Implementierung und Sicherheitsmechanismen von Windows ACL auf UGREEN NAS
Inhaltsverzeichnis
III. Anpassen der Windows-ACL-Berechtigungen
IV. Anzeigen von Windows-ACL-Berechtigungen
V. Erläuterung der ACL-Berechtigungsbits
VI. Mechanismus der Berechtigungsvererbung
VII. Sicherheitsmechanismen von Windows-ACLs und Linux-Berechtigungen
VIII. SSH-Anmeldung des Administrators und ACL-Überprüfungsmechanismus
I. Überblick
Eine Zugriffskontrollliste (ACL) ist ein granularer Mechanismus zur Berechtigungsverwaltung, der dazu dient, Zugriffsrechte auf Systemobjekte wie Dateien, Ordner oder Programme zu regeln. Jede ACL umfasst mehrere Zugriffskontroll-Einträge (ACEs), wobei jeder Eintrag die spezifische Berechtigungsart – wie Lese-, Schreib-, Lösch- oder Verwaltungsvorgänge – definiert, die bestimmten Benutzern oder Gruppen für das Zielobjekt gewährt wird.
Ugreen NAS unterstützt das Windows-ACL-Berechtigungsmodell vollständig. Administratoren können die Kontoverwaltungsfunktion des NAS nutzen, um unabhängige Speicherquoten, Zugriffsgeschwindigkeitsbegrenzungen und Berechtigungen für verschiedene Benutzer oder Gruppen zu konfigurieren. Dies ermöglicht eine flexible Zusammenarbeit mehrerer Benutzer bei gleichzeitig hoher Sicherheit.
Darüber hinaus verfügt jeder Benutzer über einen unabhängigen „Home”-Ordner. Das System isoliert den Datenzugriff zwischen Benutzern automatisch über ACLs und gewährleistet so Datenschutz und Sicherheit.
II. Glossar
|
Name |
Vollständiger englischer Name |
Definition |
|
Zugriffskontrollliste (ACL) |
Zugriffskontrollliste |
Eine Liste, die zur Definition der Sicherheitsattribute von Objekten wie Dateien, Verzeichnissen, Prozessen usw. verwendet wird. Eine ACL besteht aus mehreren ACE-Einträgen. |
|
Zugriffskontrolleintrag (ACE) |
Zugriffskontrolleintrag |
Die grundlegende Einheit innerhalb einer ACL, die die Zugriffsberechtigungen, Vererbungsattribute und andere Informationen eines Zugriffssubjekts (Benutzer oder Gruppe) definiert. |
III. Anpassen der Windows-ACL-Berechtigungen
Ugreen NAS bietet eine grafische Oberfläche zur Verwaltung von Berechtigungen. Administratoren können Zugriffskontrollen für Benutzer, Gruppen oder freigegebene Ordner über die folgenden Methoden konfigurieren.
Bearbeiten von Benutzerberechtigungen:
1. Öffnen Sie die Anwendung [Systemsteuerung] und klicken Sie auf [Benutzerverwaltung] > [Benutzer].
2. Klicken Sie mit der rechten Maustaste auf den zu ändernden Benutzer und wählen Sie „Bearbeiten“.
3. Klicken Sie auf dieOption „Berechtigungen und Einstellungen“, um die Zugriffsebene des Benutzers für freigegebene Ordner zu konfigurieren:
● Zugriff verweigern: Kein Zugriff auf diesen Ordner oder seine Unterordner;
● Nur lesen: Der Inhalt kann angezeigt, aber nicht geändert oder gelöscht werden.
● Lesen und Schreiben: Dateien können gelesen, geändert, gelöscht oder erstellt werden.
4. Klicken Sie auf „Speichern“,um die Konfiguration abzuschließen.
Bearbeiten von Benutzergruppenberechtigungen:
1. Öffnen Sie die Anwendung [Systemsteuerung], klicken Sie auf [Benutzerverwaltung] > [Benutzergruppen].
