GNU/Linux e le Access Control List

In questo post viene citato spesso UGO ma non ha nulla a che fare con il Ragionier Fantozzi

Questo articolo è un po’ tecnico e quello che viene spiegato probabilmente non è molto importante per l’uso quotidiano del computer. Però permette di approfondire un argomento, quello dei permessi, che è fondamentale nei sistemi operativi.

UGO, ovvero i permessi Unix

I sistemi Unix, tutti, compreso GNU/Linux, gestiscono normalmente i permessi dei file e delle directory con uno schema chiamato “UGO” = User, Group, Others

Vediamo come interpretarli. Gestiremo tutto da grafica, senza l’ausilio della riga di comando.

Prima di tutto è bene configurare Nautilus per visualizzare i permessi nella forma tradizionale piuttosto che in quella semplificata di default. Lanciamo gconf-editor e settiamo la chiave

/apps/nautilus/preferences/show_advanced_permissions.

Come è spiegato nella documentazione che appare nella parte inferiore della finestra:

If set to true, then Nautilus lets you edit and display file permissions in a more unix-like way, accessing some more esoteric options.

Ora click destro su un file qualsiasi (che sia in una partizione non Windows), proprietà > permessi e vediamo…

Questi sono i tradizionali permessi Unix. Ogni file ha un utente proprietario (in questo caso io) e un gruppo proprietario (in questo caso il gruppo formato solo da me). Posso quindi definire cosa è possibile fare con questo file da parte del proprietario o di un gruppo di utenti. Posso concedere la lettura, la scrittura o l’esecuzione del file. O posso assegnare il file ad un altro gruppo. E posso ad esempio decidere che i membri di questo gruppo possono leggerlo o anche scriverlo (quindi modificarlo e cancellarlo).

Facciamo un esempio. Diciamo che ho tre utenti sulla macchina che chiameremo Gianni, Sabrina e Francesco. Gianni e Sabrina sono fidanzati mentre Francesco è il fratello minorenne di Sabrina.

Ora Gianni e Sabrina hanno sul pc  il loro filmino erotico privato un file OpenOffice dove scrivono un diario della loro tenera storia d’amore.

Non vogliono però che il file sia accessibile a Francesco. Come fare? Basterà dare al file le seguenti caratteristiche:

Proprietario: Gianni

Gruppo: Gianni creerà un nuovo gruppo e lo chiamerà, ad esempio, “GiaSab” dalle iniziali dei loro nomi.

Permessi “UGO”: RW- | RW- | – – –

vale a dire che il proprietario (prima terna) può leggere e scrivere, lo stesso il gruppo (la seconda terna) mentre gli agli non potranno fare nulla. Questa situazione è rappresentata su Nautilus così:

Ora basterà aggiungere sia Gianni che Sabrina al gruppo GiaSab, cosa che può essere fatta agevolmente da grafica nella gestione Utenti e Gruppi (menu Sistema > Amministrazione)

Da questa interfaccia possiamo creare e gestire tutti i gruppi e gli utenti della macchina.

Questa organizzazione è più che sufficiente nel 99% dei casi, anche nei server di grandi organizzazioni o su macchine condivise da centinaia di utenti.

Mettiamo però il caso di una macchina in cui abbiamo un file particolare e … 1000 utenti. Vogliamo che questo file sia accessibile da tutti, tranne uno. E’ un caso ovviamente di fantasia, di solito non capitano cose del genere, ma è un cosiddetto “caso limite”.

Con i tradizionali permessi UGO la fatica sarebbe abbastanza immane. Bisognerebbe di fatti aggiungere 999 utenti ad un gruppo, tranne appunto l’utente discriminato. La cosa sarebbe pure fattibile con uno script, ma immaginiamo che i file siano 10 e che l’utente da escludere sia sempre uno diverso…e immaginiamo poi di dover fare questa operazione spesso, con variabili che cambiano (ad esempio 2 utenti da escludere, 10 utenti da escludere, 15 file, ecc.). Il tutto diventerebbe poco pratico.

Per fortuna GNU/Linux, come molti altri sistemi Unix (e come Windows nelle versioni Professional e Server), implementa le Access Control List (ACL). Nel caso di Unix si chiamano POSIX ACL anche se, in realtà, non fanno ufficialmente parte dello standard POSIX.

