Seri RHCSA menggunakan ACLS (daftar kontrol akses) dan pemasangan saham Samba / NFS - Bagian 7

Di artikel terakhir (RHCSA Series Bagian 6) kami mulai menjelaskan cara mengatur dan mengkonfigurasi penyimpanan sistem lokal menggunakan berpisah Dan ssm.

RHCSA Series :: Konfigurasikan ACL dan pemasangan saham NFS / SAMBA - Bagian 7

Kami juga membahas cara membuat dan memasang volume terenkripsi dengan kata sandi selama boot sistem. Selain itu, kami memperingatkan Anda untuk menghindari melakukan operasi manajemen penyimpanan kritis pada sistem file yang dipasang. Dengan mengingat hal itu kami sekarang akan meninjau format sistem file yang paling banyak digunakan di Red Hat Enterprise Linux 7 dan kemudian melanjutkan untuk menutupi topik pemasangan, menggunakan, dan luput dari Sistem file jaringan secara manual dan otomatis (CIFS Dan NFS), bersama dengan implementasi daftar kontrol akses untuk sistem Anda.

Prasyarat

Sebelum melanjutkan, pastikan Anda memiliki Samba server dan a NFS server tersedia (perhatikan itu NFSV2 tidak lagi didukung RHEL 7).

Selama panduan ini kami akan menggunakan mesin dengan IP 192.168.0.10 dengan kedua layanan berjalan di dalamnya sebagai server, dan a RHEL 7 kotak sebagai klien dengan alamat IP 192.168.0.18. Nanti di artikel kami akan memberi tahu Anda paket mana yang perlu Anda instal pada klien.

Format sistem file di rhel 7

Dimulai dengan RHEL 7, Xfs telah diperkenalkan sebagai sistem file default untuk semua arsitektur karena kinerja dan skalabilitasnya yang tinggi. Saat ini mendukung ukuran sistem file maksimum 500 tb Sesuai tes terbaru yang dilakukan oleh Red Hat dan mitranya untuk perangkat keras arus utama.

Juga, Xfs memungkinkan user_xattr (atribut pengguna yang diperluas) dan ACL (Daftar Kontrol Akses POSIX) Sebagai opsi pemasangan default, tidak seperti Ext3 atau Ext4 (Ext2 dianggap sudah usang sebagai RHEL 7), yang berarti bahwa Anda tidak perlu menentukan opsi tersebut secara eksplisit baik pada baris perintah atau di dalam /etc/fstab Saat memasang sistem file XFS (jika Anda ingin menonaktifkan opsi tersebut dalam kasus terakhir ini, Anda harus menggunakan secara eksplisit no_acl Dan no_user_xattr).

Keep in mind that the extended user attributes can be assigned to files and directories for storing arbitrary additional information such as the mime type, character set or encoding of a file, whereas the access permissions for user attributes are defined by the regular file permission bits.

Daftar Kontrol Akses

Karena setiap administrator sistem, baik pemula atau ahli, berkenalan dengan izin akses reguler pada file dan direktori, yang menentukan hak istimewa tertentu (membaca, menulis, Dan menjalankan) untuk pemilik, kelompok, dan "dunia" (semua lainnya). Namun, jangan ragu untuk merujuk ke bagian 3 dari seri RHCSA jika Anda perlu sedikit menyegarkan ingatan Anda.

Namun, karena standar UGO/RWX Set tidak mengizinkan untuk mengkonfigurasi izin yang berbeda untuk pengguna yang berbeda, ACLS diperkenalkan untuk mendefinisikan hak akses yang lebih rinci untuk file dan direktori daripada yang ditentukan oleh izin reguler.

nyatanya, Ditentukan ACL Izin adalah superset dari izin yang ditentukan oleh bit izin file. Mari kita lihat bagaimana semua ini diterjemahkan diterapkan di dunia nyata.

1. Ada dua jenis ACLS: akses ACLS, yang dapat diterapkan pada file tertentu atau direktori), dan ACL default, yang hanya dapat diterapkan ke direktori. Jika file yang terkandung di dalamnya tidak memiliki set ACL, mereka mewarisi ACL default dari direktori induknya.

