Controle extendido de permissões com ACL
Muitas vezes nos deparamos com situações em que acessar informações no sistema não é algo liberado a todos. No Linux utilizamos grupos quando precisamos de que alguém possa acessar informação que não pertence diretamente a ele, pois por padrão só temos um Usuário e um Grupo com direito em cada arquivo ou diretório. Mas e quando colocar um usuário em grupo não é suficiente? E quando um diretório ou arquivo já tem um grupo proprietário que não pode ser modificado?
Para isso utilizamos ACL no sistema de arquivos para poder determinar permissões diferentes para usuários e grupos diferentes em um arquivo ou diretório.
Quando utilizamos ACL, que é uma função nativa do sistema desde Kernel 2.4, podemos cadastrar para cada arquivo ou diretório usuários e grupos diferentes com permissões específicas para cada um.
Veja no exemplo abaixo o diretório /mnt/dados que pertence ao grupo financeiro e que apenas o user1 pertence a esse grupo. Assim o user2 e user3 não tem direito de acesso ao diretório /mnt/dados.
Vejamos como o user1 acessa e pode criar conteúdo neste diretório:
Agora o user2 e user3 por não serem membros do grupo financeiro não tem acesso nem de leitura ao conteúdo do diretório:
Vamos instalar o pacote da ACL com comando: # apt-get install acl
Após instalar, vamos habilitar o suporte a ACL acrescentando a opção acl no arquivo /etc/fstab na partição em que desejamos utilizar o serviço:
Para ativar o funcionamento das ACL sem ter que reinicar o sistema basta mandar remontar a partição: mount / -o remount
Vamos utilizar os comando getfacl para ver as ACL de algum diretório e o comando setfacl para editá-las:
Adicionamos o grupo gerentes com direitos totais no diretório (leitura, escrita, execução) e o grupo funcionarios com direito apenas de leitura, assim o user2 pode entrar no diretório criar ou remover conteúdo, mas o user3 pode apenas entrar no diretório e listar seu conteúdo. Como podemos ver nas imagens abaixo:
Podemos também utilizar um programa na interface gráfica para manipular as ACL, o nome do programa é eiciel.
Espero que tenha ajudado a poder criar controles de acesso melhores no Linux sem ter que colocar todo mundo nos mesmos grupos 😉
Não se esqueçam de assinar o nosso portal.
Fala ae galera da Cooperati… Parabéns pelo post sobre ACL, pois isso é uma ferramente muito útil no dia-a-dia de um administrador de sistemas. Até porque, tem usuários loucos que pedem coisas absurdas, e com as ACLs, nós podemos atender esses pedidos. Rs… Muito bom o post!!!