| Navigationslinks �berspringen | |
| Druckansicht beenden | |
|
Systemverwaltungshandbuch: Sicherheitsservices |
Teil I Übersicht über die Sicherheit
1. Sicherheitsservices (Überblick)
Teil II System-, Datei- und Gerätesicherheit
2. Verwalten von Rechnersicherheit (Übersicht)
3. Steuern des Zugriffs auf Systeme (Aufgaben)
4. Steuern des Zugriffs auf Geräte (Aufgaben)
5. Verwenden von Basic Audit Reporting Tool (Aufgaben)
6. Steuern des Zugriffs auf Dateien (Aufgaben)
Schützen von Dateien mithilfe von UNIX-Berechtigungen
Befehle zum Anzeigen und Schützen von Dateien
Datei- und Verzeichniseigentümerschaft
Besondere Dateiberechtigungen (setuid, setgid und Sticky Bit)
Schützen von UFS-Dateien mithilfe von Zugriffssteuerungslisten
ACL-Einträge für UFS-Verzeichnisse
Befehle zum Verwalten von UFS-ACLs
Vermeiden von Sicherheitsrisiken in Verbindung mit ausführbaren Dateien
Schützen von Dateien (Übersicht der Schritte)
Schützen von Dateien mithilfe von UNIX-Berechtigungen (Übersicht der Schritte)
So zeigen Sie Dateiinformationen an
So ändern Sie den Eigentümer einer lokalen Datei
So ändern Sie die Gruppeneigentümerschaft einer Datei
So ändern Sie die Dateiberechtigungen im symbolischen Modus
So ändern Sie Dateiberechtigungen im absoluten Modus
So ändern Sie besondere Dateiberechtigungen im absoluten Modus
Schützen von UFS-Dateien mit ACLs (Übersicht der Schritte)
So stellen Sie fest, ob eine Datei über eine ACL verfügt
So fügen Sie einer Datei ACL-Einträge hinzu
So ändern Sie die ACL-Einträge für eine Datei
Schützen vor Programmen mit Sicherheitsrisiko (Übersicht der Schritte)
So suchen Sie Dateien mit besonderen Dateiberechtigungen
So hindern Sie Programme an der Verwendung ausführbarer Stacks
7. Verwenden von Automated Security Enhancement Tool (Aufgaben)
Teil III Rollen, Berechtigungsprofile und Berechtigungen
8. Verwenden von Rollen und Berechtigungen (Übersicht)
9. Rollenbasierte Zugriffssteuerung (Aufgaben)
10. Rollenbasierte Zugriffssteuerung (Übersicht)
Teil IV Kryptografische Services
13. Oracle Solaris Cryptographic Framework (Übersicht)
14. Oracle Solaris Cryptographic Framework (Aufgaben)
15. Oracle Solaris Key Management Framework
Teil V Authentifizierungsservices und sichere Kommunikation
16. Verwenden von Authentifizierungsservices (Aufgaben)
19. Verwenden von Oracle Solaris Secure Shell (Aufgaben)
20. Oracle Solaris Secure Shell (Referenz)
21. Einführung zum Kerberos-Service
22. Planen des Kerberos-Service
23. Konfigurieren des Kerberos-Service (Aufgaben)
24. Kerberos-Fehlermeldungen und -Fehlerbehebung
25. Verwalten von Kerberos-Hauptelementen und Richtlinien (Aufgaben)
26. Verwenden von Kerberos-Anwendungen (Aufgaben)
27. Der Kerberos-Service (Referenz)
Teil VII Prüfung bei Oracle Solaris
28. Prüfung bei Oracle Solaris (Übersicht)
29. Planen der Oracle Solaris-Prüfung
30. Verwalten der Oracle Solaris-Prüfung (Aufgaben)
In der folgenden Übersicht der Schritte wird auf Verfahren verwiesen, mit denen die ACLs für eine UFS-Datei aufgelistet, geändert und in eine andere Datei kopiert werden können.
|
% ls -l filename
Ersetzen Sie filename durch die Datei oder das Verzeichnis.
In der Ausgabe gibt ein Pluszeichen (+) rechts neben dem Modusfeld an, dass die Datei über eine ACL verfügt.