2. Klicken Sie mit der rechten Maustaste auf die Zielgruppe und wählen Sie „Bearbeiten“.
3. Klicken Sie aufdie Option „Berechtigungen und Einstellungen“,um die Zugriffsebene der Gruppe für freigegebene Ordner zu konfigurieren (Zugriff verweigern / Nur lesen / Lesen und Schreiben).
4. Klicken Sie auf „Speichern“,um die Konfiguration abzuschließen.
Bearbeiten von Berechtigungen für freigegebene Ordner
1. Öffnen Sie die Anwendung „Dateiverwaltung“ und klicken Siein der Seitenleiste auf „Freigegebene Ordner“.
2. Klicken Sie mit der rechten Maustaste auf den Zielordner und wählen Sie „Eigenschaften“.
3. Klicken Sie aufdie Option „Berechtigungen“,um die Zugriffsrechte für Administratoren, Standardbenutzer und Benutzergruppen individuell zu konfigurieren.
4. Aktivieren oder deaktivieren Sie die entsprechenden Berechtigungs-Kontrollkästchen für jeden Benutzer oder jede Gruppe und klicken Sie dann auf „OK“, um die Einstellungen zu speichern.
IV. Anzeigen der Windows-ACL-Berechtigungen
Verwenden Sie auf dem NAS-Terminal den Befehl „ugacltool“, um die ACL-Berechtigungen für das aktuelle Verzeichnis oder die aktuelle Datei anzuzeigen. Beispiel:
ugacltool get test.txtBeispielausgabe:
Das obige Beispiel enthält vier Zugriffskontrolleinträge (ACEs):
● Admin-Gruppe: Lese- und Schreibberechtigungen
● Benutzer u1: Lese- und Schreibberechtigungen
● Benutzer user2: Lese- und Schreibrechte
● Benutzer user3: Nur-Lesezugriff
V. Erklärung der ACL-Berechtigungsbits
Ugreen NAS unterstützt die Einstellung von ACL-Berechtigungen für die folgenden 6 Rollentypen und unterstützt außerdem 13 Berechtigungsbits („rwxpdDaARWcCo“) und 4 Vererbungsberechtigungen („fdin“).
[Benutzer | Gruppe | Eigentümer | Alle | Authentifizierter Benutzer | System]
Berechtigungsbits (13 Typen)
|
Symbol |
Bedeutung |
Beschreibung |
|
r |
Daten lesen |
Dateiinhalt lesen |
|
w |
Daten schreiben |
Datei schreiben/erstellen |
|
x |
Ausführen |
Datei ausführen |
|
p |
Daten anhängen |
Verzeichnis erstellen |
|
d |
Löschen |
Aktuelle Datei löschen |
|
D |
Unterverzeichnis löschen |
Dateien innerhalb des Verzeichnisses löschen |
|
a |
Attribut lesen |
Erweiterte Attribute lesen |
|
A |
Schreibattribut |
Erweiterte Attribute schreiben |
|
R |
xattr lesen |
Reserviert |
|
W |
xattr schreiben |
Reserviert |
|
c |
acl lesen |
ACL lesen |
|
C |
ACL schreiben |
ACL ändern |
|
o |
Eigentumsrechte |
Eigentumsrechte ändern (kann nur auf sich selbst geändert werden) |
Vererbungsattribute (4 Typen)
|
Symbol |
Bedeutung |
Beschreibung |
|
f |
Datei vererbt |
Datei vererbt |
|
d |
Verzeichnis vererbt |
Verzeichnis vererbt |
|
i |
nur vererben |
nur erben |
|
n |
keine Weitergabe |
Verbreitet sich nicht über mehrere Ebenen; erbt nur von der nächsten Ebene |
VI. Mechanismus der Berechtigungsvererbung
1. Automatische Vererbungsregel (
) Untergeordnete Objekte erben automatisch die ACL-Berechtigungen ihres übergeordneten Verzeichnisses. Wenn beispielsweise Verzeichnis A dem Benutzer Mike Lesezugriff gewährt, werden alle Dateien in diesem Verzeichnis automatisch für Mike zugänglich.