2. Untuk memulai, ACL dapat dikonfigurasi per pengguna, per grup, atau per pengguna yang tidak ada di grup pemilik file.

3. ACLS diatur (dan dihapus) menggunakan setfacl, dengan salah satu -M atau -X Opsi, masing -masing.

Misalnya, mari kita membuat grup bernama tecmint dan tambahkan pengguna Johndoe Dan Davenull untuk itu:

# Groupadd tecmint # useradd johndoe # useradd davenull # usermod -a -g tecmint johndoe # usermod -a -g tecmint davenull 

Dan mari kita verifikasi bahwa kedua pengguna termasuk dalam grup tambahan tecmint:

# ID JohnDoe # ID Davenull 

Verifikasi Pengguna

Sekarang mari kita buat direktori yang disebut taman bermain di dalam /mnt, dan file bernama testfile.txt di dalam. Kami akan mengatur pemilik grup tecmint dan mengubah defaultnya UGO/RWX izin ke 770 (Baca, tulis, dan jalankan izin yang diberikan kepada pemilik dan pemilik grup file):

# mkdir/mnt/taman bermain # sentuh/mnt/taman bermain/testfile.txt # chmod 770/mnt/playground/testfile.txt 

Kemudian beralih pengguna ke Johndoe Dan Davenull, dalam urutan itu, dan tulis ke file:

echo "nama saya John doe">/mnt/taman bermain/testfile.txt echo "name my dave null" >>/mnt/playground/testfile.txt 

Sejauh ini bagus. Sekarang mari kita punya pengguna Gacanepa Menulis ke file - dan operasi tulis akan gagal, yang diharapkan.

Tapi bagaimana jika kita benar -benar membutuhkan pengguna Gacanepa (yang bukan anggota grup tecmint) untuk memiliki izin menulis /mnt/taman bermain/testfile.txt? Hal pertama yang mungkin terlintas dalam pikiran Anda adalah menambahkan akun pengguna itu ke grup tecmint. Tapi itu akan memberinya izin menulis SEMUA File adalah bit tulis diatur untuk grup, dan kami tidak menginginkannya. Kami hanya ingin dia bisa menulis /mnt/taman bermain/testfile.txt.

# Touch/Mnt/Playground/Testfile.txt # chown: tecmint/mnt/playground/testfile.txt # chmod 777/mnt/playground/testfile.txt # su Johndoe $ echo "My Name is John doe">/mnt/playground/testfile.txt $ su davenull $ echo "name my dave null" >>/mnt/playground/testfile.txt $ su gacanepa $ echo "nama saya gabriel canepa" >>/mnt/playground/testfile.txt 

Kelola izin pengguna

Mari Beri Pengguna Gacanepa Baca dan tulis akses ke /mnt/taman bermain/testfile.txt.

Jalankan sebagai root,

# setfacl -r -m u: gacanepa: rwx /mnt /playground 

Dan Anda akan berhasil menambahkan ACL yang memungkinkan Gacanepa untuk menulis ke file uji. Kemudian beralih ke pengguna Gacanepa dan mencoba menulis ke file lagi:

$ echo "Nama saya Gabriel Canepa" >>/Mnt/Playground/Testfile.txt 

Untuk melihat ACLS Untuk file atau direktori tertentu, gunakan getfacl:

# getfacl/mnt/playground/testfile.txt 

Periksa ACL file

Untuk mengatur a ACL default ke direktori (yang isinya akan mewarisi kecuali ditimpa sebaliknya), tambahkan D: Sebelum aturan dan tentukan direktori alih -alih nama file:

# setfacl -m d: o: r /mnt /playground 

ACL di atas akan memungkinkan pengguna tidak ada di grup pemilik untuk membaca akses ke konten masa depan dari /mnt/taman bermain direktori. Perhatikan perbedaan output getfacl /mnt /taman bermain sebelum dan sesudah perubahan:

Atur ACL default di Linux

Bab 20 Dalam Panduan Administrasi Penyimpanan RHEL 7 resmi memberikan lebih banyak contoh ACL, dan saya sangat menyarankan Anda melihatnya dan membuatnya berguna sebagai referensi.

Halaman: 1 2