none
icacls - best practice?

    Dotaz

  • Zdravim,
     
    mam na serveru php aplikaci ktera nema rezeni pristupu (autori vyslovne
    uvadeji, ze toto je nutne poresit na urovni systemu)a pouze zobrazuje
    data ktera mohou byt viditelna kazdemu.
     
    Aplikace ovsem take umoznuje pres web upravovat svuj vlastni konfigurak,
    coz uz by mel delat jen spravce. Driv jsem si pred editaci  naklikal RW
    pritup pro uzivatele IUSR, ale ted se to dela celkem casto, tak si chci
    vyrobit script ktery jen pustim a bude prenastaveno. Nikdy predtim jsem
    s icacls nepracoval, tak mozna uplne spravne nechapu ten koncept:
     
    tento prikaz spravne prida souboru prava:
     
    icacls C:\Inetpub\wwwroot\weathermap\configs\config.conf /grant
    IUSR_SERVER:RX
    Successfully processed 1 files; Failed processing 0 files
     
    ovsem tento je oproti ocekavani neodebere:
     
    icacls C:\Inetpub\wwwroot\weathermap\configs\config.conf /remove
    IUSR_SERVER:RX
    Successfully processed 0 files; Failed processing 0 files
     
    pokud udelam toto:
     
    icacls C:\Inetpub\wwwroot\weathermap\configs\config.conf /deny
    IUSR_SERVER:RX
     
    tak se sice prava odeberou, ale zaroven se stejne polozky pridaji do
    sekce DENY, kam jsem predtim klikanim vubec nezasahoval. Z drivejsich
    dob take trpim predsudkem ze lepsi je vse zakazane a vybrane veci
    explicitne povolovat, nez naopak.
     
    Muzete mi nekdo zkusenejsi sdelit jak je toto celkove navrzeno?
     
    diky L.
     
    15. září 2011 8:45

Odpovědi

  • A co takhle nastavit klasickým jednoduchým CACLS anebo XCACLS? To neprošlo?

    Jenom poznámka na okraj - deny není  prosté odebrání práv ale zákaz přístupu. Vypadá to tak sice, ale není to totéž...

    Odebrání práv uživatele Franta se děla parametrem /R (revoke)

              cacls c:\config\config.cnf /r Domena\Franta

    naopak nastavení práva Change:

              cacls c:\config\config.cnf /G Domena\Franta:C

    15. září 2011 12:42
  • Tak jinak :)  Vyuzit dedeni prav z nadrizene slozky

    rem full access
    icacls pokus.txt /grant domena\user:f

    rem prace...

    rem reset to default ACL
    icacls pokus.txt /reset


    15. září 2011 13:08
  • Zdravim.

    Idete na to dobre, problem je len syntax.

     

    Prikazom : icacls C:\Inetpub\wwwroot\weathermap\configs\config.conf /grant IUSR_SERVER:RX

    explicitne pridelite pravo Allow na prislusne operacie.

    Prikazom : icacls C:\Inetpub\wwwroot\weathermap\configs\config.conf /remove:g IUSR_SERVER

    odoberiete pravo Allow na VSETKY operacie. (pridelene prava typu DENY zostanu)

     

    Prikazom : icacls C:\Inetpub\wwwroot\weathermap\configs\config.conf /deny IUSR_SERVER:RX

    explicitne pridelite pravo Deny na prislusne operacie.

    Prikazom : icacls C:\Inetpub\wwwroot\weathermap\configs\config.conf /remove:d IUSR_SERVER

    odoberiete pravo Deny na VSETKY operacie. (pridelene prava typu ALLOW zostanu)

     

    Univerzalne :

    Prikazom : icacls C:\Inetpub\wwwroot\weathermap\configs\config.conf /deny (alebo /grant) IUSR_SERVER:RX

    explicitne pridelite prava na prislusne operacie.

    Prikazom : icacls C:\Inetpub\wwwroot\weathermap\configs\config.conf /remove IUSR_SERVER

    odstranite vsetky zaznamy pre uzivatela IUSR_SERVER z (D)ACL daneho objektu. (aj ALLOW, aj DENY)

     

     

    Boris.

    21. září 2011 14:51

Všechny reakce

  • A proc si neschovate pres parametr /save ACL prava pred upravou?

