado agora com o comando getfacl, ele ir\u00e1 nos mostrar como est\u00e3o aplicadas as ACL (o que tem por tr\u00e1s do +).<\/p>\n

# getfacl pasta1\/<\/p>\n

# file: pasta1
\n# owner: root
\n# group: root
\nuser::rwx
\nuser:root:rwx
\ngroup::rwx
\ngroup:edita:rwx
\nmask::rwx
\nother::r-x<\/p>\n

Podemos observar que as ACL foram corretamente aplicadas, de modo que o grupo edita \u00e9 capaz de editar, ler e listar o conte\u00fado da pasta1.<\/p>\n

Agora essa pasta est\u00e1 com as ACL definidas, portanto, podemos testar, entrando com os usu\u00e1rios bloqueados, usu\u00e1rios que s\u00e3o aceitos somente para leitura, usu\u00e1rios que s\u00e3o aceitos para controle total (leitura e escrita e etc).<\/p>\n

Mais exemplos<\/p>\n

Se necessitar que um usu\u00e1rio tenha apenas permiss\u00e3o de leitura em um determinado arquivo voc\u00ea pode usar a seguinte sintaxe abaixo:<\/p>\n

# setfacl -m u:usuario:r– arquivo.txt<\/p>\n

Se for um grupo altere para “g:grupo” e assim por diante, \u00e9 infinito o que voc\u00ea pode fazer com essas ACL.<\/p>\n

Configura\u00e7\u00f5es para o Samba<\/p>\n

Para que o samba consiga interpretar corretamente as ACL voc\u00ea deve seguir o exemplo abaixo:<\/p>\n

Adicione o par\u00e2metro map acl inherit = Yes no compartilhamento no qual voc\u00ea deseja ativar ACL (ou na pasta compartilhada que voc\u00ea alterou permiss\u00f5es e deseja efetivar as ACL).<\/p>\n

Por padr\u00e3o eu crio o meu compartilhamento da maneira descrita abaixo:<\/p>\n

[compartilhado]
\ncomment = compartilhado
\npath = \/compartilhado
\nread only = No
\ncreate mask = 0777
\nforce create mode = 0777
\ndirectory mask = 0777
\nforce directory mode = 0777
\nmap acl inherit = Yes<\/p>\n

N\u00e3o esque\u00e7a depois de alterar as ACL de reiniciar o samba para que ele aplique as configura\u00e7\u00f5es corretas.<\/p>\n

# \/etc\/init.d\/samba restart<\/p>\n

Distribui\u00e7\u00f5es como fedora, mandriva, openSuSE, pode-se utilizar tamb\u00e9m o um dos seguintes comandos (variando de distribui\u00e7\u00e3o pra distribui\u00e7\u00e3o):<\/p>\n

# service samba restart
\n# service smb restart<\/p>\n

Cr\u00e9ditos: www.hardware.com.br<\/p>\n","protected":false},"excerpt":{"rendered":"

Para uma perfeita integra\u00e7\u00e3o \u00e9 necess\u00e1rio os diret\u00f3rios devem ter permiss\u00f5es semelhantes: Ativar ACL no diret\u00f3rio: [root@vpn cliente1]# cat \/etc\/fstab # Home em passwd fica com \/chroot\/\/home\/cliente3\/cliente3 \/home\/cliente3 \/chroot\/home\/cliente3 auto bind,acl,user_xattr 0 0 \/home\/cliente1 \/chroot\/home\/cliente1 auto bind,acl,user_xattr 0 0 [root@vpn cliente1]# ls -lah \/home\/cliente2\/cliente2\/ total…<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[2],"tags":[],"_links":{"self":[{"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=\/wp\/v2\/posts\/667"}],"collection":[{"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=667"}],"version-history":[{"count":1,"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=\/wp\/v2\/posts\/667\/revisions"}],"predecessor-version":[{"id":668,"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=\/wp\/v2\/posts\/667\/revisions\/668"}],"wp:attachment":[{"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=667"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=667"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=667"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}