2. Dynamische Aktualisierungsrichtlinie (
) Wenn die Berechtigungen des übergeordneten Verzeichnisses geändert werden, synchronisiert das System die Aktualisierungen automatisch mit den Unterordnern und Dateien.
Wenn ein Benutzer die Dateiberechtigungen manuell mit dem Befehl „chmod“ ändert, wird die ACL-Vererbung beim Neustart oder bei der Neusynchronisierung des Systems wieder aufgenommen.
VII. Sicherheitsmechanismen von Windows-ACL und Linux-Berechtigungen
Bei der Anzeige von freigegebenen Ordnern mit den Befehlen „ls“ oder „stat“ auf NAS-Terminals werden die Dateiberechtigungen möglicherweise als 777 (d. h. rwxrwxrwx) angezeigt.
Dies ist kein Hinweis auf eine Sicherheitslücke, sondern resultiert aus Kompatibilitäts- und Sicherheitsüberlegungen.
1. Kompatibilitätsunterschiede:
Windows-ACLs unterscheiden sich strukturell vom traditionellen Berechtigungssystem von Linux (Eigentümer/Gruppe/andere) und können nicht direkt zugeordnet werden.
Ugreen NAS verwendet die 777-Anzeigemethode, um sicherzustellen, dass die gesamte Zugriffskontrolllogik einheitlich von der ACL-Ebene verwaltet wird.
2. Windows-ACL und SSH-Berechtigungsprüfungsmechanismus:
Wenn für Verzeichnisse oder Dateien Windows-ACLs aktiviert sind, bestimmt das System die Zugriffsberechtigungen auf der Grundlage von ACLs und nicht auf der Grundlage herkömmlicher Linux-Berechtigungen. Folglich wird bei der Anzeige der Berechtigungen mit „ls -l“ 777 (rwxrwxrwx) angezeigt. Diese Anzeige ist eine Kompatibilitäts- und Sicherheitsmaßnahme.
Wenn Sie Ihre öffentliche SSH-Schlüsseldatei in einem freigegebenen Ordner speichern und versuchen, sich beim NAS anzumelden, führt das Verzeichnis, das durch Windows-ACLs verwaltet wird, dazu, dass die Linux-Schicht die Berechtigungen als 777 anzeigt. Während der Sicherheitsüberprüfungen vor der Anmeldung stuft der sshd-Dienst diese Schlüsselberechtigungen als übermäßig freizügig ein und verweigert daher die Authentifizierung.
Dies ist keine Zugriffsverweigerung auf Kernel-Ebene, sondern eine proaktive Blockierung unsicherer Anmeldeversuche durch den SSH-Dienst.
Daher stellen Dateien in freigegebenen Ordnern mit 777-Berechtigungen an sich kein Sicherheitsrisiko dar. Umgekehrt verhindert dieser Mechanismus Missbrauch, wenn Schlüssel versehentlich in freigegebenen Verzeichnissen abgelegt werden, was eine sicherere und rationalere Designentscheidung darstellt.
3. Sicherheitsempfehlungen:
SSH-Anmeldeschlüssel: Speichern Sie diese im Verzeichnis ~/.ssh in Ihrem Home-Ordner.
Docker-Nutzungsschlüssel: Diese können in /root oder einem selbst erstellten sicheren Verzeichnis abgelegt werden.
Vermeiden Sie es, sensible Anmeldedaten oder Schlüsseldateien in freigegebenen Ordnern zu speichern.
VIII. SSH-Anmeldung für Administratoren und ACL-Überprüfungsmechanismus
Für Konten, die zur Benutzergruppe „admin” ( Administratoren ) gehören:
● Bei der Anmeldung über einen SSH-Schlüssel überprüft das System nur die ACL-Einträge, die für den angemeldeten Benutzer und die Admin-Gruppe relevant sind.
● Sollten redundante ACL-Regeln festgestellt werden (z. B. andere Benutzer oder Gruppen, die zum selben Verzeichnis hinzugefügt wurden), wird die SSH-Anmeldung verweigert.
● Dieses Design gewährleistet die Sicherheit und Eindeutigkeit von SSH-Anmeldungen mit öffentlichen Schlüsseln.