    Tj. Save, zmena ACL, vlastni prace, restore ACL.

    15. září 2011 9:17
  • On 15.9.2011 11:17, Miroslav Tiser wrote:
    > A proc si neschovate pres parametr /save ACL prava pred upravou?
    >
    > Tj. Save, zmena ACL, vlastni prace, restore ACL.
    >
     
    Asi porad delam neco spatne, restore neprobehne...
    Zarazi me tyke zdvojeni jmena souboru v ceste pri neuspesnem restore.
     
    -------------------------------------------------------------------------
     
    c:\>icacls C:\Inetpub\wwwroot\weathermap\configs\config.conf /save
    prava.txt /C
    processed file: C:\Inetpub\wwwroot\weathermap\configs\config.conf
    Successfully processed 1 files; Failed processing 0 files
     
    c:\>icacls C:\Inetpub\wwwroot\weathermap\configs\config.conf /grant
    IUSR_SERVER:RX
    processed file: C:\Inetpub\wwwroot\weathermap\configs\config.conf
    Successfully processed 1 files; Failed processing 0 files
     
    c:\>icacls C:\Inetpub\wwwroot\weathermap\configs\config.conf /restore
    prava.txt /C
    C:\Inetpub\wwwroot\weathermap\configs\config.conf\config.conf: The
    system cannot find the path specified.
    Successfully processed 0 files; Failed processing 1 files
     
    -------------------------------------------------------------------------
     Pri pohledu do "icacls /?"
     ------------------------------------------------------------------------
    ICACLS name /save aclfile [/T] [/C]
        store the the acls for the all matching names into aclfile for
        later use with /restore.
     
    ICACLS directory [/substitute SidOld SidNew [...]] /restore aclfile [/C]
        applies the stored acls to files in directory.
    -------------------------------------------------------------------------
     
    me napada zda restore nelze delat jen nad celym adresarem, ja to
    potrebuji udelat jen nad jednim souborem v tom adresari.
     
    L.
     
    15. září 2011 10:01
  • A co takhle nastavit klasickým jednoduchým CACLS anebo XCACLS? To neprošlo?

    Jenom poznámka na okraj - deny není  prosté odebrání práv ale zákaz přístupu. Vypadá to tak sice, ale není to totéž...

    Odebrání práv uživatele Franta se děla parametrem /R (revoke)

              cacls c:\config\config.cnf /r Domena\Franta

    naopak nastavení práva Change:

              cacls c:\config\config.cnf /G Domena\Franta:C

    15. září 2011 12:42
  • Tak jinak :)  Vyuzit dedeni prav z nadrizene slozky

    rem full access
    icacls pokus.txt /grant domena\user:f

    rem prace...

    rem reset to default ACL
    icacls pokus.txt /reset


    15. září 2011 13:08
  • Zdravim.

    Idete na to dobre, problem je len syntax.

     

    Prikazom : icacls C:\Inetpub\wwwroot\weathermap\configs\config.conf /grant IUSR_SERVER:RX

    explicitne pridelite pravo Allow na prislusne operacie.

    Prikazom : icacls C:\Inetpub\wwwroot\weathermap\configs\config.conf /remove:g IUSR_SERVER

    odoberiete pravo Allow na VSETKY operacie. (pridelene prava typu DENY zostanu)

     

    Prikazom : icacls C:\Inetpub\wwwroot\weathermap\configs\config.conf /deny IUSR_SERVER:RX

    explicitne pridelite pravo Deny na prislusne operacie.

    Prikazom : icacls C:\Inetpub\wwwroot\weathermap\configs\config.conf /remove:d IUSR_SERVER

    odoberiete pravo Deny na VSETKY operacie. (pridelene prava typu ALLOW zostanu)

     

    Univerzalne :

    Prikazom : icacls C:\Inetpub\wwwroot\weathermap\configs\config.conf /deny (alebo /grant) IUSR_SERVER:RX

    explicitne pridelite prava na prislusne operacie.

    Prikazom : icacls C:\Inetpub\wwwroot\weathermap\configs\config.conf /remove IUSR_SERVER

    odstranite vsetky zaznamy pre uzivatela IUSR_SERVER z (D)ACL daneho objektu. (aj ALLOW, aj DENY)

     

     

    Boris.

    21. září 2011 14:51