Centro de conocimiento

Implementación y mecanismos de seguridad de ACL de Windows en UGREEN NAS

Mecanismos de implementación y seguridad de Windows ACL en UGREEN NAS

Índice

I. Descripción general

II. Termin ología

III. Personalización de los permisosACL de Windows

IV. Visualización de los permisosACL de Windows

V. Explicación delos bits de permiso ACL

Bits de permiso (13 tipos)

Atributos de herencia (4 tipos)

VI. Mecanismode herencia de permisos

VII. Mecanismosde seguridad de ACL de Windows frente a permisos de Linux

VIII. Inicio de sesión SSH del administrador y mecanismode verificación ACL

I. Descripción general

Una lista de control de acceso (ACL) es un mecanismo de gestión de permisos granular que se utiliza para controlar los derechos de acceso a objetos (como archivos, carpetas o programas) dentro de un sistema. Cada ACL consta de varias entradas de control de acceso (ACE), y cada entrada define el tipo de permiso (como leer, escribir, eliminar o gestionar) que un usuario o grupo específico posee para el objeto de destino.

Ugreen NAS es totalmente compatible con el modelo de permisos ACL de Windows. Los administradores pueden configurar cuotas de almacenamiento independientes, límites de velocidad de acceso y permisos para diferentes usuarios o grupos a través de la función de gestión de cuentas de Ugreen NAS. Esto permite una colaboración flexible entre múltiples usuarios, al tiempo que se mantiene un alto nivel de seguridad.
Además, cada usuario posee una carpeta «Inicio» independiente. El sistema aísla automáticamente el acceso a los datos entre los usuarios a través de ACL, lo que garantiza la privacidad y la seguridad.

II. Glosario

Nombre

Nombre completo en inglés

Definición

Lista de control de acceso (ACL)

Lista de control de acceso

Lista utilizada para definir los atributos de seguridad de objetos, incluidos archivos, directorios, procesos y otros. Una ACL consta de varias entradas ACE.

Entrada de control de acceso (ACE)

Entrada de control de acceso

La unidad fundamental dentro de una ACL, que define los permisos de acceso, los atributos de herencia y otra información de un sujeto de seguridad (usuario o grupo).

III. Personalización de los permisos ACL de Windows

Ugreen NAS proporciona una interfaz gráfica de gestión de permisos. Los administradores pueden configurar el control de acceso para usuarios, grupos o carpetas compartidas utilizando los siguientes métodos.

Edición de permisos de usuario:

1. Abra la aplicación [Panel de control], haga clic en [Administración de usuarios] > [Usuarios].

2. Haga clic con el botón derecho del ratón en el usuario que desea modificar y seleccione «Editar».

3. Haga clic enla opción «Permisos y configuración»para establecer el nivel de acceso del usuario a las carpetas compartidas:

Denegar acceso: no se puede acceder a esta carpeta ni a sus subcarpetas;

Solo lectura: puede ver el contenido, pero no modificarlo ni eliminarlo;

Lectura y escritura: puede leer, modificar, eliminar o crear archivos.

4. Haga clic en «Guardar»para completar la configuración.

Editar permisos de grupos de usuarios:

1. Abra la aplicación [Panel de control], haga clic en [Administración de usuarios] > [Grupos de usuarios].

2. Haga clic con el botón derecho del ratón en el grupo de destino y seleccione «Editar».

3. Haga clic enla opción «Permisos y configuración»para configurar el nivel de acceso del grupo a las carpetas compartidas (Denegar acceso / Solo lectura / Lectura y escritura).

4. Haga clic en «Guardar»para completar la configuración.

Edición de permisos de carpetas compartidas

1. Abra la aplicación 【Administrador de archivos】 y haga clicen 【Carpetas compartidas】en la barra lateral.

2. Haga clic con el botón derecho del ratón en la carpeta de destino y seleccione«Propiedades».

3. Haga clic enla opción «Permisos»para configurar los derechos de acceso de los administradores, los usuarios normales y los grupos de usuarios de forma individual.

4. Marque o desmarque las casillas de permiso correspondientes para cada usuario o grupo y, a continuación, haga clic en«Aceptar» para guardar la configuración.

IV. Ver los permisos ACL de Windows

En el terminal NAS, utilice el comando `ugacltool ` para ver las configuraciones de permisos ACL del directorio o archivo actual. Por ejemplo:

ugacltool get test.txt

Ejemplo de salida:

El ejemplo anterior contiene 4 entradas de control de acceso (ACE):

Grupo admin: permisos de lectura y escritura

Usuario u1: permisos de lectura y escritura

Usuario user2: lectura y escritura

usuario user3: solo lectura

V. Explicación de los bits de permiso ACL

Ugreen NAS admite la configuración de permisos ACL para los siguientes 6 tipos de roles, junto con 13 bits de permiso («rwxpdDaARWcCo») y 4 permisos de herencia («fdin»).

