主页 / server / 问题

问题[access-control-list](server)

Martin Hope
Mikey A. Leonetti
Asked: 2022-02-08 12:35:32 +0800 CST
  • 0

在我的服务器上,我拥有在 public_html 文件夹上设置的特殊权限。

首先是粘性位

chmod g+s /home/domain.com/public_html

也是默认组权限。

setfacl -m 'default:group::rwX' /home/domain.com/public_html

当我运行我的 certbot 命令时

certbot certonly \
        --webroot \
        -w /home/domain.com/public_html/ -d domain.com

certbot 将在 public_html 文件夹中创建一个具有正确权限的 .well-known/acme-challenge。它甚至保留正确的组名。但是,acme 挑战本身将具有以下内容。

-rw-r-----  1 root                 root                   87 Feb  7 17:27 ELnik5A0krJsKUsL2If1mVfd2pSzWJAiSSjhA6h-f5E

它由 root 拥有并且具有组 root 并且不能被 apache2 读取。所以整个操作失败了。

添加 --debug-challenges 将允许它暂停,以便我可以手动修复它,但我觉得更新可能是一个问题。

我有什么选择来解决这个问题?

ubuntu access-control-list apache2 certbot lets-encrypt
Martin Hope
Marcatectura
Asked: 2021-05-01 13:03:48 +0800 CST
  • 2

我在 Cloud Storage Bucket 中托管了一个静态站点,并设置了细粒度的权限。我正在尝试按对象设置 ACL 权限,以便用户只有在拥有列入白名单的电子邮件地址(不一定是谷歌)或其他标识符(例如唯一访问 URL)时才能访问特定资源。

allUsers但是,如果不授予对or的访问权限,我无法确定如何获取对象的 URL allAuthenticatedUsers,这反过来会破坏我的 ACL。有没有办法实现上述目标?

google-cloud-platform access-control-list google-cloud-storage
Martin Hope
rm95
Asked: 2021-04-22 09:02:44 +0800 CST
  • -1

情况如下:

  • 我希望用户usr在系统中的任何位置都具有组grp的相同权限。
  • grp不是本地组,它来自我无法控制的 LDAP 服务器。

我对 Linux 没有太多经验,所以我做了一些研究,发现了两种可能的方法来实现这一点:

  • 创建一个同名的本地组,并使usr成为其中的一部分。但是,我不太确定这将如何影响来自原始grp的远程用户。我是否需要更改 NSS 配置文件才能使其正常工作?在这种情况下,配置应该是什么?
  • 使用 ACL 授予usr权限。我的问题是它看起来有点复杂。据我所知,没有自动的方法来做我想做的事,我必须制作一个遍历文件系统的脚本,检查每个文件和目录的组权限,然后给usr相同的权限。我是否遗漏了什么,或者这将是唯一的方法?
linux permissions ldap access-control-list nss
Martin Hope
christopher westburry
Asked: 2021-04-16 04:47:57 +0800 CST
  • 1

我正在使用 exim 发送邮件。对于经过 SMTP 身份验证的用户,我已经添加了几个 ACL,并希望添加另一个允许后缀别名的 ACL。后缀别名是电子邮件地址,例如“[email protected]”。

环境如下所示:

  • 用户名(完整的电子邮件地址)存储在$authenticated_id
  • 设置的 FROM 地址存储在$sender_address
  • [email protected]”中的“用户”可以在${local_part:$authenticated_id}
  • 认证用户的域名在${domain:$authenticated_id}

现在我想实现如下所示的 ACL 规则:

# accept if FROM address is a suffix alias of authenticated address
accept
  condition = ${if match {$sender_address} {${local_part:$authenticated_id}+{*}@${domain:$authenticated_id}} }
  logwrite = AUTH OK - FROM address $sender_address is a suffix alias of authenticated user

不幸的是,ACL 规则似乎不正确。我收到以下错误消息:

failed to expand ACL string "${if match {$sender_address} {${local_part:$authenticated_id}+{*}@${domain:$authenticated_id}} }": curly-bracket problem in conditional yes/no parsing: 'yes' part did not start with '{'

问:上述条件有什么问题,实现这一点的正确条件应该是什么样的?

access-control-list exim
Martin Hope
mslot
Asked: 2021-03-06 03:20:26 +0800 CST
  • 0

我有这个设置:

  1. 存储帐户
  2. 一个网络应用程序
  3. 具有两个子网的 VNET
  4. 私人链接

专用链接位于子网 A 中,webapp 被委派给子网 B。我有一个分配给存储帐户的专用链接

存储帐户专用连接

这实际上是有效的。在进行名称解析时,我可以看到 IP 来自子网 A 范围

名称解析

我可以完美地从存储帐户请求数据。

现在我想切断公共交通。如我所见,我这样做的唯一方法是禁止来自所有网络的流量

允许来自无网络的流量

但现在我无法从我的存储帐户请求数据。名称解析仍然可以正常工作,并且内部 IP 确实得到了解析。

我肯定做错了。如何拒绝来自公共端点的流量,只允许来自我的内部 IP 的流量?