Le ACL

Il nome ACL è abbastanza esplicativo: “lista di controllo per l’accesso (ai file). Invece di avere semplicemente proprietario, gruppi e altri con una ACL posso decidere per ciascun utente, cosa può fare o non fare con quel file. Questa caratteristica prende il nome di granularità, in soldoni è il livello di dettaglio a cui posso spingermi.

Vediamo un’anteprima:

Salta subito all’occhio la caratteristica principale: ho una lista di utenti (sotto), posso aggiungerli all’ACL del file (sopra) e per ciascuno di loro decidere cosa può o non può fare. La stessa cosa è possibile per i gruppi.

Vediamo come ottenere questo risultato.

Supporremo di avere una partizione formattata in ext3 (o ext4 o ext2 o qualsiasi altro filesystem di tipo Unix) e chiamata /dev/sdb1 (potrebbe essere ad esempio una pennetta usb).

Montiamola con le ACL sul punto di mount (precedentemente creato) /media/sdb1 (o altro nome qualsiasi) :

sudo mount /dev/sdb1 /media/sdb1 -o defaults,acl

L’opzione acl dice al sistema di abilitare le acl. Ora potremmo gestire il tutto da riga di comando con alcuni noiosissimi comandi come getfacl e setfacl che troviamo nel pacchetto chiamato acl in Debian/Ubuntu. Invece voglio farvi vedere come farlo da grafica.

Installiamo quindi il pacchetto eiciel, killiamo Nautilus e riavviamolo, oppure usciamo e rientriamo nella sessione.

Ora andiamo su /media/sdb1 precedentemente montata e copiamoci dentro un file qualsiasi. Poi tasto destro del mouse, proprietà e… sorpresa:

Ecco la nostra nuova tab con i controlli per le ACL 🙂

Ora possiamo aggiungere o togliere utenti, negare e autorizzare.

Quasi nessuno le usa, però è bello sapere che ci sono.

Uno standard non-standard

Come accennavo prima, le ACL non fanno ufficialmente parte di nessuno standard Unix. Esistono però delle bozze di standard, chiamate POSIX.1e che, verso la fine degli anni ’90, avrebbero dovuto definire le ACL per i sistemi Unix, anche per non farsi scavalcare da Windows NT che le aveva di default. Ma la cosa non suscitò particolari entusiasmi, vista anche la limitata utilità anche se lo Unix più in voga nelle grandi infrastrutture (Solaris/Sun OS) le aveva già implementate nella versione 2.5 del 1995, ben prima che fosse redatto il documento di standardizzazione. L’implementazione in FreeBSD risale al 2000, quella nel kernel Linux tra il 2003 e il 2004 anche se in realtà c’è voluto molto tempo prima che tutte le utility fossero massicciamente adattate al loro uso .

Le ACL e Windows

Da sempre Windows NT gestisce i permessi tramite ACL, croce e delizia di ogni sysadmin.

La prima volta che mi trovai di fronte a questa maschera (era su Windows NT 4.0) sudai freddo. Che differenza c’è tra “Modifica” e “Scrivi”? Perché c’è “Leggi” e “Leggi ed Esegui”? Che succede quando modifico i permessi di una cartella? Quelli dei file vengono ereditati o no dalla cartella? E altre domande inquietanti.

La risposta è pure peggio. Alcuni di questi particolari cambiano un po’ a seconda della versione di Windows. E se per caso hai un disco formattato con Windows NT 4 e poi passi al 2000 … che succede? Userà le regole di NT o di 2000? E XP? E Vista? e Seven??? mmm….

Vi sembrerà strano, ma ad ogni versione di Windows gli amministratori di sistemi devono leggersi molte pagine per capire come sono cambiati i particolari di cose come le ACL del filesystem o del registro di sistema, delle Active Directory eccetera eccetera.

Tutte cose che se fossero state concepite per bene dall’inizio, sarebbero durate praticamente immutate per quarant’anni, come i vecchi e cari permessi UGO.

Approfondimenti:

Le ACL POSIX con i sistemi GNU/Linux: http://a2.pluto.it/a2227.htm