Удалить access list

• Не удалить access-list, Andrei_V, 19:43 , 25-Фев-09, (1)
  • Не удалить access-list, Isvet, 14:18 , 26-Фев-09, (2)
    • Не удалить access-list, Andrei_V, 14:55 , 26-Фев-09, (3)
      • Не удалить access-list, Isvet, 15:05 , 26-Фев-09, (4)
        • Не удалить access-list, Andrei_V, 12:21 , 27-Фев-09, (5)
• Не удалить access-list, Maxim, 16:02 , 27-Фев-09, ( 6 )
  • Не удалить access-list, Isvet, 12:44 , 02-Мрт-09, ( 7 )
    • Не удалить access-list, bokl, 12:59 , 02-Мрт-09, ( 8 )
      • Не удалить access-list, Михаил, 20:41 , 07-Июл-09, ( 9 )

>>Хочу удалить некоторые правила в sl_def_acl
>
>ИМХО «некоторые» не получится — удаляй весь Acl и создавай его заново
>уже без тех правил, которых хотел удалить.

Нечего не получаеться! Оно как заколдовано.
rr#show access-list
Extended IP access list sl_def_acl
10 deny tcp any any eq telnet log
20 deny tcp any any eq www log
30 deny tcp any any eq 22 log
40 permit ip any any log
rr#config
rr(config)#no ip access-list extended sl_def_acl
rr#show access-list
Extended IP access list sl_def_acl
10 deny tcp any any eq telnet log
20 deny tcp any any eq www log
30 deny tcp any any eq 22 log
40 permit ip any any log
>>Да еще вопрос как можно удалить весь sl_def_acl1, хоть он и пустой.
>rr(config)#>no ip access-list extended sl_def_acl1

show hardware
Cisco IOS Software, 2800 Software (C2800NM-IPBASE-M), Version 12.3(8)T8, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2005 by Cisco Systems, Inc.
Compiled Wed 06-Apr-05 16:46 by yiyan

ROM: System Bootstrap, Version 12.3(8r)T7, RELEASE SOFTWARE (fc1)

justice-ar00 uptime is 1 day, 17 hours, 12 minutes
System returned to ROM by reload at 22:09:13 MSK Tue Feb 24 2009
System restarted at 22:09:49 MSK Tue Feb 24 2009
System image file is «flash:c2800nm-ipbase-mz.123-8.T8.bin»

Cisco 2821 (revision 53.51) with 253952K/8192K bytes of memory.
Processor board ID FCZ092571DJ
4 FastEthernet interfaces
2 Gigabit Ethernet interfaces
DRAM configuration is 64 bits wide with parity enabled.
239K bytes of non-volatile configuration memory.
62720K bytes of ATA CompactFlash (Read/Write)

Configuration register is 0x2102

>Нечего не получаеться! Оно как заколдовано.

и
>Спасибо помогло!

>>rr(config)#>no ip access-list extended sl_def_acl1

sl_def_acl1 название другое в конце 1. Эта правило было чистое! Оно нормально удалилось

>>rr(config)#no ip access-list extended sl_def_acl

А вот с правило «sl_def_acl» проблемы с ним нельзя удалить, очистить, редактировать.

>А вот с правило «sl_def_acl» проблемы с ним нельзя удалить, очистить, редактировать.

Как вариант — снимите его сначала с интерфейса, на котором acl установлен, а потом уже удаляйте/редактируйте.

Этот динамический лист результат применения login block-for. и навешивается на vty после прописанного количества неуспешных попыток аутентификации

>Как вариант — снимите его сначала с интерфейса, на котором acl установлен, а потом уже удаляйте/редактируйте.

Я что-то не вижу чтоб он висел хоть на каком та интерефейсе.
>Этот динамический лист результат применения login block-for. и навешивается на vty после прописанного количества неуспешных попыток аутентификации

Что-то не вижу хоть слова про login block-for!

Вот полный кофиг!

show running-config
Building configuration.

