基本ACL、拡張ACL 知らなくて怒られた件
少し前に情シスみたいな感じで入った仕事先で「/var/log/secur見たいので rつけて欲しい」って言ったら、凄い顔して怒られたので、久しぶりに自分メモ。しかし怒られても教えてくれた ACL (Access Control Lists) あ、納得ということ。
※ちなみに開発環境もガチでrootもらえない職場でした
ACLの基本
ファイル単位に ACL (Access Control Lists) できるってこと。下記のファイル一般ユーザは見れないって怒られますよね?
# ls -al /var/log/secure
-rw------- 1 root root 132989 4月 21 11:55 /var/log/secure
そりゃ・・・hage(一般ユーザ)じゃみれねーわね
[hage@ns log]$ tail -f /var/log/secure
tail: '/var/log/secure' を 読み込み用に開くことが出来ません: 許可がありません
tail: ファイルが全く残っていません
hageで見れるようにする
/var/log/secureファイル hageさんに見れるようにします。
root
$ sudo setfacl -m user:hage:r /var/log/secure
$ sudo getfacl /var/log/secure
getfacl: Removing leading '/' from absolute path names
# file: var/log/secure
# owner: root
# group: root
user::rw-
user:hage:r--
group::---
mask::r--
other::---
したら
[hage@ns log]$ tail -f /var/log/secure
Apr 21 11:54:02 ns sshd[14461]: pam_unix(sshd:session): session opened for user hage by (uid=0)
Apr 21 11:55:41 ns sudo[14500]: pam_unix(sudo:auth): conversation failed
・
・
きたーー!!(死語) というか「+」つくんですね
# ls -al /var/log/secure
-rw-------+ 1 root root 132989 4月 21 11:55 /var/log/secure
割とフザケテましたが
ACL便利ですね。勉強になりました。