アクセス制御リスト - 版の履歴

Oech3: 誤訳?を修正/* ACL の有効化 */

2025-04-05T05:00:54Z

誤訳?を修正ACL の有効化

← 古い版		2025年4月5日 (土) 14:00時点における版
15行目:		15行目:
	ACL を有効化するには、ファイルシステムを {{ic\|acl}} オプションでマウントする必要があります。[[fstab]] を使えばオプションを永続化させることができます。		ACL を有効化するには、ファイルシステムを {{ic\|acl}} オプションでマウントする必要があります。[[fstab]] を使えばオプションを永続化させることができます。

	ファイルシステムのデフォルトマウントオプションによっては {{ic\|acl}} オプションが既に有効になっているかもしれません。[[Btrfs]] と Ext2/[[Ext3\|3]]/[[Ext4\|4]] ~~ファイルシステムで~~は~~、すでに有効になってい~~ます。以下のコマンドを使うことで、ext2/3/4 でフォーマットされたパーティションのオプションを確認できます:		ファイルシステムのデフォルトマウントオプションによっては {{ic\|acl}} オプションが既に有効になっているかもしれません。[[Btrfs]] と Ext2/[[Ext3\|3]]/[[Ext4\|4]] は影響を受けます。以下のコマンドを使うことで、ext2/3/4 でフォーマットされたパーティションのオプションを確認できます:

	{{hc\|# tune2fs -l /dev/sd''XY'' {{!}} grep "Default mount options:"\|		{{hc\|# tune2fs -l /dev/sd''XY'' {{!}} grep "Default mount options:"\|

AshMyzk: /* プライベートなファイルへの実行権限を付与する */ 戻す

2023-05-10T07:52:44Z

プライベートなファイルへの実行権限を付与する: 戻す

← 古い版		2023年5月10日 (水) 16:52時点における版
154行目:		154行目:
	}}		}}

	=== プライベートなファイルへの実行権限を付与する ===		=== プライベートなファイルに実行権限を付与する ===

	[[ウェブサーバー]]などのプロセスに、ユーザのホームディレクトリにあるファイルへのアクセス権を与える方法を以下で説明します (システム全体に対してアクセス権を与えてセキュリティを犠牲にしたりはしません)。		[[ウェブサーバー]]などのプロセスに、ユーザのホームディレクトリにあるファイルへのアクセス権を与える方法を以下で説明します (システム全体に対してアクセス権を与えてセキュリティを犠牲にしたりはしません)。

AshMyzk: /* プライベートなファイルに実行権限を付与する */ セクション名を変更

2023-05-10T07:52:20Z

プライベートなファイルに実行権限を付与する: セクション名を変更

← 古い版		2023年5月10日 (水) 16:52時点における版
154行目:		154行目:
	}}		}}

	=== プライベートなファイルに実行権限を付与する ===		=== プライベートなファイルへの実行権限を付与する ===

	[[ウェブサーバー]]などのプロセスに、ユーザのホームディレクトリにあるファイルへのアクセス権を与える方法を以下で説明します (システム全体に対してアクセス権を与えてセキュリティを犠牲にしたりはしません)。		[[ウェブサーバー]]などのプロセスに、ユーザのホームディレクトリにあるファイルへのアクセス権を与える方法を以下で説明します (システム全体に対してアクセス権を与えてセキュリティを犠牲にしたりはしません)。

AshMyzk: カテゴリを修正

2023-05-10T07:49:49Z

カテゴリを修正

← 古い版		2023年5月10日 (水) 16:49時点における版
1行目:		1行目:
	[[Category:~~Access control~~]]		[[Category:アクセス制御]]
	[[en:Access Control Lists]]		[[en:Access Control Lists]]
	[[es:Access Control Lists]]		[[es:Access Control Lists]]

AshMyzk: 同期

2023-05-10T07:49:16Z

同期

差分を表示

Kusakata.bot: 文字列「http://unix.stackexchange.com/」を「https://unix.stackexchange.com/」に置換

