Meccanismi di implementazione e sicurezza dell'ACL di Windows su NAS UGREEN
Indice
III. Personalizzazione delle autorizzazioniACL di Windows
IV. Visualizzazione delle autorizzazioniACL di Windows
V. Spiegazionedei bit di autorizzazione ACL
Bit di autorizzazione (13 tipi)
Attributi di ereditarietà (4 tipi)
VI. Meccanismodi eredità delle autorizzazioni
VII. Meccanismidi sicurezza di Windows ACL rispetto alle autorizzazioni Linux
VIII. Accesso SSH dell'amministratore e meccanismodi verifica ACL
I. Panoramica
Un elenco di controllo degli accessi (ACL) è un meccanismo di gestione granulare delle autorizzazioni utilizzato per controllare i diritti di accesso agli oggetti (come file, cartelle o programmi) all'interno di un sistema. Ogni ACL è costituito da più voci di controllo degli accessi (ACE), ciascuna delle quali definisce il tipo di autorizzazione, come lettura, scrittura, eliminazione o gestione, che un utente o un gruppo specifico possiede per l'oggetto di destinazione.
Ugreen NAS supporta pienamente il modello di autorizzazioni ACL di Windows. Gli amministratori possono configurare quote di archiviazione indipendenti, limiti di velocità di accesso e autorizzazioni per diversi utenti o gruppi tramite la funzione di gestione degli account di Ugreen NAS. Ciò consente una collaborazione multiutente flessibile, mantenendo al contempo un elevato livello di sicurezza.
Inoltre, ogni utente possiede una cartella "Home" indipendente. Il sistema isola automaticamente l'accesso ai dati tra gli utenti tramite ACL, garantendo privacy e sicurezza.
II. Glossario
|
Nome |
Nome completo in inglese |
Definizione |
|
Elenco di controllo degli accessi (ACL) |
Elenco di controllo degli accessi |
Elenco utilizzato per definire gli attributi di sicurezza degli oggetti, inclusi file, directory, processi e altro. Un ACL è costituito da più voci ACE. |
|
Voce di controllo degli accessi (ACE) |
Voce di controllo degli accessi |
Unità fondamentale all'interno di un ACL, che definisce le autorizzazioni di accesso, gli attributi di ereditarietà e altre informazioni di un soggetto di sicurezza (utente o gruppo). |
III. Personalizzazione delle autorizzazioni ACL di Windows
Ugreen NAS fornisce un'interfaccia grafica per la gestione delle autorizzazioni. Gli amministratori possono configurare il controllo degli accessi per utenti, gruppi o cartelle condivise utilizzando i seguenti metodi.
Modifica delle autorizzazioni utente:
1. Aprire l'app [Pannello di controllo], fare clic su [Gestione utenti] > [Utenti].
2. Fare clic con il pulsante destro del mouse sull'utente da modificare e selezionare"Modifica".
3. Fare clicsull'opzione"Autorizzazioni e impostazioni"per impostare il livello di accesso dell'utente alle cartelle condivise:
● Negare l'accesso: impossibile accedere a questa cartella o alle sue sottocartelle;
● Sola lettura: è possibile visualizzare ma non modificare o eliminare i contenuti;
● Lettura e scrittura: è possibile leggere, modificare, eliminare o creare file.
4. Fare clic su "Salva"per completare le impostazioni.
Modifica delle autorizzazioni dei gruppi di utenti:
1. Aprire l'app [Pannello di controllo], fare clic su [Gestione utenti] > [Gruppi di utenti]
2. Fare clic con il pulsante destro del mouse sul gruppo di destinazione e selezionare"Modifica".
3. Fare clicsull'opzione "Autorizzazioni e impostazioni"per configurare il livello di accesso del gruppo alle cartelle condivise (Nega accesso / Sola lettura / Lettura e scrittura).
4. Fare clic su "Salva"per completare la configurazione.
Modifica delle autorizzazioni delle cartelle condivise
1. Apri l'app 【File Manager】 e fai clicsu 【Cartelle condivise】nella barra laterale.
2. Fare clic con il pulsante destro del mouse sulla cartella di destinazione e selezionare "Proprietà".
3. Fai clicsull'opzione"Autorizzazioni"per configurare i diritti di accesso per amministratori, utenti regolari e gruppi di utenti individualmente.
4. Selezionare o deselezionare le caselle di controllo delle autorizzazioni corrispondenti per ciascun utente o gruppo, quindi fare clic su "OK" per salvare le impostazioni.
IV. Visualizzazione delle autorizzazioni ACL di Windows
Sul terminale NAS, utilizzare il comando `ugacltool ` per visualizzare le configurazioni delle autorizzazioni ACL per la directory o il file corrente. Ad esempio:
ugacltool get test.txtEsempio di output:
L'esempio sopra riportato contiene 4 voci di controllo dell'accesso (ACE):
● Gruppo admin: autorizzazioni di lettura e scrittura
● Utente u1: autorizzazioni di lettura e scrittura
● utente user2: lettura e scrittura
● utente user3: solo lettura
V. Spiegazione dei bit di autorizzazione ACL
Ugreen NAS supporta l'impostazione dei permessi ACL per i seguenti 6 tipi di ruolo, insieme a 13 bit di permesso ("rwxpdDaARWcCo") e 4 permessi di eredità ("fdin").