Current configuration : 1776 bytes
!
! Last configuration change at 15:19:55 MSK Thu Feb 26 2009 by dvmi
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname xxxxxx
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5 xxxxxxxxxxxxxxxxxxxxx
!
username xx password x xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
clock timezone MSK 4
no network-clock-participate aim 0
no network-clock-participate aim 1
no aaa new-model
ip subnet-zero
!
!
no ip cef
!
!
ip domain name xxxxxx.xx
ip name-server xx.x.xx.xx
ip name-server xx.x.xx.xx
no ftp-server write-enable
!
!
!
!
interface GigabitEthernet0/0
description === EXTERNAL INTERFACE ===
ip address xxx.xx.xx.xxx 255.255.255.252
ip access-group 105 in
duplex auto
speed auto
!
interface GigabitEthernet0/1
description === INTERNAL INTERFACE ===
ip address xx.xx.xx.xxx255.255.255.252
duplex auto
speed auto
!
interface FastEthernet0/0/0
no ip address
shutdown
!
interface FastEthernet0/0/1
no ip address
shutdown
!
interface FastEthernet0/0/2
no ip address
shutdown
!
interface FastEthernet0/0/3
no ip address
shutdown
!
interface Vlan1
no ip address
!
interface Group-Async1
physical-layer async
no ip address
!
ip classless
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/0
ip route xx.xx.xx.xx 255.255.255.248 xx.xxx.xx.xxx
no ip http server
!
!
logging trap notifications
logging facility local6
logging xx.xx.xxx.xx
!
control-plane
!
!
line con 0
login local
line aux 0
line vty 0 4
privilege level 15
login local
transport input telnet
line vty 5 15
privilege level 15
login local
transport input telnet
!
scheduler allocate 20000 1000
ntp clock-period 17179899
ntp update-calendar
ntp server xx.xxx.xx.xx
!
end

Только вот странно что access-list смотриться только когда вводишь команду! А в конфиги она не видна!

Настройка оборудования Cisco:

Авторизация через SSH.

Для доступа к Cisco я выбрал программу Putty
Host: 10.0.0.1 (адрес Cisco)
Login: cisco (по умолчанию)
Password: cisco (по умолчанию)

Access-lists:

Создание access-lists:

Создание access-lists(ов) происходит в конфигурационном режиме, для этого необходимо ввести команду: conf t
its-router#conf t
Создание access-lists(а) осуществляется командой: ip access-list extended «Имя access-lists»
Получим: its-router(config-ext-nacl)#
Access-lists создан: exit

Удаление access-lists:

Удаление access-lists(ов) осуществляется в конфигурационном режиме аналогично созданию с приставкой «no»: its-router(config)#no ip access-list extended «Имя access-lists»

Настройка правила ограничения скорости для access-lists:

Для начала нужно создать класс. В конфигурационном режиме наберите команду:
class-map match-any «Имя класса»
Получим: its-router(config-cmap)#
Затем созданный класс привязываем к access-lists(у):
its-router(config-cmap)#match access-group name «Имя access-lists»
Связали. Выходим: its-router(config-cmap)#exit
Создаем политику: its-router(config)#policy-map «Имя политики»
Присваиваем политику к классу: its-router(config-pmap)#class «Имя класса»
Добавляем свойство политики, ограничивающее пропускную способность трафика (в битах): its-router(config-pmap-c)#shape average 10240000

Просмотр access-lists

its-router#show ip access-lists
Команда выведет все access-lists прописанные на маршрутизаторе.

Просмотр определенного access-lists

show ip access-lists «Имя access-lists»
Команда выведет уже внесенные в определенный access-lists хосты.

Добавление хостов в access-lists «Имя access-lists»

Для добавления хостов в access-lists необходимо перейти в конфигурационный режим при помощи команды: conf t
Получим: its-router(config)#
Затем необходимо выбрать access-list: ip access-list extended «Имя access-lists»
Получим: its-router(config-ext-nacl)#
После чего создаём правило при помощи следующей команды:
Добавить хост на входящий трафик: its-router(config-ext-nacl)#permit ip host х.х.х.х any
Добавить хост на исходящий трафик: its-router(config-ext-nacl)#permit ip any host х.х.х.х

Для access-list(ов) на блокировку трафика используйте команду: хх deny ip host x.x.x.x any
где хх* – порядковый номер, а x.x.x.x — это IP-адрес клиента.
Получим: its-router(config-ext-nacl)#хх deny ip host x.x.x.x any
* — Обращаю внимание, что ни в коем случае новые правила не должны совпадать с существующем и нумерация их не должна превышать число 150.

Удаление хостов из access-lists «Имя access-lists»

Удаление хостов осуществляется в конфигурационном режиме, в который переходим по команде: conf t
Получаем: its-router(config)#
Затем входим в access-list: ip access-list extended «Имя access-lists»
Удаление осуществляется такой же командой как и добавление с приставкой «no»
Удалить хост на входящий трафик: its-router(config-ext-nacl)#no permit ip host х.х.х.х any
Удалить хост на исходящий трафик: its-router(config-ext-nacl)#no permit ip any host х.х.х.х

Быстрое редактирование Cisco ACL

Одной из наиболее часто встречающихся задач по администрированию маршрутизаторов Cisco является настройка списков контроля доступа (ACL). К сожалению, управление списками контроля доступа с помошью традиционного интерфейса командной строки реализовано не вполне удобно. В режиме настройки маршрутизатора Cisco вы можете только добавлять правила в конец списка контроля доступа, не имея возможности редактировать или удалять правила из середины списка. Таким образом, для того, чтобы исправить правило в списке контроля доступа, вам необходимо сначала удалить весь список, а затем заново создать его, внося необходимые исправления по мере добавления правил. Нет нужды доказывать, что редактирование списков контроля доступа таким образом крайне неудобно.