2018-02-06T14:43:48Z

文字列「http://unix.stackexchange.com/」を「https://unix.stackexchange.com/」に置換

← 古い版		2018年2月6日 (火) 23:43時点における版
146行目:		146行目:
	* Man ページ - {{ic\|man setfacl}}		* Man ページ - {{ic\|man setfacl}}
	* 古いが関連性のある ACL の [http://vanemery.net/Linux/ACL/linux-acl.html ガイド]		* 古いが関連性のある ACL の [http://vanemery.net/Linux/ACL/linux-acl.html ガイド]
	* [~~http~~://unix.stackexchange.com/questions/1314/how-to-set-default-file-permissions-for-all-folders-files-in-a-directory How to set default file permissions for all folders/files in a directory?]		* [https://unix.stackexchange.com/questions/1314/how-to-set-default-file-permissions-for-all-folders-files-in-a-directory How to set default file permissions for all folders/files in a directory?]

Kusakata: /* 参照 */ 同期

2017-04-29T06:18:41Z

参照: 同期

← 古い版		2017年4月29日 (土) 15:18時点における版
145行目:		145行目:
	* Man ページ - {{ic\|man getfacl}}		* Man ページ - {{ic\|man getfacl}}
	* Man ページ - {{ic\|man setfacl}}		* Man ページ - {{ic\|man setfacl}}
	* An ~~old~~ ~~but still relevant (and thorough)~~ [http://~~www.~~vanemery.~~com~~/Linux/ACL/linux-acl.html ~~guide~~] ~~to ACL~~		* 古いが関連性のある ACL の [http://vanemery.net/Linux/ACL/linux-acl.html ガイド]
			* [http://unix.stackexchange.com/questions/1314/how-to-set-default-file-permissions-for-all-folders-files-in-a-directory How to set default file permissions for all folders/files in a directory?]

Kusakata: /* ウェブサーバーにプライベートなファイルの実行権限を与える */

2016-02-17T05:52:31Z

ウェブサーバーにプライベートなファイルの実行権限を与える

← 古い版		2016年2月17日 (水) 14:52時点における版
120行目:		120行目:
	このセクションでは、例として、ウェブサーバーを実行するユーザーは {{ic\|webserver}} で、アクセスできるようにするのは {{ic\|geoffrey}} のホームディレクトリである {{ic\|/home/geoffrey}} と仮定します。		このセクションでは、例として、ウェブサーバーを実行するユーザーは {{ic\|webserver}} で、アクセスできるようにするのは {{ic\|geoffrey}} のホームディレクトリである {{ic\|/home/geoffrey}} と仮定します。

	~~The first step is granting execution permission to~~ {{ic\|webserver}} ~~so it can access~~ {{ic\|geoffrey}}'s ~~home~~:		最初に実行権限を {{ic\|webserver}} に与えて {{ic\|geoffrey}} のホームにアクセスできるようにします:
	# setfacl -m "u:webserver:--x" /home/geoffrey		# setfacl -m "u:webserver:--x" /home/geoffrey
			''注意'': ディレクトリの中身をプロセスが確認するにはディレクトリに実行権限が必要です。
	''Remeber'': Execution permissions to a directory are necessary for a process to list the directories content.

	~~Since~~ {{ic\|webserver}} ~~is now able to access files in~~ {{ic\|/home/geoffrey}}, {{ic\|other}}~~s do no longer need~~ ~~access~~:		{{ic\|webserver}} から {{ic\|/home/geoffrey}} のファイルにアクセスできるようになったので、{{ic\|other}} は権限が必要ありません:
	# chmod o-rx /home/geoffrey		# chmod o-rx /home/geoffrey

139行目:		139行目:
	other::---		other::---

			上記の出力で、{{ic\|other}} にはもはや権限がなく、{{ic\|webserver}} がファイルにアクセスできることが確認でき、セキュリティが確かに向上しています。
	As the above output shows, {{ic\|other}}s no longer have any permissions, but {{ic\|webserver}} still is able to access the files, thus security might be considered increased.

