FreeBSD へのアクセス制御リストの導入 1
ストーリー by wakatono
ビバACL 部門より
ビバACL 部門より
BSD 曰く、 " FreeBSD -CURRENT には アクセス制御リスト機能が組み込まれている。 4-STABLE では実験的に一部の機能が組み込まれただけであったが、5-CURRENT では 実用に耐えるものになっている。 この機能に関する Daniel Harrisによる 短い説明文書を紹介したい。
まず、FreeBSD においてこの機能を使うには、 ファイルシステムとして UFS2 を選択する ことで簡単に設定できる。マウントされていない状態の UFS2 に対して、 "tunefs -a enable /TARGET-FS" とコマンド入力することで可能になる。 UFS1 でも設定できるが、こまごました準備作業が必要である。"
"さて、既にアクセス制御リストが設定されているファイルを見てみよう。 getfacl(1) を使えばよい。例えばこんなふうになる。
従来のパーミッション設定以外に、ユーザnobody に読み書きを許可し、グループwheel にも 読み書きを許可していることが分かる。$ getfacl acl-test
#file:acl-test
#owner:1000
#group:1000
user::rw-
user:nobody:rw-
group::r--
group:wheel:rw-
mask::rw-
other::r--
では、どうやってその設定が行われたか考えてみよう。 setfacl(1) を使って、以下のように設定したのであろう。
最初のコマンドでアクセス制御リストをリセットし、 次のコマンドで nobody と wheel に読み書きの許可を 与えたわけである。$ setfacl -b acl-test
$ setfacl -m user:nobody:rw-,group:wheel:rw- acl-test
このように便利なアクセス制御リスト機能であるが、dump、restore、tar等のツールや
NFS によるアクセスではサポートされていないので注意が必要である。
samba ではコンパイル時にオプション指定すればアクセス制御リストがサポートされ、
ウィンドウズPCの持つアクセス制御リスト機能と違和感なく結合して使用することが
できる。
伝統的な UNIX のパーミッションビットによるアクセス制御は単純でありながら柔軟で、
工夫次第でほとんどの場合に対応が出来ていた。しかし、複雑な設定ができるアクセス制御リスト
機能があれば、よりセキュアな設定が出来るため、今後ますます深刻になるデータの管理や
システムの安全性確保の面では役立つことと思う。"
クソ長い関連リンク (スコア:0)
右側のあの領域に脚注入れると便利じゃない。
# と今回の記事を見て思った。