正如我所看到的,一种解决方法是将子网 B 添加到允许的网络列表中。如果我这样做,存储服务端点被添加到子网,名称解析仍在解析内部 IP,我可以获取数据。

这是解决方法,唯一且正确的方法吗?

access-control-list azure azure-storage
Martin Hope
AnjanaAK
Asked: 2020-12-08 22:38:45 +0800 CST
  • 0

我想将主 DNS 设置为域 example.com 的 OCI DNS。想在easyDNS中设置它的辅助DNS。

我在这里找到了使用easyDNS设置辅助DNS的文档:https ://kb.easydns.com/knowledge/secondary-dns/

这是一个以 DNSMadeEasy 为主的示例:https ://kb.easydns.com/knowledge/secondary-dns-with-dns-made-easy-as-primary/

但是为了在 OCI 中将 easyDNS 名称服务器添加到 ACL,我应该在 OCI 控制台中的哪里进行更改?我找不到任何有关此的 OCI 文档。

如何将主 DNS 设置为 OCI DNS,将辅助 DNS 设置为 EasyDNS?

有必要将我们的域名服务器添加到您的域列表的 ACL 中,并确保 IP 在您的防火墙上被列入白名单。这应该被列入 UDP 和 TCP 的白名单,进出。

谁能帮帮我吗?

domain-name-system access-control-list oracle dns-zone transfer
Martin Hope
GC 13
Asked: 2020-12-01 22:19:30 +0800 CST
  • 0

以 root 身份创建目录 /Logs/case1 并将 ACL 设置为具有默认组“mygroup”权限为“rwx”后,创建的任何子目录都不会继承这些权限

$ mkdir /Logs/case1    
$ setfacl -m g:mygroup:rwx /Logs/case1

以下是设置后的 ACL:

gc@logs:/Logs$ getfacl case1
# file: case1
# owner: root
# group: root
user::rwx
group::r-x
group:mygroup:rwx
mask::rwx
other::r-x

现在作为系统的普通用户,我应该在 /Logs/case1 下创建一个子目录

$ mkdir /Logs/case1/12345

gc@logs:/Logs/case1$ ls -lrt
total 4
drwxr-xr-x 2 gc mygroup 4096 Dec  1 00:16 12345

gc@logs:/Logs/case1$ getfacl 12345/
# file: 12345/
# owner: gc
# group: mygroup
user::rwx
group::r-x
other::r-x

为什么这个目录 "/Logs/case1/12345" 没有继承组 "mygroup" - "rwx" 的父目录 ACL?

这是分配给用户“root”和“gc”的组

$ groups root
root : root

$ groups gc
gc : mygroup
access-control-list
Martin Hope
Yo Yo
Asked: 2020-12-01 04:52:24 +0800 CST
  • 2

我看到了一个 ACLs 命令,它是:

拒绝 ip 10.0.0.0 0.255.255.255 任何

我很困惑这个“ip”是指 IP 地址还是“TCP/IP”流量?此命令是否意味着它将丢弃不是源地址为 10.0.0.0 且通配符掩码为 0.255.255.255 的 IP 流量的任何数据包?

谢谢你。

access-control-list
Martin Hope
qwerty
Asked: 2020-11-24 12:24:05 +0800 CST
  • 1

我的 Linux 系统上有 3000 多个本地用户。我想为文件夹或文件动态设置权限。我在研究这个主题时遇到了 ACL(访问控制列表)。所有用户的家庭位置必须对其他用户隐藏。但是,如果我想为用户主页的子文件夹中的某些文件或文件夹授予权限,那我该怎么办?

其实我想说的是:

在此处输入图像描述

当我阻止 /user1 的 /user2 目录时,我无法从 user1 访问 user2 的子目录。我该如何解决这个问题?

我看了这里,虽然它与我的问题并不完全相似。我不希望用户看到彼此的目录。

我的救命稻草在哪里?

file-sharing access-control-list user-permissions file-permissions
Martin Hope
zbro
Asked: 2020-10-20 11:35:34 +0800 CST
  • 1

这似乎是一个简单/愚蠢的问题,但对我来说并非如此。请记住,我不是网络管理员,所以这对我来说并不明显。无论如何,直截了当:

为什么我需要将 ACL 绑定到特定接口?换句话说,为什么我必须这样做:

interface ethernet0
ip access-group 1 in

而不是告诉路由器/交换机对所有传入流量使用 ACL(在我的示例 #1 中)?就个人而言,我只能想到两个原因(如下),但我有一种奇怪的感觉,可能还有其他原因:

a) 优化。例如,如果硬件为每个网络接口使用一些 ASIC,允许在传入流量“进入”控制平面之前过滤掉它。

b) 按照惯例。这是不太可能的。

谢谢。

networking cisco access-control-list