	== 参照 ==		== 参照 ==

2015年7月17日 (金) 11:39にKusakataによる

2015-07-17T11:39:58Z

← 古い版		2015年7月17日 (金) 20:39時点における版
26行目:		26行目:
	# tune2fs -o acl /dev/sd''XY''		# tune2fs -o acl /dev/sd''XY''

			特に外部ドライブに設定するときは、他の Linux マシンからも {{ic\|acl}} オプションを使ってパーティションをマウントすることがある場合、{{ic\|/etc/fstab}} にエントリを記述するよりもデフォルトマウントオプションを使うほうが便利です。全てのマシンの {{ic\|/etc/fstab}} を編集する必要がなくなります。
	Using the default mount options instead of an entry in {{ic\|/etc/fstab}} is very useful for external drives, such partition will be mounted with {{ic\|acl}} option also on other Linux machines. There is no need to edit {{ic\|/etc/fstab}} on every machine.

	{{Note\|		{{Note\|
			* ext2/3/4 ファイルシステムの作成時に {{ic\|acl}} はデフォルトのマウントオプションとして指定されます。この設定は {{ic\|/etc/mke2fs.conf}} から変えられます。
	* {{ic\|acl}} is specified as default mount option when creating an ext2/3/4 filesystem. This is configured in {{ic\|/etc/mke2fs.conf}}.
	* ~~The default mount options are not listed in~~ {{ic\|/proc/mounts}}.		* デフォルトのマウントオプションは {{ic\|/proc/mounts}} には記載されません。
	}}		}}

84行目:		84行目:
	}}		}}

			全ての拡張 ACL エントリを削除:
	Remove all extended ACL entries:
	# setfacl -b abc		# setfacl -b abc
			パーティションを確認:
	Check permissions
	{{hc\|# getfacl abc\|		{{hc\|# getfacl abc\|
	# file: abc		# file: abc
97行目:		97行目:

	=== ls コマンドの出力 ===		=== ls コマンドの出力 ===
			特定のファイルに ACL が存在するかどうかは {{ic\|ls -l}} の出力で Unix のパーミッションの後に {{ic\|'''+'''}} (プラス記号) があるかどうかで見分けられます。
	You will notice that there is an ACL for a given file because it will exhibit a {{ic\|'''+'''}} (plus sign) after its Unix permissions in the output of {{ic\|ls -l}}.

	{{hc\|$ ls -l /dev/audio\|		{{hc\|$ ls -l /dev/audio\|
115行目:		115行目:
	}}		}}

	== ウェブブラウザの~~セキュリティ~~を向上 ==		== ウェブサーバーにプライベートなファイルの実行権限を与える ==
			ウェブサーバーなどのプロセスに、ユーザーのホームディレクトリにあるファイルへのアクセス権を与える方法を以下で説明します。全てのファイルにアクセスする権限を与えるのではなく制限をかけることでセキュリティを担保しています。
	You can now add permissions to our home directory and/or site directory only to nobody user any anyone else - without "whole world" to increase your security.

			このセクションでは、例として、ウェブサーバーを実行するユーザーは {{ic\|webserver}} で、アクセスできるようにするのは {{ic\|geoffrey}} のホームディレクトリである {{ic\|/home/geoffrey}} と仮定します。
	Add permissions '''+x''' for nobody user on your home directory via ACL:

	# setfacl -m "u:nobody:--x" /home/homeusername/
			The first step is granting execution permission to {{ic\|webserver}} so it can access {{ic\|geoffrey}}'s home:
	Now you can remove whole world rx permissions:
	# ~~chmod~~ o-rx /home/~~homeusername/~~		# setfacl -m "u:webserver:--x" /home/geoffrey
			''Remeber'': Execution permissions to a directory are necessary for a process to list the directories content.
	Check our changes:


			Since {{ic\|webserver}} is now able to access files in {{ic\|/home/geoffrey}}, {{ic\|other}}s do no longer need access:
	# file: username/
			# chmod o-rx /home/geoffrey
⚫	# owner: ~~username~~