Beispiel 6-6 Prüfen, ob eine Datei über eine ACL verfügt
In dem folgenden Beispiel verfügt die Datei ch1.sgm über eine ACL. Die ACL wird durch das Pluszeichen (+) rechts neben dem Modusfeld gekennzeichnet.
% ls -l ch1.sgm -rwxr-----+ 1 stacey techpubs 167 Nov 11 11:13 ch1.sgm
% setfacl -s user::perms,group::perms,other:perms,mask:perms,acl-entry-list filename ...
Stellt eine ACL für eine Datei ein. Wenn bereits eine ACL vorhanden ist, wird sie ersetzt. Diese Option erfordert mindestens die Einträge user::, group:: und other::.
Gibt die Dateieigentümer-Berechtigungen an
Gibt die Gruppeneigentümer-Berechtigungen an
Gibt die Berechtigungen für andere Benutzer als den Dateieigentümer oder die Mitglieder der Dateigruppe an
Gibt die Berechtigungen für die ACL-Maske an Die Maske gibt die maximalen Berechtigungen an, die für Benutzer (andere als der Eigentümer) und für Gruppen gewährt werden können.
Gibt eine Liste von ACL-Einträgen an, die für bestimmte Benutzer oder Gruppen für die Datei oder das Verzeichnis eingestellt werden sollen. Sie können auch die Standard-ACL-Einträge für ein Verzeichnis einstellen: Tabelle 6-7 und Tabelle 6-8 enthalten gültige ACL-Einträge.
Gibt eine oder mehrere Dateien oder Verzeichnisse an, für die die ACL eingestellt wird. Mehrere Dateinamen werden durch Leerzeichen getrennt.
 | Achtung - Wenn in der Datei bereits eine ACL vorhanden ist, ersetzt die Option -s die gesamte ACL durch die neue ACL. |
Weitere Informationen finden Sie auf der Manpage setfacl(1).
% getfacl filename
Informationen finden Sie unter So stellen Sie fest, ob eine Datei über eine ACL verfügt.
Beispiel 6-7 Einstellen einer ACL für eine Datei
In dem nachstehenden Beispiel werden folgende Berechtigungen für die Datei ch1.sgm eingestellt: Der Eigentümer der Datei ist zum Lesen und Schreiben und die Gruppe zum Lesen berechtigt, während andere Benutzer über keine Berechtigungen verfügen. Außerdem erhält der Benutzer anusha Lese- und Schreibberechtigungen für die Datei. Die Ach-Maskenberechtigungen werden auf Lesen und Schreiben eingestellt, d. h. dass kein Benutzer und keine Gruppe über Ausführungsberechtigungen verfügt.
% setfacl -s user::rw-,group::r--,other:---,mask:rw-,user:anusha:rw- ch1.sgm % ls -l total 124 -rw-r-----+ 1 stacey techpubs 34816 Nov 11 14:16 ch1.sgm -rw-r--r-- 1 stacey techpubs 20167 Nov 11 14:16 ch2.sgm -rw-r--r-- 1 stacey techpubs 8192 Nov 11 14:16 notes % getfacl ch1.sgm # file: ch1.sgm # owner: stacey # group: techpubs user::rw- user:anusha:rw- #effective:rw- group::r-- #effective:r-- mask:rw- other:---
In dem nachstehenden Beispiel werden folgende Berechtigungen eingestellt: Der Eigentümer der Datei ist zum Lesen, Schreiben und Ausführen und die Gruppe zum Lesen berechtigt, während andere Benutzer über keine Berechtigungen verfügen. Außerdem werden die ACL-Maskenberechtigungen für die Datei ch2.sgm auf Lesen eingestellt. Zuletzt erhält noch der Benutzer anusha Lese- und Schreibberechtigungen. Aufgrund der ACL-Maske hat anusha jedoch nur eine Leseberechtigung.
% setfacl -s u::7,g::4,o:0,m:4,u:anusha:7 ch2.sgm % getfacl ch2.sgm # file: ch2.sgm # owner: stacey # group: techpubs user::rwx user:anusha:rwx #effective:r-- group::r-- #effective:r-- mask:r-- other:---
% getfacl filename1 | setfacl -f - filename2
Gibt die Datei an, von der die ACL kopiert werden soll
Gibt die Datei an, für die die kopierte ACL eingestellt werden soll
Beispiel 6-8 Kopieren einer ACL
In dem folgenden Beispiel wird eine ACL von ch2.sgm in ch3.sgm kopiert.