[usuario | grupo | propietario | todos | usuario_autenticado | sistema]

Bits de permiso (13 tipos)

Símbolo

Significado

Descripción

r

Leer datos

Leer contenido del archivo

w

escribir datos

Escribir/crear archivo

x

ejecutar

ejecutar archivo

p

añadir datos

crear directorio

d

eliminar

Eliminar archivo actual

D

eliminar subdirectorio

Eliminar archivos del directorio

a

Leer atributo

Leer atributos extendidos

A

atributo de escritura

Escribir atributo extendido

R

Leer xattr

Reservado

W

escribir xattr

Reservado

c

leer acl

Leer ACL

C

escribir acl

Modificar ACL

o

Propiedad

Modificar propiedad (solo se puede cambiar a uno mismo)

Atributos de herencia (4 tipos)

Símbolo

Significado

Descripción

f

archivo heredado

Archivo heredado

d

directorio heredado

directorio heredado

i

heredar solo

utilizado solo para herencia, no para autenticación

n

no propagar

No se propaga a través de múltiples niveles; solo hereda del siguiente nivel

VI. Mecanismo de herencia de permisos

1. Regla de herencia automática (
) Los objetos secundarios heredan automáticamente los permisos ACL de su directorio principal. Por ejemplo, si el directorio A concede al usuario Mike permiso de lectura, todos los archivos de ese directorio permitirán automáticamente el acceso a Mike.

2. Actualizaciones dinámicas
Cuando se modifican los permisos del directorio principal, el sistema sincroniza automáticamente las actualizaciones con las subcarpetas y los archivos.
Si un usuario modifica manualmente los permisos de los archivos con el comando chmod, la herencia ACL se restaurará al reiniciar el sistema o al resincronizarlo.

VII. Mecanismos de seguridad de ACL de Windows frente a permisos de Linux

Al ver las carpetas compartidas con los comandos ls o stat en los terminales NAS, los permisos de los archivos pueden aparecer como 777 (es decir, rwxrwxrwx).
Esto no indica una vulnerabilidad de seguridad, sino que se debe a consideraciones de compatibilidad y diseño de seguridad.

1. Diferencias de compatibilidad:

Las ACL de Windows difieren estructuralmente del sistema de permisos tradicional de Linux (propietario/grupo/otros) y no se pueden asignar directamente.
Ugreen NAS muestra 777 para garantizar que toda la lógica de control de acceso se gestione de forma uniforme mediante la capa ACL.

2. ACL de Windows frente al mecanismo de comprobación de permisos SSH:

Cuando se habilita la ACL de Windows para un directorio o archivo, el sistema determina los permisos de acceso basándose en la ACL en lugar de en los permisos tradicionales de Linux. Al utilizar «ls -l» para ver los permisos, se mostrará 777 (rwxrwxrwx), un método de visualización elegido por motivos de compatibilidad y seguridad.

Si almacena su archivo de clave pública SSH en una carpeta compartida e intenta iniciar sesión en el NAS, el directorio gestionado por Windows ACL hace que la capa Linux muestre los permisos como 777. Durante sus comprobaciones de seguridad previas al inicio de sesión, el servicio sshd determinará que los permisos de la clave son demasiado permisivos y rechazará la autenticación.

No se trata de una denegación de acceso a nivel del kernel, sino más bien de un bloqueo proactivo por parte del servicio SSH de los intentos de inicio de sesión inseguros.

Por lo tanto, los archivos que aparecen con permisos 777 en carpetas compartidas no suponen un riesgo de seguridad inherente. Por el contrario, este mecanismo evita el uso indebido cuando las claves se colocan accidentalmente en directorios compartidos, lo que representa una opción de diseño más segura y razonable.

3. Recomendaciones de seguridad:

Claves de inicio de sesión SSH: guárdelas en el directorio ~/.ssh de su carpeta de inicio;

Claves de uso de Docker: pueden colocarse en /root o en un directorio seguro personalizado.

Evite almacenar credenciales confidenciales o archivos de claves en carpetas compartidas.

VIII. Inicio de sesión SSH del administrador y mecanismo de verificación ACL

Para las cuentas que pertenecen al grupo de usuarios administradores ( administradores ):

● Al iniciar sesión con claves SSH, el sistema solo valida las entradas ACL relacionadas con el usuario que inicia sesión y el grupo de administradores.

● Si se detectan reglas ACLredundantes (por ejemplo, otros usuarios o grupos añadidos al mismo directorio), se denegará el inicio de sesión SSH;

● Este diseño garantiza la seguridad y la unicidad de los inicios de sesión con clave pública SSH.