⚫	# group: ~~users~~
			{{ic\|getfacl}} を使うことで変更を確認できます:
			$ getfacl /home/geoffrey
			getfacl: Removing leading '/' from absolute path names
			# file: home/geoffrey
		⚫	# owner: geoffrey
		⚫	# group: geoffrey
	user::rwx		user::rwx
	user:~~nobody~~:--x		user:webserver:--x
	group::r-x		group::r-x
	mask::r-x		mask::r-x
	other::---		other::---

			As the above output shows, {{ic\|other}}s no longer have any permissions, but {{ic\|webserver}} still is able to access the files, thus security might be considered increased.
	As we can see others do not have any permissions but user nobody have "x" permission so they can "look" into users directory and give access to users pages from their home directories to www server. Of course if www server work as nobody user. But - whole world except nobody - do not have any permissions.

	== 参照 ==		== 参照 ==

Kusakata: ページの作成:「Category:セキュリティ en:Access Control Lists ru:Access Control Lists アクセス制御リスト ('''A'''ccess '''C'''ontrol '''L'''ist, ACL) はファ...」

2015-02-18T05:59:54Z

ページの作成:「Category:セキュリティ en:Access Control Lists ru:Access Control Lists アクセス制御リスト ('''A'''ccess '''C'''ontrol '''L'''ist, ACL) はファ...」

新規ページ

[[Category:セキュリティ]]
[[en:Access Control Lists]]
[[ru:Access Control Lists]]
アクセス制御リスト ('''A'''ccess '''C'''ontrol '''L'''ist, ACL) はファイルシステムに柔軟性のあるパーミッション機構を追加します。{{ic|UNIX}} のファイルパーティションを補助する形で設計されています。ACL を使うことであらゆるディスクリソースのパーミッションをあらゆるユーザーやグループに与えることが可能です。

== インストール ==

必要パッケージである {{Pkg|acl}} は [[systemd]] の依存パッケージであるため、既にインストールされているはずです。

== 設定 ==

=== ACL の有効化 ===

ACL を有効にするには、ファイルシステムを {{ic|acl}} オプションでマウントする必要があります。[[fstab]] を使えばオプションを永続化させることができます。

ファイルシステムのデフォルトマウントオプションによっては {{ic|acl}} オプションが既に有効になっているかもしれません。[[Btrfs]] ではデフォルトで有効であり、ext ファイルシステムでも有効になっていることがあります。以下のコマンドを使って ext* でフォーマットするときのパーティションのオプションを確認してください:

{{hc|# tune2fs -l /dev/sd''XY'' <nowiki>|</nowiki> grep "Default mount options:"|
Default mount options: user_xattr acl
}}

そしてデフォルトのマウントオプションが上書きされていないかも確認してください。{{ic|/proc/mounts}} の適当な行に {{ic|noacl}} と記述されていればオプションが変更されています。

ファイルシステムのデフォルトマウントオプションは {{ic|tune2fs -o ''option'' ''partition''}} コマンドを使って設定できます、例えば:

# tune2fs -o acl /dev/sd''XY''

Using the default mount options instead of an entry in {{ic|/etc/fstab}} is very useful for external drives, such partition will be mounted with {{ic|acl}} option also on other Linux machines. There is no need to edit {{ic|/etc/fstab}} on every machine.

{{Note|
* {{ic|acl}} is specified as default mount option when creating an ext2/3/4 filesystem. This is configured in {{ic|/etc/mke2fs.conf}}.
* The default mount options are not listed in {{ic|/proc/mounts}}.
}}

=== ACL の設定 ===
ACL を修正するには {{ic|setfacl}} コマンドを使います。パーミッションを追加するには {{ic|setfacl -m}} を使います。

ユーザーにパーミッションを追加:
# setfacl -m "u:username:permissions"
または:
# setfacl -m "u:uid:permissions"

グループにパーミッションを追加:
# setfacl -m "g:groupname:permissions"
または:
# setfacl -m "g:gid:permissions"