% getfacl ch2.sgm | setfacl -f - ch3.sgm
% setfacl -m acl-entry-list filename ...
Ändert den vorhandenen ACL-Eintrag
Gibt eine Liste mit mindestens einem ACL-Eintrag an, um die Datei oder das Verzeichnis zu ändern. Sie können auch die Standard-ACL-Einträge für ein Verzeichnis ändern. Tabelle 6-7 und Tabelle 6-8 enthalten die gültigen ACL-Einträge.
Gibt eine oder mehrere Dateien oder Verzeichnisse an, die durch Leerzeichen getrennt werden.
% getfacl filename
Beispiel 6-9 Ändern von ACL-Einträgen für eine Datei
In dem folgenden Beispiel werden die Berechtigungen für den Benutzer anusha in Lese- und Schreibberechtigungen geändert.
% setfacl -m user:anusha:6 ch3.sgm % getfacl ch3.sgm # file: ch3.sgm # owner: stacey # group: techpubs user::rw- user::anusha:rw- #effective:r-- group::r- #effective:r-- mask:r-- other:r-
In dem folgenden Beispiel werden die Standardberechtigungen für die Gruppe staff im Verzeichnis book in Leseberechtigungen geändert. Außerdem werden die Standard-ACL-Maskenberechtigungen in Lese- und Schreibberechtigungen geändert.
% setfacl -m default:group:staff:4,default:mask:6 book
% setfacl -d acl-entry-list filename ...
Löscht die angegebenen ACL-Einträge
Gibt eine Liste von ACL-Einträgen an (ohne die Berechtigungen festzulegen), die aus der Datei oder dem Verzeichnis gelöscht werden sollen. Sie können nur ACL-Einträge und Standard-ACL-Einträge für bestimmte Benutzer und Gruppen löschen. Tabelle 6-7 und Tabelle 6-8 enthalten die gültigen ACL-Einträge.
Gibt eine oder mehrere Dateien oder Verzeichnisse an, die durch Leerzeichen getrennt werden.
Alternativ können Sie mit dem Befehl setfacl -s alle ACL-Einträge für eine Datei löschen und durch die neuen ACL-Einträge ersetzen.
% getfacl filename
Beispiel 6-10 Löschen von ACL-Einträgen aus einer Datei
In dem folgenden Beispiel wird der Benutzer anusha aus der Datei ch4.sgm gelöscht.
% setfacl -d user:anusha ch4.sgm
% getfacl [-a | -d] filename ...
Zeigt den Dateinamen, den Dateieigentümer, die Dateigruppe und die ACL-Einträge für die angegebene Datei oder das Verzeichnis an.
Zeigt den Dateinamen, den Dateieigentümer und die Standard-ACL-Einträge, falls vorhanden, für das angegebene Verzeichnis an.
Gibt eine oder mehrere Dateien oder Verzeichnisse an, die durch Leerzeichen getrennt werden.
Wenn Sie mehrere Dateinamen auf der Befehlszeile angeben, werden die einzelnen ACL-Einträge durch jeweils eine Leerzeile getrennt.
Beispiel 6-11 Anzeigen von ACL-Einträgen für eine Datei
In dem folgenden Beispiel werden alle ACL-Einträge für die Datei ch1.sgm angezeigt. Der Hinweis #effective: neben Benutzer- und Gruppeneinträgen gibt die Berechtigungen nach der Änderung durch die ACL-Maske an.
% getfacl ch1.sgm # file: ch1.sgm # owner: stacey # group: techpubs user::rw- user:anusha:r- #effective:r-- group::rw- #effective:rw- mask:rw- other:---
In dem folgenden Beispiel werden die Standard-ACL-Einträge für das Verzeichnis book angezeigt.
% getfacl -d book # file: book # owner: stacey # group: techpubs user::rwx user:anusha:r-x #effective:r-x group::rwx #effective:rwx mask:rwx other:--- default:user::rw- default:user:anusha:r-- default:group::rw- default:mask:rw- default:other:---
|