I.E.S.

«SAN VICENTE» C/ Lillo Juan, 128

Código centro: 03008423 03690 Sant Vicent del Raspeig
www.iessanvicente.com Telf.: 965 93 65 05
03008423@edu.gva.es Fax: 965 93 65 06

Práctica 1 – Listas de control de acceso (ACL) en Linux

Linux posee un sistema de control de acceso sencillo, los famosos bits rwx, siendo en
muchas ocasiones insuficiente para una gestión correcta de la seguridad, por ejemplo
pueden existir usuario del mismo grupo que no deban de tener los mismos permisos, o
los “otros” existir usuarios con permiso de ejecución y otros de lectura.

Para solucionar estos problemas se utiliza sofware que permite asignar de forma
individual o a grupos concretos permisos para lectura, escritura o ejecución.

Debemos seguir los siguientes pasos:

1. Instalar el paquete acl: $ sudo apt install acl

2. Abrir el fichero /etc/fstab y añadir acl a la línea de la partición a la que le

queramos habilitar el uso de listas de control de acceso. Se pone detrás de las
opciones que hay separadas por comas.

Ejemplo:

tras el defaults pondríamos una coma y seguido acl

3. Reiniciar el equipo si lo ponemos en / o remontar la partición, ejemplo:

mount -o remount /dev/sda

4. Ahora ya podemos utilizar los siguientes comandos:

getfacl nombrefichero  nos enseña los permisos del fichero incluyendo
aquellos asignados con listas de control de acceso a usuarios en concreto.
setfacl -m user:usuario:r-- nombrefichero
Donde r-- serán los permisos que se le quieran asignar al usuario “usurario” en
el fichero nombrefichero.

5. Crear dos usuarios, pepe y paco.

Seguridad y Alta Disponibilidad – 2º ASIR 1

 I.E.S. «SAN VICENTE» C/ Lillo Juan, 128
Código centro: 03008423 03690 Sant Vicent del Raspeig
www.iessanvicente.com Telf.: 965 93 65 05
03008423@edu.gva.es Fax: 965 93 65 06

6. Crear una carpeta en el home de pepe que se llame compartir_con_paco, dar

permisos de lectura a paco.

7. Ver los permisos asignados a ese fichero. (Darse cuenta que los permisos son:
drwxrwxr-x+  El + significa que son permisos especiales de ACL)
8. Intentar escribir con el usuario paco en esa carpeta.

cd .

Seguridad y Alta Disponibilidad – 2º ASIR 2

 I.E.S. «SAN VICENTE» C/ Lillo Juan, 128
Código centro: 03008423 03690 Sant Vicent del Raspeig
www.iessanvicente.com Telf.: 965 93 65 05
03008423@edu.gva.es Fax: 965 93 65 06

9. Modificar los permisos otorgando permiso de escritura a paco y que por defecto
se apliquen esos permisos a todo lo contenido en ese directorio.
10. Crear un nuevo fichero con el usuario pepe.

11. Ver los permisos de ese nuevo fichero y explicar que ha sucedido.
12. Quitar los permisos a paco.

Seguridad y Alta Disponibilidad – 2º ASIR 3

 I.E.S. «SAN VICENTE» C/ Lillo Juan, 128
Código centro: 03008423 03690 Sant Vicent del Raspeig
www.iessanvicente.com Telf.: 965 93 65 05
03008423@edu.gva.es Fax: 965 93 65 06

13. Explicar que hace el comando umask con los permisos, explicar algún ejemplo.
¿Qué operación binaria realiza la máscara?

Opciones de setfacl.

Es importante destacar las opciones de setfacl pues son relevantes para cualquier
procedimiento.

-m --modify

Indica que se modificará el ACL un directorio.

-M --modify-file

Indica que se modificará el ACL de un archivo.

-x --remove

Indica que se eliminará el ACL de un directorio.

-X --remove-file

Indica que se eliminará el ACL de un archivo.

-b --remove-all

Indica que se eliminarán todos los ACL de un archivo o directorio.

-k --remove-default

Indica que se eliminarán todos los ACL predeterminado de un archivo o directorio.

--mask

Fuerza el cálculo de la máscara de los permisos efectivos de un ACL, aún si se ha

proporcionado una de manera explícita.

--d --default

Todas las operaciones se aplican sólo en el ACL predeterminado.

--restore=archivo

Restaura un respaldo de permisos de un ACL obtenidos con getfacl -R.

-R

Aplica los cambios de ACL de modo descendente en un directorio.

-L --logical

Al aplicar los cambios de ACL de modo descendente en un directorio, se hace de modo

lógico siguiendo enlaces simbólicos.

Seguridad y Alta Disponibilidad – 2º ASIR 4

 I.E.S. «SAN VICENTE» C/ Lillo Juan, 128
Código centro: 03008423 03690 Sant Vicent del Raspeig
www.iessanvicente.com Telf.: 965 93 65 05
03008423@edu.gva.es Fax: 965 93 65 06

-P --physical

Al aplicar los cambios de ACL de modo descendente en un directorio, se hace de modo

físico sin seguir enlaces simbólicos.

Seguridad y Alta Disponibilidad – 2º ASIR 5