『壹』 Linux常用命令之--ACL(getfacl,setfacl)
ACL可以為某個文件單獨設置該文件具體的某用戶或組的許可權,不走三類許可權位
默認 ACL 許可權的作用是:如果給父目錄設定了默認 ACL 許可權,那麼父目錄中所有新建的子文件都會繼承父目錄的 ACL 許可權。但是要加 -R
※ACL許可權更高,會先查看ACL再看傳統的許可權。如果沒有ACL才會走三類許可權位
※如果一個用戶在ACL的user中一個許可權,他所在的ACL的group中是另外一個許可權,會按照user許可權來
• getfacl <文件名>
獲取文件的訪問控制信息
• setfacl設置文件的acl
-m修改文件的acl
-x取消用戶或組對文件的許可權
語法:
• setfacl –m u:用戶名:許可權 <文件名> 設置某用戶名的訪問許可權
• setfacl –m g:組名:許可權 <文件名> 設置某個組的訪問許可權
例1: 想要實現這個↓需求
user1:rwx,user2:rw-,user3:r-x,user4:r--,user5:--x,user6:-w-,
傳統許可權無法滿足上述要求,這時就可以用↓命令進行許可權添加
建一個名字為1的文件,查看文件1的許可權↓
設置許可權
修改後看文件1的許可權↓
例2:
有組A(groupA)和組B(groupB)兩個組,文件1所屬於A組,如果通過三類許可權位設置文件許可權,其他用戶沒有任何許可權,而B組為其他用戶,因此無法對文件1進行任何操作。這時可以通過ACL給組B設置許可權:
setfacl -m g:groupB:r 1 B組里的所有成員就有讀許可權了
• setfacl –x u:用戶名 <文件名> //取消某用戶的訪問許可權
• setfacl –x g:組名 <文件名> //取消某個組的訪問許可權
❉↑這時是將這個user或group的ACL整個刪除,如果只是想刪除某一個許可權,還是需要setfacl -m來進行重新設置
例3:
setfacl -m d:u:qin:rwx /caiwubu
d:default,即將caiwubu這個文件夾的許可權對qin開放rwx許可權,getfacl /caiwubu的時候會發現有一條default:user:qin:rwx。即在/caiwubu文件夾里 新建 的文件夾以及文件對qin的許可權都為rwx,但是之前已經存在的文件及文件夾的許可權在修改ACL許可權之前是什麼現在還是什麼
setfacl -x u:qin /caiwubu/zhangben 取消qin這個用戶對該文件的acl許可權
取消qin這個用戶對該文件的acl許可權
❀如果這個文件給兩個及兩個以上的用戶設定了ACL,取消其中一個用戶的許可權可以用這個命令。但是如果這個文件只給一個用戶設定了ACL且想刪除ACL,或者想把該文件里所有的ACL許可權都刪除的話,需要用↓的命令
setfacl -b /caiwubu/zhangben
關於許可權列的.和+:
ls -lZ :
① drwxrwxrwt. root root system_u:object_r:tmp_t:s0 tmp
② dr-xr-xr-x root root system_u:object_r:boot_t:s0 boot
③ drwxrwxr-x+ root root unconfined_u:object_r:admin_home_t:s0 DCGH-DIR
Linux許可權列的點不是無意義字元
・在開啟SELinux的情況下創建的目錄和文件有這個點,許可權列有這個點說明該目錄或文件設置了SELinux相關的許可權①
・在禁用SELinux許可權之後,在之前開啟SELinux許可權時創建的文件或目錄保持原來的許可權不便,許可權列的點依然顯示,而新創建的目錄或文件在許可權列無這個點顯示②
・許可權列中最後一個位置如果是加號,說明這個目錄或文件已經設置了ACL許可權相關的內容。如果加號存在,則已經有點的目錄或文件中的點的顯示會被覆蓋,但原來的SELinux屬性保持不變
『貳』 acl配置命令華為
這是為了解決ARP攻擊問題的一種做法:
0806 ffff代表ARP協議
24 0x0806在報文中的第24位開始位置
64010101 ffffffff 代表某個確定的ip地址
40(上面的這個IP地址在報文中的第40位
1)全局配置deny所有源IP是網關的arp報文(自定義規則)
ACL num 5000
rule 0 deny 0806 ffff 24 64010101 ffffffff 40
rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34
rule0目的:把整個3026C_A埠冒充網關的ARP報文禁掉,其中藍色部分64010101是網關ip地址的16進製表示形式:100.1.1.1=64010101。
rule1目的:把上行口的網關ARP報文允許通過,藍色部分為網關3552的mac地址000f-e200-3999。
擴展
一、華為技術有限公司是一家生產銷售通信設備的民營通信科技公司,於1987年正式注冊成立,總部位於中國廣東省深圳市龍崗區坂田華為基地。
二、華為是全球領先的信息與通信技術(ICT)解決方案供應商,專注於ICT領域,堅持穩健經營、持續創新、開放合作,在電信運營商、企業、終端和雲計算等領域構築了端到端的解決方案優勢,為運營商客戶、企業客戶和消費者提供有競爭力的ICT解決方案、產品和服務。
三、並致力於實現未來信息社會、構建更美好的全聯接世界。2013年,華為首超全球第一大電信設備商愛立信,排名《財富》世界500強第315位。截至2016年底,華為有17萬多名員工,華為的產品和解決方案已經應用於全球170多個國家,服務全球運營商50強中的45家及全球三分之一的人口。
『叄』 ACL的命令
假設伺服器群所在vlan1,辦公樓所在vlan2
1、創建時間范圍列表
hexin#configure terminal
hexin(config)#time-range webtime
hexin(config-time-range)#periodic daily 8:00 to 18:00
hexin(config-time-range)#exit
2、創建訪問列表
hexin#configure terminal
hexin(config)#ip access-list extended webpermit
hexin(config-ext-nacl)#permit tcp any any eq www time-range webtime
hexin(config-ext-nacl)#deny tcp any any time-range webtime
hexin(config-ext-nacl)#permit ip any any time-range webtime
hexin(config-ext-nacl)#exit
3、應用訪問列表
hexin#configure terminal
hexin(config)#inter vlan 2
hexin(config-if)#ip access-group webpermit out
hexin(config-if)#exit
4、測試
『肆』 Cisco packet tracer ACL 命令
假定PC1地址是192.168.1.1,PC2地址是192.168.2.1,路由已設置好,互相能PING通,PC1接在路由器e0口。
自反ACL如下:
Router(config)#ip acce ext refin //refin是訪問控制列表名,隨意定
Router(config-ext-nacl)#per icmp host 192.168.1.1 host 192.168.2.1 echo ref abc //允許PC1 ping PC2
Router(config-ext-nacl)#exit
Router(config)#ip acce ext refout
Router(config-ext-nacl)#evalu abc
Router(config-ext-nacl)#exit
Router(config)#int e0 //在e0介面上作綁定
Router(config-if)#ip access-g refin in
Router(config-if)#ip access-g refout out
Router(config-if)#end
Router#
友情提示:
Boson NetSim 和Cisco Packet Tracer二款模擬器沒有
evaluate 以及 reflect 命令行配置,因此不能做自反ACL實驗。
以上配置是在實機上完成。