すべてのパーミッションを削除:
# setfacl -b

個別のエントリを削除:
# setfacl -x "entry"

パーミッションを確認するには、次を使用:
# getfacl filename

== サンプル ==
"abc" という名前のファイルに対するユーザー johny のパーミッションを設定:
# setfacl -m "u:johny:rwx" abc
パーミッションの確認:
{{hc|# getfacl abc|
# file: abc
# owner: someone
# group: someone
user::rw-
user:johny:rwx
group::r--
mask::rwx
other::r--
}}

ユーザー johny のパーミッションを変更:
# setfacl -m "u:johny:r-x" abc
パーミッションを確認:
{{hc|# getfacl abc|
# file: abc
# owner: someone
# group: someone
user::rw-
user:johny:r-x
group::r--
mask::r-x
other::r--
}}

Remove all extended ACL entries:
# setfacl -b abc
Check permissions
{{hc|# getfacl abc|
# file: abc
# owner: someone
# group: someone
user::rw-
group::r--
other::r--
}}

=== ls コマンドの出力 ===
You will notice that there is an ACL for a given file because it will exhibit a {{ic|'''+'''}} (plus sign) after its Unix permissions in the output of {{ic|ls -l}}.

{{hc|$ ls -l /dev/audio|
crw-rw----+ 1 root audio 14, 4 nov. 9 12:49 /dev/audio
}}

{{hc|$ getfacl /dev/audio|
getfacl: Removing leading '/' from absolute path names
# file: dev/audio
# owner: root
# group: audio
user::rw-
user:solstice:rw-
group::rw-
mask::rw-
other::---
}}

== ウェブブラウザのセキュリティを向上 ==
You can now add permissions to our home directory and/or site directory only to nobody user any anyone else - without "whole world" to increase your security.

Add permissions '''+x''' for nobody user on your home directory via ACL:
# setfacl -m "u:nobody:--x" /home/homeusername/
Now you can remove whole world rx permissions:
# chmod o-rx /home/homeusername/
Check our changes:

# file: username/
# owner: username
# group: users
user::rwx
user:nobody:--x
group::r-x
mask::r-x
other::---

As we can see others do not have any permissions but user nobody have "x" permission so they can "look" into users directory and give access to users pages from their home directories to www server. Of course if www server work as nobody user. But - whole world except nobody - do not have any permissions.

== 参照 ==

* Man ページ - {{ic|man getfacl}}
* Man ページ - {{ic|man setfacl}}
* An old but still relevant (and thorough) [http://www.vanemery.com/Linux/ACL/linux-acl.html guide] to ACL

← 古い版		2025年4月5日 (土) 14:00時点における版
15行目:		15行目:
	ACL を有効化するには、ファイルシステムを {{ic\|acl}} オプションでマウントする必要があります。[[fstab]] を使えばオプションを永続化させることができます。		ACL を有効化するには、ファイルシステムを {{ic\|acl}} オプションでマウントする必要があります。[[fstab]] を使えばオプションを永続化させることができます。

	ファイルシステムのデフォルトマウントオプションによっては {{ic\|acl}} オプションが既に有効になっているかもしれません。[[Btrfs]] と Ext2/[[Ext3\|3]]/[[Ext4\|4]] ~~ファイルシステムで~~は~~、すでに有効になってい~~ます。以下のコマンドを使うことで、ext2/3/4 でフォーマットされたパーティションのオプションを確認できます:		ファイルシステムのデフォルトマウントオプションによっては {{ic\|acl}} オプションが既に有効になっているかもしれません。[[Btrfs]] と Ext2/[[Ext3\|3]]/[[Ext4\|4]] は影響を受けます。以下のコマンドを使うことで、ext2/3/4 でフォーマットされたパーティションのオプションを確認できます:

	{{hc\|# tune2fs -l /dev/sd''XY'' {{!}} grep "Default mount options:"\|		{{hc\|# tune2fs -l /dev/sd''XY'' {{!}} grep "Default mount options:"\|