Для того, чтобы избежать необходимости создания списка вручную, можно скопировать файл конфигурации на сервер TFTP, отредактировать его в текстовом редакторе, после чего скопировать файл конфигурации обратно на устройство. Подобный подход экономит время в случае редактирования больших списоков контроля доступа. Однако, он все равно требует определенного объема работы: необходимо развернуть сервер TFTP, вручную выполнить ряд команд для копирования конфигурационныех файлов. К тому же, в случае, если устройство находится за NAT либо фильтрующим файрволом, определенную сложность представляет настройка сервера TFTP.

Использование IOS Config Editor для быстрого редактирования списков контроля доступа

WinAgents IOS Config Editor упрощает редактирование списков контроля доступа. Программа содержит встроенный сервер TFTP, поддерживающий работу через файрвол либо NAT. Используя протокол SNMP, программа выполняет копирование файлов конфигурации устройства на внутренний сервер TFTP. Полученные файлы вы редактируете в удобном редакторе с подсветкой синтаксиса, внося необходимые изменения в списки контроля доступа. Как только исправления будут внесены, вы можете скопировать конфигурационные файлы обратно на устройство одним щелчком мыши. При сохранении конфигурации вы можете выбрать способ копирования – копирование либо объединение изменений со стартовым и выполняемым файлами конфигурации устройства.

Рассмотрим процесс редактирования списка контроля доступа подробнее. Предположим, у нас имеется следующий список контроля доступа:

Путь требуется добавить в начало списка строку:

Для этого мы добавим наше устройство в дерево устройств IOS Config Editor (смотрите соответствующий раздел документации для получения дополнительной информации). Затем развернем добавленное устройство и получим файл конфигурации, сделав двойной щелчек по одному из узлов конфигурации устройства. Программа подключится к устройству и откроет файл конфигурации устройства в редакторе. Найдем интересующий нас список контроля доступа и вставим перед ним команду удаления ( no access-list 101 ). Это необходимо для первоначальной очистки списка. Затем вставим новое правило в список. Список контроля доступа примет следующий вид:

Зеленым цветом выделены строки, добавленные нами. После того, как изменения будут внесены, сохраним их в памяти устройства с помошью команды ‘Devices->Upload Device Config’. Программа предложит выбрать один из способов сохранения конфигурации устройства. В зависимости от версии IOS, установленной на вашем устройстве, некоторые способы сохранения могут быть недоступны. Нажмите кнопку ‘OK’ для сохранения конфигурации.

Access Control List — списки контроля доступа

Содержание

Вступление

Итак, пришло время задуматься о безопасности вашей сети. В частности о назначении прав на каталоги и файлы для пользователей и групп. Стандартные права в операционных системах Unix не так гибки, как хотелось бы. К сожалению они годятся для использования в простых схемах сети. Например, ситуацию когда к одному и тому же каталогу нужно, чтобы несколько групп пользователей имели разные права доступа, не реализовать с использованием стандартных прав.

Устоявшиеся истины:

Чтобы добавить пользователя в ту, или иную группу, достаточно отредактировать файл /etc/group:

Примечание прислал Лихоманенко Артем 2013/04/23 15:55

Видно, что в листинге выше в группу scanner входят пользователи hplip и allexserv. Чтобы добавить в эту группу еще пользователей, просто перечислите их символьные имена через запятую.

Синтаксис файла прост:

имя_группы:пароль:GID:список_пользователей

Итак, основная мысль статьи — это использование расширенных прав ACL . 2)

Включение ACL в системе

В тех разделах винчестера, в которых указан дополнительный параметр acl команды mount — grpquota,acl,suid — списки контроля будут поддерживаться в полном объеме. В моем случае поддержка ACL активирована на разделах /dev/sda5 и /dev/sda6.

После редактирования файла, лучше не мучаться и перезагрузить сервер, хотя, как утверждается в некоторых статьях, достаточно размонтировать раздел и смонтировать его вновь (такой номер у меня почему-то не прошел).

Утилиты ACL

Существуют два типа ACL :

Но не все так грустно! Перевод статьи был написан в 2006 году (к сожалению до оригинала я так и не добрался). В другой же статье, более поздней, сказано:

Итак, рассмотрим синтаксис и параметры getfacl и setfacl.