[utente | gruppo | proprietario | tutti | utente_autenticato | sistema]
Bit di autorizzazione (13 tipi)
|
Simbolo |
Significato |
Descrizione |
|
r |
leggere dati |
Leggi contenuto del file |
|
w |
scrivere dati |
Scrivere/creare file |
|
x |
eseguire |
eseguire file |
|
p |
aggiungi dati |
crea directory |
|
d |
eliminare |
Elimina il file corrente |
|
D |
Elimina sottodirectory |
Elimina i file nella directory |
|
a |
Leggi attributo |
Leggi attributi estesi |
|
A |
attributo di scrittura |
Scrittura di attributi estesi |
|
R |
leggi xattr |
Riservato |
|
W |
Scrivi xattr |
Riservato |
|
c |
leggi acl |
Leggi ACL |
|
C |
scrivi acl |
Modifica ACL |
|
o |
Proprietà |
Modifica proprietà (può essere modificata solo su se stessa) |
Attributi di eredità (4 tipi)
|
Simbolo |
Significato |
Descrizione |
|
f |
file ereditato |
File ereditato |
|
d |
directory ereditata |
directory ereditata |
|
i |
eredita solo |
utilizzato solo per l'ereditarietà, non per l'autenticazione |
|
n |
no propagazione |
Non si propaga attraverso più livelli; eredita solo dal livello successivo |
VI. Meccanismo di eredità dei permessi
1. Regola di eredità automatica (
) Gli oggetti figli ereditano automaticamente i permessi ACL dalla directory padre. Ad esempio, se la directory A concede all'utente Mike il permesso di lettura, tutti i file all'interno di quella directory consentiranno automaticamente l'accesso a Mike.
2. Aggiornamenti dinamici
Quando le autorizzazioni della directory padre vengono modificate, il sistema sincronizza automaticamente gli aggiornamenti alle sottocartelle e ai file.
Se un utente modifica manualmente le autorizzazioni dei file utilizzando il comando chmod, l'ereditarietà ACL verrà ripristinata al riavvio del sistema o alla risincronizzazione.
VII. Meccanismi di sicurezza di Windows ACL rispetto ai permessi Linux
Quando si visualizzano le cartelle condivise utilizzando i comandi ls o stat sui terminali NAS, i permessi dei file potrebbero apparire come 777 (ovvero rwxrwxrwx).
Ciò non indica una vulnerabilità di sicurezza, ma deriva da considerazioni di compatibilità e progettazione della sicurezza.
1. Differenze di compatibilità:
Gli ACL di Windows differiscono strutturalmente dal tradizionale sistema di permessi di Linux (proprietario/gruppo/altri) e non possono essere mappati direttamente.
Il NAS Ugreen visualizza 777 per garantire che tutta la logica di controllo degli accessi sia gestita in modo uniforme dal livello ACL.
2. ACL di Windows vs. meccanismo di controllo delle autorizzazioni SSH:
Quando l'ACL di Windows è abilitato per una directory o un file, il sistema determina i permessi di accesso in base all'ACL piuttosto che ai permessi tradizionali di Linux. Utilizzando `ls -l` per visualizzare i permessi, verrà visualizzato 777 (rwxrwxrwx), un metodo di visualizzazione scelto per motivi di compatibilità e sicurezza.
Se si memorizza il file della chiave pubblica SSH in una cartella condivisa e si tenta di accedere al NAS, la directory gestita da Windows ACL fa sì che il livello Linux visualizzi i permessi come 777. Durante i controlli di sicurezza pre-login, il servizio sshd determinerà che i permessi della chiave sono troppo permissivi e rifiuterà l'autenticazione.
Non si tratta di un rifiuto di accesso a livello di kernel, ma piuttosto di un blocco proattivo da parte del servizio SSH dei tentativi di accesso non sicuri.
Pertanto, i file che appaiono con permessi 777 nelle cartelle condivise non rappresentano intrinsecamente un rischio per la sicurezza. Al contrario, questo meccanismo impedisce un uso improprio quando le chiavi vengono accidentalmente collocate in directory condivise, rappresentando una scelta di progettazione più sicura e ragionevole.
3. Raccomandazioni di sicurezza:
Chiavi di accesso SSH: conservarle nella directory ~/.ssh nella cartella home;
Chiavi di utilizzo Docker: possono essere collocate in /root o in una directory sicura personalizzata;
Evitare di memorizzare credenziali sensibili o file chiave nelle cartelle condivise.
VIII. Accesso SSH dell'amministratore e meccanismo di verifica ACL
Per gli account appartenenti al gruppo di utenti amministratori ( amministratori ):
● Quando si effettua il login con le chiavi SSH, il sistema convalida solo le voci ACL relative all'utente che effettua il login e al gruppo admin;
● Se vengono rilevate regole ACLridondanti (ad esempio, altri utenti o gruppi aggiunti alla stessa directory), l'accesso SSH verrà negato;
● Questo design garantisce la sicurezza e l'unicità degli accessi con chiave pubblica SSH.