在众多的linux访问控制系统中,Andreas Gruenbacher的Linux ACL工程是比较有影响力的一个,也是最容易使用的一个。它依赖于文件系统的扩展属性(Extended Attribute)。
简介
作为一种自由的操作系统,Linux的发展极为迅速,也出现了很多改进传统UNIX系统缺点的工程。这些工程通过不同的方式帮助系统管理员提高系统的安全性,例如:进程的能力,更细粒度的权限等。在上期我们介绍了Linux的能力特性,本文将介绍Linux的ACL系统。
传统UNIX系统的访问控制方法是非常简单的,它把用户分成三类:文件的拥有者、组成员和其他用户。很显然,这种访问控制模型过于简陋了。随着对Linux系统安全性要求的提高,需要一种更细粒度的访问控制模型来代替传统UNIX系统的访问控制模型。使用ACL(Access Control List,访问控制列表)系统,系统管理员能够为每个用户(包括root用户在内)对文件和目录的访问提供更好的访问控制。在POSIX中定义了一种访问控制叫做POSIX ACL,可以实现基于单独用户的控制,目前的大多数Linux访问控制工程都是以此为基础。
在众多的工程中,Andreas Gruenbacher的Linux ACL工程是比较有影响力的一个。它依赖于文件系统的扩展属性(Extended Attribute)。当前,Linux能够在ext2/ext3和SGI的XFS文件系统中支持POSIX ACL。其它类型的文件系统,例如:ReiserFS文件系统也很快会支持ACL。在网络文件系统中,Linux能够通过Samba共享支持ACL,不过目前的NFS还不能支持ACL。需要指出的是,目前使用磁盘限额的ext3文件系统对ACL的支持不是很好。
1.安装EA/ACL系统
1.1.下载ACL/EA内核补丁以及相关工具
安装ACL/EA系统,首先需要下载相关的内核补丁、工具以及辅助库。所有所需的软件包都可以从http://acl.bestbits.at/download.html下载。
本文将讨论如何在RedHat7.3(内核使用编写本文时的最新版本2.4.19,在本文完成时linux-2.4.20刚刚发布,不过相关的ea/acl的补丁还不太稳定)中安装ACL系统。需要指出的是,最新版的RedHat 8中已经广泛使用了ea/acl。为了系统维护的方便,建议除了内核补丁使用源代码包之外,其余软件都是用RPM包进行安装。整个安装过程需要用到以下的软件包:
1.2.安装内核
在下在了所需的软件之后,就可以进入实际的安装了。我们首先需要一个支持ACL的内核,以下是具体的操作步骤:
1)进入内核源代码所在的目录,使用EA/ACL补丁升级内核源代码:
2)执行如下命令进入内核选项配置界面
3)选择File systems进入文件系统的配置界面
4)打开POSIX Access Control List选项,然后根据需要打开ext2/ext3文件系统的支持选项。
5)完成配置之后,执行如下命令编译支持ACL的内核:
6)最后使用自己喜欢的编辑器编辑/boot/grub/menu.lst文件,使我们刚才编译的内核能够启动。
1.3.安装辅助工具
完成内核的安装之后,我们还需要安装用户空间的工具和库以便对ACL进行日常维护。
1)安装attr库
2)安装acl库
3)安装支持ACL的fileutils软件包。它比原始的fileutils软件包增加了维护ACL的工具。
4)安装支持文件系统的扩展属性(Extended Attribute)的e2fsprogs软件包。
5)安装star。Star是一个类似于tar,支持ACL的快速归档工具。
【相关文章】
……