Утилита getfacl

О getfacl сильно и говорить нечего. Она выводит листинг ACL прав для указанных объектов.

Теперь рассмотрим, что же отобразит команда getfacl:

Что касается ключей getfacl, то есть пара из них которые стоит рассмотреть, но рассматривать их будем тогда, когда будем изучать setfacl.

Утилита setfacl

Теперь об утилите setfacl. Как уже говорилось выше, утилита setfacl предназначена для установки, модификации или удаления ACL .

Рассмотрим простой синтаксис setfacl:

setfacl

Часто используемые ключи:

Часто используемые опции:

Формирование списка правил:

— назначает пользователю allexserv права на чтение и запись.

— назначает группе children права на чтение.

— устанавливает фактические максимальные права на чтение и выполнение.

— убирает все права (отсутствие прав).

— Сами правила для пользователя или группы. Могут принимать значения ( r ), ( x ), ( w ), или сочетания друг с другом.

Примеры использования

Теперь давайте добавим к этому файлу еще пользователя allexserv:

Теоретически, в данном случае пользователь child не может удалить файл (про allexserv ничего не говорю, т.к. он входит в группу root у меня). Но проведя тест, пользователь child все-таки удалил файл, правда перед удалением система спросила:

В то же время попробовал отредактировать файл qwert под пользователем child и попытался записать изменения. Система в записи отказала. Здесь стоит отметить, что удаление файла регламентируется правами на каталог в коем расположен этот файл. Причина такого поведения именно в этом.

Теперь давайте удалим с файла qwert права ACL для пользователя allexserv:

Очевидно, что таким макаром можно назначать и удалять ACL права для пользователей и групп на файлы и каталоги.

Задача: создадим каталог Proverka и назначим ему владельца child и группу children (разумеется, пользователь и группа должны существовать в системе). Установим ACL права для пользователя allexserv и пользователя mysql. Установим ACL по умолчанию на каталог Proverka так, чтобы создаваемым объектам внутри него также назначались ACL .

Создаем каталог, устанавливаем права и владельца:

Видно, что появились строки начинающиеся с default. Это и есть права по умолчанию, которые будут принимать все создаваемые внутри объекты. Проверим, создав пустой файл myfile.txt и подкаталог MyKatalog в каталоге Proverka:

Удалить права по умолчанию можно: setfacl -k Proverka.

Если нужно также удалить права по умолчанию и в подкаталогах, то добавьте ключ -R (рекурсия): setfacl -R -k /media/Work/test/Proverka .

Здесь мы оперировали двумя пользователями. Но ничто не мешает вам оперировать также целыми группами пользователей.

Автоматические операции

Любой администратор стремится к оптимизации. Понятно, что назначить вручную 100 объектам одни и те же права — нудное занятие и нецелесообразное. Есть некоторые фишечки, которые могут облегчить подобные задачи.

Копирование ACL прав с одного объекта на другой.

В документации приведен следующий пример:

Справедлива будет также такая запись:

В этом случае права на file2 не заменяются как при использовании — -set, а добавляются к уже существующим правам ACL .

Копирование прав ACL каталога в права по умолчанию этого же каталога

В этом примере getfacl получает все права которые вы установили на каталог dir и устанавливает их на этот же каталог dir делая их правами по умолчанию. Очень удобно. Обратите внимание на ключ — -access у команды getfacl. При вызове getfacl без параметров, она отображает все права ACL , включая права по умолчанию. Здесь же, ключ — -access заставляет getfacl показать только права ACL на каталог, а права по умолчанию (если таковые имеются у каталога) — скрыть. Обратный ключ — это ключ -d:

можно было бы воспользоваться именно этой фишечкой, как то так:

Результат был бы тот же.

Вот и все, а вообще, не поленитесь почитать man getfacl, очень занимательно!

Операции над объектами c ACL

В заключении хочу еще раз обратить внимание на операции с обектами у которых установлены ACL , такие как копирование, перемещение, архивирование. Выше мы уже упоминали о них. Некоторые замечания:

Утилиту star нужно будет установить из репозиториев: apt-get install star

Вот некоторые часто используемые опции star:

Пример для архивирования утилитой star с сжатием:

star -czv -Hexustar -acl -f /tmp/homedir.tgz /media/Profil/home

Пример для разархивирования в текущий каталог:

star -xv -Hexustar -acl -f homedir.tgz

Вот собственно и все, что я хотел рассказать про ACL . Применяйте логику и смекалку и все будет хорошо.

© 2012 Ubuntu-ru — Русскоязычное сообщество Ubuntu Linux.
© 2012 Canonical Ltd. Ubuntu и Canonical являются зарегистрированными торговыми знаками Canonical Ltd.

Оценка статьи:

Загрузка...