2009年10月24日土曜日

OS X Serverでファイルのアクセス制限を調べるTips

OS X Serverは便利なのだが、ちょいと機能がてんこもりなところがあり、戸惑うところがある。

普通に
# ls -lh
とかコマンド打つと以下みたいな出力が出て来る

drwxr-xr-x@ 5 admin staff 170 7 10 23:55 SampleDirectory
-rw-r--r-- 1 admin staff 2667630 8 16 23:18 Sample.MOV
drwxr-xr-x+ 11 admin staff 374 10 8 23:44 Kyoto_Picture

@とか+ってなんだよ、みたいな。

ファイルやフォルダにACLで個別のアクセス権限が割り当てられていると+が付きます。
ファイルやフォルダに個別のアトリビュートが付いている時には@が付きます。

どうやって@とか+の中身みるの?

アトリビュート(@)の中身を表示させたい場合は以下のコマンドを打ちます
# ls -l@

drwxr-xr-x@ 5 admin staff 170 7 10 23:55 SampleDirectory
com.apple.FinderInfo 32
-rw-r--r-- 1 admin staff 2667630 8 16 23:18 Sample.MOV
drwxr-xr-x+ 11 admin staff 374 10 8 23:44 Kyoto_Picture

なんだかcom.apple.FinderInfoに関する情報を持っているっぽいですね。


ACLで割り当てられている個別のアクセス権限(+)を見る場合は以下のコマンド
#ls -le
drwxr-xr-x@ 5 admin staff 170 7 10 23:55 SampleDirectory
-rw-r--r-- 1 admin staff 2667630 8 16 23:18 Sample.MOV
drwxr-xr-x+ 11 admin staff 374 10 8 23:44 Kyoto_Picture
0: group:admin allow list,search,readattr,readextattr,readsecurity
1: user:user1 allow list,add_file,search,add_subdirectory,delete_child,readattr,writeattr,readextattr,writeextattr,readsecurity

Kyoto_Pictureに対して管理者グループ(admin)はリスト表示、検索、アトリビュートの閲覧権限が割り当てられているのが分かります。言い換えれば『読み取り専用の権限』ですね。それと、user1に対して読み取りの他にadd_file、add_subdirectory、delete_childと言ったファイルの追加権限、フォルダの作成権限、子ファイルの削除権限等が追加されているのが分かります。簡単に言い換えると『読み書き権限』が付いてるってことです。

他のユーザに見えるはずじゃないのに、なんで見えちゃうんだろう?なんて気になるファイルがあれば、このコマンドで確認可能です。

で、ACLの権限を消したい場合は、chmodコマンドを使うことで対応可能です。

drwxr-xr-x+ 11 admin staff 374 10 8 23:44 Kyoto_Picture
0: group:admin allow list,search,readattr,readextattr,readsecurity
1: user:user1 allow list,add_file,search,add_subdirectory,delete_child,readattr,writeattr,readextattr,writeextattr,readsecurity

の場合、adminグループのACL設定を消したい場合は

# chmod -a# 0 Kyoto_Picture

を実行すると、0: に登録されたACLが削除され、#ls -leの結果は以下のような表示になります。

drwxr-xr-x+ 11 admin staff 374 10 8 23:44 Kyoto_Picture
0: user:user1 allow list,add_file,search,add_subdirectory,delete_child,readattr,writeattr,readextattr,writeextattr,readsecurity

で、もう一度ACLを消すと

# chmod -a# 0 Kyoto_Picture
# ls -leの表示は

drwxr-xr-x 11 admin staff 374 10 8 23:44 Kyoto_Picture

となると。コマンドラインでごにょごにょ設定したい人は、この辺を覚えておくと便利かと。大人数でファイル共有していると、たまに読み込み専用になった!とかいう声を聞くので、リモートで管理をしている管理者的には知っていると便利な設定です。



Mac OS X Server Essentials 第2版 ― Mac OS X Server 10.5、運用とサポートのためのガイド ― (アップルトレーニングシリーズ)

0 件のコメント: